ИНФОРМАТИКА И ВЫЧИСЛИТЕЛЬНАЯ
ТЕХНИКА
УДК 004.056.5
МЕТОД ОЦЕНКИ СООТВЕТСТВИЯ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ ОБЩИМ КРИТЕРИЯМ
А.В. Барабанов
,
А.С. Марков
,
И.В. Найханова
МГТУ им. Н.Э. Баумана, Москва, Россия
e-mail:
;
;
Рассмотрены вопросы сертификации средств защиты информации по тре-
бованиям безопасности информации и особенностям оценки соответствия
продукции согласно высшим оценочным уровням доверия. Приведены свиде-
тельства, требуемые от разработчика при выполнении сертификационных
испытаний, а также особенности их оформления с использованием формаль-
ных и полуформальных стилей изложения. На основе методологии “Общих
критериев” введено формальное описание процесса оценки соответствия, ко-
торое может использоваться испытательными лабораториями при плани-
ровании и проведении сертификационных испытаний в соответствии с тре-
бованиями новой нормативной базы ФСТЭК России. Рассмотрены основные
методы, используемые испытательными лабораториями при проведении ис-
пытаний (экспертно-документальный метод, функциональное тестирование,
статический и динамический анализ исходных текстов, тестирование проник-
новением), а также особенности их применения в свете новой нормативной ба-
зы. Предложены методические рекомендации по оптимизации процесса оценки
соответствия, позволяющие сократить временные и материальные затраты.
Ключевые слова
:
общие критерии, критерии оценки безопасности информаци-
онных технологий, оценочный уровень доверия, информационная безопасность,
сертификационные испытания.
TECHNIQUE FOR EVALUATION OF COMPLIANCE
OF INFORMATION SECURITY MEANS WITH COMMON CRITERIA
A.V. Barabanov
,
A.S. Markov
,
I.V. Naikhanova
Bauman Moscow State Technical University, Moscow, Russia
e-mail:
;
;
The problems of certification of information security means according to information
security requirements and the peculiarities of evaluation of output compliance with
the higher evaluation assurance levels are considered. Certificates that are demanded
from the developer during the conduction of certification tests as well as peculiarities
of their representation using formal and semi-formal styles of writing are given. Based
on Common Criteria methodology, a formal description of the compliance evaluation
is introduced, which can be used in test laboratories for planning and conduction of
certification tests in accordance with requirements of the new normative base of the
Federal Service on Technical and Export Control of Russia. Basic methods used in
test laboratories during the test conduction (expert-documental method, functional
testing, static and dynamical analysis of source texts, testing by penetration), as well
as peculiarities of their using in view of the new normative base are considered. The
methodic recommendations on optimization of the compliance evaluation are offered,
which allow the time and material expenditures to be reduced.
48 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 2
