2015-01-21
854
Проблемы стандартизации в сфере информационной безопасности оказались актуальны не только для Соединенных штатов. Вслед за выходом "Оранжевой книги" страны Европы разработали согласованные " Критерии безопасности информационных технологий " (Information Technology Security Evaluation Criteria, далее – Европейские критерии). Европейские критерии рассматривают следующие задачи средств информационной безопасности:
защита информации от несанкционированного доступа с целью обеспечения ее конфиденциальности;
обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения;
обеспечение доступности компьютерных систем с помощью противодействия угрозам отказа в обслуживании.
Для того, чтобы удовлетворить требованиям конфиденциальности, целостности и доступности, необходимо реализовать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, восстановление после сбоев и т.д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в Европейских критериях впервые вводится понятие адекватности (assurance) средств защиты.
|
|
|
Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым задачам, и корректность, характеризующую процесс их разработки и функционирования.
Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты – их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Под корректностью понимается правильность и надежность реализации функций безопасности.
Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Главное достижение этого документа – введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности.
Необходимо отметить, что Европейские критерии тесно связаны с "Оранжевой книгой", что делает их не вполне самостоятельным документом.
