Информационная безопасность




История вопросаСуществующие версии


В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии в дальнейшем государственных организаций США, Канады, Великобритании, Франции, Германии и Нидерландов были развернуты работы по созданию международного стандарта (исторически сложившееся название — Общие критерии) в области оценки безопасности информационных технологий (ИТ). Разработка этого стандарта преследовала следующие основные цели:

  • Унификация национальных стандартов в области оценки безопасности ИТ;
  • Повышение уровня доверия к оценке безопасности ИТ;
  • Сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

ное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.

Официальный текст международного стандарта ISO/IEC 15408 [1] [2] [3] издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 Общих критериев (ОК), идентичной стандарту по содержанию. В 2002 году на основе аутентичного текста ISO/IEC 15408 был принят российский стандарт ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" [4] [5] [6].

В поддержку стандарта под эгидой ИСО разработан целый ряд нормативно-методических документов. Среди них:

  • Руководство по разработке профилей защиты и заданий по безопасности [7];
  • Процедуры регистрации профилей защиты [8];
  • Общая методология оценки безопасности информационных технологий [9] [10].

Что касается первых двух документов, то их аналоги уже есть в России в виде руководящих документов, одобренных в январе 2004 года коллегией Гостехкомиссии России. Настоящая статья посвящена последнему из перечисленных (но далеко не последнему по значению) документу — "Общая методология оценки безопасности информационных технологий" (ОМО).

Общая методология оценки по ОМО — документ, сопровождающий ОК. В ОМО описываются основные действия, которые необходимо выполнить оценщику при проведении оценки безопасности ИТ с использованием критериев и свидетельств оценки, определенных в ОК.


Содержание  Назад  Вперед