2015-04-12
412
Оценка защищённости любой системы или её отдельных компонентов производится исходя из:
1) наличия механизмов защиты, в совокупности реализующих базовую модель защиты;
2) предоставления гарантий корректности реализации механизмов в соответствии с заданными техническими спецификациями;
3) предоставления гарантий отсутствия закладок, преднамеренно введённых в систему разработчиком.
Таким образом, желательно иметь общую метрику для оценки уровня защищённости тех или иных продуктов и предусмотреть процедуру их сертификации по соответствию указанной метрике уполномоченными правительственными организациями.
С учётом возрастающей сложности систем и многообразия решаемых задач, процедура сертификации IT-продукции по требованию безопасности должна быть хорошо стандартизована и прозрачна для всех участников IT.
В основе требований правительственных организаций США лежит директива ДоД 5200.28 и «оранжевая книга».
