Keywords
:
common criteria, evaluation criteria for information technology security,
evaluation assurance level, information security, certification testing.
В настоящее время во всех системах обязательной сертификации
средств защиты информации (СЗИ) проводятся изыскания по внедре-
нию методологии оценки соответствия, основанной на международ-
ном метастандарте ГОСТ Р ИСО/МЭК 15408. Нормативные докумен-
ты, соответствующие данному стандарту, принято называть общими
критериями (ОК). Популярность ОК связана с возможностью гибкого
формирования необходимых требований по безопасности и качеству
любого СЗИ (объекта оценки) с учетом актуальных угроз, среды раз-
работки и функционирования, принятых политик [1–3]. В то же время
внедрение ОК связано с такими трудностями, как сложность восприя-
тия и проверка большого числа требований, указанных в дополнитель-
ной документации, в том числе нотационного вида [4]. Наиболее про-
блемной является оценка соответствия СЗИ, к которым предъявляются
повышенные требования по безопасности. Так, опыт работы показал,
что при сертификации СЗИ в соответствии с ОК и высшими оценоч-
ными уровнями доверия (ОУД) могут потребоваться весьма большие
материальные и временные затраты как со стороны разработчика, так
и со стороны испытательных лабораторий, нежели при сертификации,
выполняемой по традиционным нормативным документам.
В настоящей статье рассмотрены особенности выполнения про-
цедуры оценки соответствия согласно требованиям высших ОУД и
предложены способы их оптимизации.
Особенности проведения процедуры оценки соответствия.
Сертификация СЗИ в соответствии с требованиями ОК обычно вы-
полняется для одного из предопределенных ОУД, которых всего семь
(самый слабый – ОУД1). Наиболее авторитетными при проведении
сертификации средств защиты конфиденциальной информации явля-
ются ОУД3 и ОУД4. В случае защиты информации систем высокого
риска, в том числе защиты государственной тайны, применяют уси-
ленные ОУД.
В зависимости от ОУД разработчик предоставляет данные разно-
го объема и сложности, содержащие: задание по безопасности (ЗБ);
проектную документацию; представление реализации; документацию,
касающуюся жизненного цикла изделия; описание процедуры тести-
рования; анализ уязвимостей.
Задание по безопасности — весьма объемный документ, предста-
вленный в нотациях ОК, который может быть разработан на основе
сертифицированных профилей защиты [5] или самостоятельно. Форма
ЗБ принципиально не зависит от уровней ОУД.
Стиль изложения проектной документации меняется в зависимо-
сти от ОУД и может быть неформальным, допускающим использова-
ние естественного языка (ОУД4 и ниже); полуформальным – когда до-
кументы написаны в предопределенном справочном формате (ОУД5,
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 2 49
