Федеральные критерии безопасности информационных технологий

"Федеральные критерии безопасности информационных технологий" ( Federal Criteria for Information Technology Security ) разрабатывались как одна из составляющих "Американского федерального стандарта по обработке информации" ( Federal Information Processing Standart ), призванного заменить критерий TCSEC - "Оранжевую книпу". Разработчиками стандарта выступили Национальный институт стандартов и технологий США ( National Institute Of Standarts and Technology ) и Агентство национальной безопаскости США ( National Security Agency ). Данный обзор основан на версии 1.0 этого документа, опубликованной в декабре 1992 г.

Этот документ разработан на основе результатов многочисленных исследований в области обеспечения безопасности информационных технологий 80-х-начала 90-х годов, а также на основе анализа опыта использования "Оранжевой книги". Документ представляет собой основу для разработки и сертификации копонентов информационных технологий с точки зрения обеспечения безопасности.

Основные положения

"Федеральные критерии безопасности информационных технологий" ( далее "Федеральные критерии" ) охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, так как включают все аспекты обеспечения конфиденциальности, целостиости и доступности.

Основными объектами применения требований безопасности "Федеральных критериев" являются продукты информационных технологий ( Information Technology Products ) и системы обработки информации ( Information Technology Systems ). Под продуктом информационных технологий ( ПИТ ) понимается совокупность аппаратных и программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. Как правило, ПИТ эксплуатируется не автономно, а интегрируется в систему обработки информации, представляющую собой совокупность ПИТ, объединенных в функционально полный комплекс, предназначенный для решения прикладных задач ( т.е. для реализации некоторой целевой функции компьютерной системы ). В ряде случаев система обработки информации может состоять только из одного ПИТ, обеспечивающего решение всех стоящих перед системой задач и удовлетворяющего требованиям безопасности.

С точки зрения безопасности принципиальное различие между ПИТ и системой обработки информации определяется средой эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет использован во многих системах обработки информации, и, следовательно, разработчик должен ориентироваться только на самые общие предположения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потребителей, что позволяет в полной мере учитывать специфику воздействий со стороны конкретной среды эксплуатации.

Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности ПИТ, т.е. механизмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, аппаратных или специальных средств. Для повышения их эффективности могут дополнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как технические средства, так и организационные меры, правовые и юридические нормы. В конечном счете, безопасность ПИТ определяется совокупностью собственных средств обеспечения безопасности и внешних средств, являющихся частью компьютерной системы.

Ключевым понятием концепции информационной безопасности "Федеральных критериев" является понятие "профиля защиты" ( Protection Profile ), Профиль защиты - это нормативный документ, который регламентирует все аспекты безопасности ПИТ в виде требований к его проектированию, технологии разработки и сертификации. Как правило, один профиль защиты описывает несколько близких по структуре и назначению ПИТ. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.

"Федеральные критерии" представляют процесс разработки систем обработки информации, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде следующих основных этапов:

  1. Разработка и анализ профиля защиты. Требования, изложенные в профиле защиты, определяют функциональные возможности ПИТ по обеспечению безопасности и условия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности профиль содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования, анализа и сертификации ПИТ. Профиль безопасности анализируется на полноту, непротиворечивость и техническую корректность.

  2. Разработка и сертификация ПИТ. Разработанные ПИТ подвергаются независимому анализу, целью которого является определение степени соответствия характеристик продукта сформулированным в профиле защиты требованиям и спецификациям.

  3. Компоновка и сертификация системы обработки информации в целом. Успешно прошедшие второй этап ПИТ интегрируются в систему обработки информации. Полученная в результате система должна удовлетворять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.

"Федеральные критерии" регламентируют только первый этап этой схемы - разработку и анализ профиля защиты, процесс создания ПИТ и компоновка систем обработки информации остаются вне рамок этого стандарта.

Профиль защиты

Как уже говорилось, профиль защиты является центральным понятием "Федеральных критериев", большая часть содержания которых представляет собой описание разделов профиля защиты, включающее набор требований безопасности и их ранжирование. Рассмотрим назначение, структуру и этапы разработки профиля защиты.

Профиль защиты предназначен для определения и обоснования состава и содержания средств защиты, спецификации технологии разработки и регламентации процесса сертификации ПИТ. Профиль защиты состоит из следующих пяти разделов:

Описание профиля содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. "Федеральные критерии" предлагают поддерживать такую картотеку на общегосударственном уровне. Это позволит любой организации воспользоваться созданными ранее профилями защиты непосредственно или использовать их в качестве прототипов для разработки новых. В описании профиля защиты должна быть охарактеризована основная проблема или группа проблем обеспечения безопасности, решаемых с помощью применения данного профиля.

Обоснование содержит описание среды эксплуатации, предполагаемых угроз безопасности и методов использования ПИТ. Кроме того, этот раздел содержит подробный перечень задач по обеспечению безопасности, решаемых с помощью данного профиля. Эта информация дает возможность определить, в какой мере данный профиль защиты пригоден для применения в той или иной ситуации. Предполагается, что данный раздел ориентирован на службы безопасности организаций, которые изучают возможность использования ПИТ, соответствующего данному профилю защиты.

Раздел функциональных требований к ПИТ содержит описание функциональных возможностей средств защиты ПИТ и определяет условия, в которых обеспечивается безопасность в виде перечня угроз, которым успешно противостоят предложенные средства защиты. Угрозы, лежащие вне этого диапазона, должны быть устранены с помощью дополнительных, не входящих в состав продукта, средств обеспечения безпасности. Очевидно, что чем сильнее и опаснее угрозы, тем более мощными и стойкими должны быть средства, реализующие функции защиты.

Раздел требований к технологии разработки ПИТ охватывает все этапы его создания, начиная от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит требования как к самому процессу разработки, так и к условиям, в которых она проводится, к используемым технологическим средствам, а также к документированию этого процесса. Выполнение требований этого раздела является непременным условием для проведения сертификации ПИТ.

Раздел требований к процессу сертификации ПИТ регламентирует порядок сертификации в виде типовой методики тестирования и анализа. Объем и глубина требуемых исследований зависят от наиболее вероятных типов угроз, среды применения и планируемой технологии эксплуатации.

"Федеральные критерии" содержат подробное описание всех трех разделов профиля защиты, включающее набор требований и их ранжирование для каждого раздела. В данном обзоре основное внимание уделено функциональным требованиям, так как этот вопрос проработан в "Федеральных критериях" значительно гпубже, чем в предшествующих стандартах.

Разработка профиля защиты осуществляется в три этапа: аналмз среды применения ПИТ с точки зрения безопасности, выбор профиля - прототипа и синтез требований.

На первом этапе проводится анализ информации о среде предполагаемого применения ПИТ, действующих в этой среде угрозах безопасности и используемых этими угрозами недостатках защиты. Анализ проводится с учетом технологии использования продукта, а также существующих стандартов и нормативов, регламентирующих его эксплуатацию.

Второй этап состоит в поиске профиля, который может быть использован в качестве прототипа. Как уже говорилось, "Федеральные критерии" предусматривают создание специальной, доступной для разработчиков ПИТ, картотеки, в которую должны быть помещены все разработанные когда - либо профили защиты. Это позволит минимизировать затраты на создание профилей и учесть опыт предыдущих разработок.

Этап синтеза требований включает выбор наиболее существенных для условий функционирования продукта функций защиты и их ранжирование по степени важности с точки зрения обеспечения качества защиты. Выбор специфичных для среды требований безопасности должен быть основан на их эффективности для решения задачи противодействия угрозам. Разработчик профиля должен показать, что выполнение выдвинутых требований ведет к обеспечению требуемого уровня безопасности посредством успешного противостояния заданному множеству угроз и устранения недостаткрв защиты.

При разработке профиля защиты необходимо анализировать связи и взаимозависимости, существующие между функциональными требованиями и требованиями к процессу разработки, а также между отдельными требованиями внутри этих разделов. По завершению разработки Профиль защиты подвергается проверке, целью которой является подтверждение его полноты, корректности, непротиворечивости и реализуемости.

Функциональные требования к продукту информационных технологий

"Федеральные критерии" предлагают набор нункциональных требований, реализация которых позволяет противостоять наиболее распространенным угрозам безопасности, воздействующим на широкий спектр ПИТ. Данные требования разработаны с учетом возможности расширения и адаптации к конкретным условиям эксплуатации ПИТ, и допускают совершенствование параллельно процессу развития информационных технологий. Требования, изложенные в "Федеральных критериях", разработаны на основе обобщения существовавших на момент их создания стандартов информационной безопасности - "Оранжевой книги" и "Европейских критериев".

Функциональные требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Она объединяет все компоненты ПИТ ( аппаратные, программные и специальные средства ), реализующие функции защиты. Таким образом, функциональные требования, направленные на обеспечение безопасности, относятся либо к внутренним элементам ТСВ, либо к ее внешним функциям, доступным через специальные интерфейсы. Для того чтобы расширить спектр потенциального применения профиля защиты в "Федеральных критериях", при описании функциональных требований предполагается, что ТСВ является единственной частькэ ПИТ, которая нуждается в защите и обладает такой характеристикой, как уровень защищенности. По этой причине предполагается достаточным установить множество требований, касающихся только безопасности ТСВ. Функциональные требования профиля защиты задаются в виде общих положений и косвенным образом определяют множество угроз, которым может успешно противостоять удовлетворяющий этим положениям ПИТ.

Структура функциональных требований

Функциональные требования "Федеральных критериев" разделены на восемь классов и определяют все аспекты функционирования компьютерных систем. Реализация политики безопасности должна быть поддержана средствами, обеспечивающими надежность функционирования как самой ТСВ, так и механизмов осуществления политики безопасности. Эти средства также входят в состав ТСВ, хотя с точки зрения противодействия угрозам, вносят только косвенный вклад в общую защиту ПИТ.

Поскольку "Федеральные критерии" по сравнению с "Оранжевой книгой" являются стандартом нового поколения и, кроме того, никогда не рассматривались в отечественных публикациях, остановимся на функциональных требованиях более подробно.

  1. Требования к реализации политики безопасности. Описывают функции компьютерной системы, реализующие политику безопасности, и состоят из четырех групп требований: к политике аудита, политике управления доступом, политике обеспечения работоспособности и управлению безопасностью. Эти требования носят весьма общий характер, что позволяет рассматривать их в качестве прототипа, обеспечивающего поддержку широкого спектра политик и моделей безопасности.

    Политика аудита включает разделы, относящиеся к идентификации и аутентификации, регистрации пользователя в системе, обеспечению прямого взаимодействия с компьютерной системой, а также к регистрации и учету событий. Основная задача политики управления аудитом, это обеспечить однозначную идентификацию субъекта, ответственного за те или иные действия в системе.

    • Идентификация и аутентификация позволяют установить однозначное соответствие между пользователями и представляющими их в компьютерной системе субъектами ( т.е. субъектами, инициированными от имени конкретного пользователя ), а также подтвердить подлинность этого соответствия
    • Регистрация пользователя в системе означает создание субъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя. К процедуре регистрации также относится учет места, времени и других параметров подключения к системе и ее блокирование во время отсутствия пользователя
    • Обеспечение прямого взаимодействия с компьютерноп системой гарантирует, что пользователь взаимодействует с компонентами системы напрямую, т.е. информация, которая передается в нее и обратно, не подвергается перехвату или искажению. Поддержка прямого взаимодействия с компьютерной системой особенно важна для управления безопасностью ( например, при администрировании прав доступа и полномочий пользователей )
    • Регистрация и учет событий в системе позволяют распознавать потенциально опасные ситуации и сигнализировать о случаях нарушения безопасности. Регистрация событий включает распознавание, учет и анализ действий пользователя, представляющих интерес с точки зрения безопасности.

    Политика управления доступом содержит следующие разделы: произвольое управление доступом ( дискреционное ), нормативное управление доступом и контроль скрытых каналов утечки информации. Политика управления доступом является основным механизмом защиты, так как непосредственно обеспечивает конфиденциальность и целостность обрабатываемой информации.

    • Произвольное управление доступом позволяет осуществлять назначение прав доступа с точностью до идентифицируемых субъектов и объектов, а также поддерживаемых типов доступа и, кроме того, обеспечивает контроль за распространением прав доступа среди субъектов
    • Нормативное управление доступом, в отличие от произвольного, основано на контроле информационных потоков между субъектами и объектами и их атрибутах безопасности, что позволяет регламентировать порядок использования информации в системе
    • Контроль скрытых каналов утечки информации включает технические и административные меры, направленные на ликвидацию таких каналов посредством минимизации объема совместно используемых ресурсов и введения активных "шумовых помех"

    Политика обеспечения работоспособности системы включает контроль над распределением ресурсов и обеспечение отказоустойчивости. Обеспечение работоспособности позволяет гарантировать доступность ресурсов и сервиса системы, а также корректное восстановление системы после сбоев.

    • Контроль над распределением ресурсов осуществляется посредством введения ограничений ( квот ) на их потребление или приоритетной системы распределения ресурсов
    • Обеспечение отказоустойчивости входит в сферу безопасности наравне с другими требованиями, так как противостоит угрозам работоспособности.

    Управление безопасностью регламентирует следующие аспекты функционирования системы:

    • компоновка, установка, конфигурация и поддержка компьютерной системы
    • администрирование атрибутов безопасности пользователей ( идентификаторов, полномочий, доступных ресурсов )
    • администрирование политики управления доступом
    • управление потреблением ресурсов системы
    • аудит действий пользователей

  2. Мониторинг взаимодействий. Требования этого раздела регламентируют порядок взаимодействия между компонентами системы и прохождения информационных потоков через компьютерную систему. Реализация политики безопасности будет эффективна только в том случае, если все без исключения взаимодействия в системе, т.е. доступ к объектам, ресурсам и сервису, осуществляются при обязательном посредничестве ТСВ ( следовательно, требуется, чтобы ядро защиты представляло собой МБО )

  3. Логическая защита ТСВ. Требования данной группы устанавливают порядок доступа к внутренним компонентам ТСВ ( данным и программам ). ТСВ должна быть защищена от внешних воздействий со стороны непривилегированных пользователей, в противном случае искажение программ и данных, находящихся в ТСВ, может привести к полному подавлению функций защиты ( данное требование включает требование корректности внешних субъектов относительно субъектов ядра защиты и требование к интерфейсам взаимодействия )

    Необходимо подчеркнуть, что политика безопасности, мониторинг взаимодействий и логическая защита ТСВ являются обязательными компонентами всех профилей защиты вне зависимости от назначения и среды применения ПИТ.

  4. Физическая защита ТСВ. Требования этой группы задают ограничения на физический доступ к компонентам ТСВ, а также допустимые физические параметры среды функционирования компьютерной системы.

  5. Самоконтроль ТСВ. Требования, касающиеся самоконтроля компьютерной системы, определяют возможности обеспечения контроля корректности выполнения функций системы и целостности программ и данных, входящих в систему. Выполнение этих требований позволяет вовремя обнаруживать нарушения целостности компонентов ТСВ, произошедшие в результате либо целенаправленного воздействия, либо сбоя в работе аппаратных или программных средств, и осуществлять восстановление целостности ТСВ.

  6. Инициализация и восстановление ТСВ. Требования данной группы устанавливают возможности компьютерной системы по контролю за процессом собственной инициализации и способности к самовосстановлению после сбоев. Процесс восстановления после сбоя должен происходить без нарушений функционирования, даже временного, средств защиты. Восстановленное состояние ТСВ должно соответствовать требованиям политики безопасности, мониторинга взаимодействий и самоконтроля целостности.

  7. Ограничение привилегий при работе с ТСВ. Требования этой группы устанавливают порядок назначения полномочий для работы с компьютерной системой. Основным принципом назначения таких полномочий является принцип минимальной достаточности. Это обеспечивается посредством постоянного контроля и при необходимости автоматического понижения привилегий пользователей при обращении к компонентам или сервису ТСВ. Соблюдение этого принципа позволяет минимизировать нарушения целостности в случае возникновения сбоев или нарушений безопасности.

  8. Простота использования ТСВ. Выполнение этих требованиий обеспечивает удобство пользования возможностями ТСВ как для высококвалифицированных администраторов, ответственных за функционирование и безопасность системы, так и для рядовых пользователей, а также для разработчиков прикладных программ, взаимодействующих с системой. К этому классу требований относятся: порядок реагирования ТСВ на ошибки в действиях пользователей и попытки нарушения безопасности, устанавливаемые по умолчанию полномочия, интерфейс пользователей и администратора.

Объем и глубина реализации функциональных требований зависит от того, какую степень защищенности должно обеспечивать ядро защиты конкретного ПИТ, а также от того, какие угрозы безопасности возможны в среде его эксплуатации. Степень обеспечения требуемого уровня защищенности зависит от реализованной политики безопасности, от квалификации ответственного за безопасность персонала, от правильности администрирования системы и соблюдения рядовыми пользователями правил политики безопасности.

Ранжирование функциональных требований

Состав и содержание включенных в профиль защиты функциональных требовании определяются средой эксплуатации ПИТ. Чтобы обосновать выбор тех или иных требований и не вступать в противоречие с существующими стандартами в области безопасности ПИТ функциональные требования, приведенные в "Федеральных критериях" ранжируются по уровням с помощью следующих четырех критериев: широта сферы применения, степень детализации, функциональный состав средств защиты, обеспечиваемый уровень безопасности.

Широта сферы применения определяется множеством сущностей, к которому могут быть применены данные требования, а именно:

Например, требования из разделов управления доступом, аудита, обеспечения работоспособности, мониторинга взаимодействий и простоты использования компьютерной системы, могут относиться только к определенному подмножеству объектов доступа и параметров конфигурации. Обеспечение прямого взаимодействия с компьютерной системой требуется только для некоторого подмножества функций ТСВ.

Степень детализации требований определяется множеством атрибутов сущностей, к которым применяются данные требования, либо ко всем атрибутам пользователей, субъектов или объектов, либо только к некоторому подмножеству этих атрибутов. Например, требования из разделов управления доступом, аудита и мониторинга взаимодействий могут относиться только к некоторому подмножеству атрибутов субъектов и объектов - к правам доступа, групповым идентификаторам пользователей, но не к атрибутам состояния субъектов и объектов и не к индивидуальным идентификаторам.

Функциональный состав средств защиты определяется множеством функций, включенных в ТСВ для реализации той или иной группы функциональных требований. Например, политика управления доступом может включать либо произволыное, либо нормативное управление доступом, или и то, и другое одновременно.

Обеспечиваемый уровень безопасности определяется условиями, в которых функциональные компоненты компьютернои системы способны противостоять заданному множеству угроз, отказам и сбоям. Например, нормативное управление доступом обеспечивает более высокий уровень безопасности, чем произвольное.

Ранжирование всегда предполагает установление некоторого отношения порядка. Однако независимое ранжирование функциональных требований по каждому из описанных критериев, хотя и дает некоторое представление о различниях между функцианальными возможностями средств защиты, но не позволяет установить четкую, линейную шкалу уровней безопасности. Строгого отношения порядка, определенного на множестве функциональных требований, не существует, так как значение требований и уровень обеспечиваемой ими защиты зависят не только от их содержания, но и от назначения ПИТ и среды его эксплуатации. Для одних систем наиболее важными будут идентификация и аутентификация пользователей, а для других - реализация политики управления доступом или обеспечение доступности.

В связи с этим в "Федералыных критериях" отсутствуют рекомендации как по выбору и применению тех или иных функциональных требований, так и по определению их роли в системе обеспечения безопасности. Вместо жестких указаний этот документ содержит согласованный с предшествующими ему стандартами ( "Оранжевая книга", "Европейские критерии" ) ранжированный перечень функциональных требований и предоставляет разработчикам профиля защиты возможность самостоятельно сделать выбор необходимых методов и средств обеспечения безопасности, основанный на назначении и специфике среды эксплуатации ПИТ.

Приводимое ранжирование не противоречит предшествующим стандартам и вводится для исключения ошибок в определении степени защищенности системы из - за неправильной оценки значимости отдельных групп требований. Кроме того, ранжирование предоставляет разработчикам и пользователям возможность для обоснованной оценки реально обеспечиваемого уровня безопасности.

Применение критериев ранжирования к различным группам функциональных требований представлено в таблице 5.4. Знак "*" указывает, на какие значимые свойства компьютерной системы ( широта сферы применения, степень детализации ) влияет реализация того или иного защитного механизма.

Функциональные требование Широта сферы применения Степень детализации Функциональный состав средств защиты Обеспечиваемый уровень безопасности
Политика безопасности * * * *
Политика аудита * * * *
Идентификация и аутентификация     * *
Регистрация в системе     *  
Обеспечение прямого взаимодействия с компьютерной системой *   *  
Регистрация и учет события     * *
Политика управления доступом * * *  
Контроль скрытых каналов *   *  
Политика обеспечения работоспособности * * * *
Контроль над распределением ресурсов *     *
Отказоустойчивость * * * *
Управления безопасностью     * *
Мониторинг взаимодействий * * *  
Логическая защита компьютерной системы     *  
Физическая защита компьютерной системы     * *
Самоконтроль компьютерной системы *   *  
Инициализация и восстановление компьютерной системы     *  
Ограничение привелегий при работе с компьютерной системой   *    
Простота использования компьютерной системы *   *  

Таблица - 5.4

Требования к процессу разработки продукта информационных технологий

Основное назначение требований к технологии разработки ПИТ - обеспечить адекватность условий разработки функциональным требованиям, выдвинутым в соответствующем разделе профиля защиты, и установить ответственность разработчика за корректность реализации этих требований. Данные требования регламентируют процесс создания, тестирования, документирования и сопровождения ПИТ и включают четыре группы требований: к процессу разработки, среде разработки, документированию и сопровождению.

Требования к процессу разработки содержат подразделы, относящиеся к проектированию, реализации, тестированию и анализу ПИТ. Особую роль играют требования адекватности реализации функций компьютерной системы, обеспечивающие корректность выполнения функциональных требований Профиля защиты.

Требования к среде разработки позволяют обеспечить качество процесса создания ПИТ с помощью применения современных технологий проектирования, программирования и тестирования, а также регламентируют управление процессом разработки и дистрибуцию конечного продукта.

Требования к документированию определяют состав и содержание технологической документации, позволяющей производителю ПИТ доказать соответствие самого продукта и технологии его изготовления выдвинутым требованиям.

Требования к сопровождению ПИТ содержат обязательства производителя перед пользователями, выполнение которых позволяет обеспечить эффективную и надежную эксплуатацию ПИТ. Данные требования регламентируют состав пользовательской и административной документации, процедуру обновления версий и исправления ошибок, а таюке инсталляцию продукта.

"Федеральные критерии" содержат ранжированный перечень типовых требований к технологии разработки ПИТ. Выполнение требований к технологии разработки является необходимым условием для проведения процедуры сертификации.

Требования к процессу сертификации продукта информационных технологий

Требования к процессу сертификации ПИТ призваны обеспечить соответствие процесса выдвинутым функциональным требованиями и требованиям к технологии разработки. В критериях описываются три группы требований, регламентирующих анализ, контроль и тестирование ПИТ.

Требования к анализу ПИТ содержат требования к проведению независимого анализа предложенного решения ( архитектуры ) и его реализации как конкретного средства.

Требования к контролю регламентируют проверку соответствия среды разработки ПИТ и обеспечиваемого производителем сопровождения требованиям к технологии разработки.

Требования к тестированию описывают процедуру тестирования функций компьютерной системы как самим разработчиком ПИТ, так и независимыми экспертами.

Рассмотренные требования регламентируют процесс сертификации только в общих чертах и, по замыслу разработчиков стандарта, должны послужить основой для разработки специализированных методик сертификации, ориентированных на различные области применения и классы ПИТ.

В заключение отметим, что "Федеральные критерии безопаености информационных технологий" являются первым стандартом в области безопасности систем обработки информации, в котором определены и рассмотрены три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и требования к процессу сертификации. Авторами этого документа предложена концепция профиля защиты - документа, содержащего полное описание всех требований безопасности: к процессу разработки, сертификации и эксплуатации ПИТ.

Функциональные требования к средствам защиты четко структурированы и описывают все аспекты функционирования компьютерной системы. Требования к технологии разработки, впервые появившиеся в этом документе, позволяют разработчикам использовать современные технологии программирования в качестве основы для подтверждения безопасности своего продукта. Требования к процессу сертификации носят довольно общий характер и не содержат конкретных методик тестирования и исследования ПИТ.

Разработчики "Федеральных критериев" отказались от используемого в "Оранжевой книге" подхода к оценке уровня безопасности ПИТ путем введения обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований по каждой группе, т.е. вместо одной шкалы используется множество частных критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ПИТ выбрать наиболее приемлемое решение и определить необходимый и в ряде случаев достаточный набор требований для каждого конкретного случая.

"Федеральные критерии безопасности информационных технологий" вместе с "Европейскими критериями безопасности информационных технологий" и "Канадскими критериями безопасности компьютерных систем" послужили основой при создании "Единых критериев безопасности информационных технологий". Целью "Единых критериев" стала разработка на основе накопленного в разных странах опыта имеющихся стандартов, разрозненных документов и подходов единого согласованного стандарта, лишенного концептуальных и технических различий, имевшихся у его предшественников. Работа над проектом началась в 1993г., в конце 1996г. была опубликована первая версия документа, а в марте 1998 г. - вторая, доработанная и исправленная. "Единые критерии" адресованы трем группам специалистов: потребителям, производителям и экспертам по классификации. Они представляют новый, межгосударственный уровень в стандартизации информационных технологий.