Википедия

Общие критерии: различия между версиями

Интерактивная навигация по истории
(Показать все непатрулированные изменения)
[непроверенная версия][непроверенная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
м бот: добавление заголовков в сноски; исправление двойных сносок, см. ЧаВо
м оформление
Строка 1:
{{rq|wikify}}
'''Общие критерии оценки защищённости информационных технологий''', '''Общие критерии'''<ref>Общеизвестное более короткое название</ref>, '''ОК''' ({{lang-en|Common Criteria for Information Technology Security Evaluation}}, {{lang-en2|Common Criteria}}; аббр, {{lang-en2|CC}},) или ''ОК'')[[Международная стандартизация#Нормы Государственной системы стандартизации России|российский]]<ref name=autogenerated4>ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01 [http://docs.cntd.ru/document/1200105711]</ref> и [[Международныймеждународный стандарт]]<ref name=autogenerated1>[[ISO]]/[[IEC]] 15408 - [http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40612&ICS1=35&ICS2=40&ICS3=&showrevision=y&scopelist=ALL Evaluation criteria for IT security]</ref><ref name=autogenerated4>ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01 [http://docs.cntd.ru/document/1200105711]</ref> по [[компьютерная безопасность|компьютерной безопасности]]. В отличие от стандарта [[FIPS]] 140<ref>[[:en:FIPS 140|FIPS 140]] {{ref-en}}</ref>, ''Common Criteria'' не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает [[инфраструктура|инфраструктуру]] (''framework''), в которой ''потребители'' компьютерной системы могут описать требования, ''разработчики'' могут заявить о свойствах безопасности продуктов, а ''[[эксперт]]ы'' по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, <!-- provides assurance --> в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью. <!-- rigorous manner -->
 
Прообразом данного документа послужили ''«[[Критерии определения безопасности компьютерных систем|Критерии оценки безопасности информационных технологий]]»'' ({{lang-en|Evaluation Criteria for IT Security}}, {{lang-en2|ECITS}}), работа над которыми началась в 1990 году (см. [[{{Переход|#историяИстория разработки|историю разработки]] далее).1}}
 
== Основные понятия ==
 
Стандарт содержит два основных вида требований безопасности: '''функциональные''', предъявляемые к функциям безопасности и реализующим их механизмам, и '''требования доверия''', предъявляемые к технологии и процессу разработки и эксплуатации.
 
Строка 11 ⟶ 10 :
 
=== Функциональные требования ===
 
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.
 
# Первая группа определяет элементарные сервисы безопасности:
## FAU — [[аудит]], безопасность (требования к сервису, протоколирование и аудит);
Строка 30 ⟶ 27 :
 
=== Классы функциональных требований к элементарным сервисам безопасности ===
 
К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.
 
Строка 40 ⟶ 36 :
 
=== Требования доверия ===
 
Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.
 
# Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
## APE — оценка профиля защиты;
Строка 57 ⟶ 51 :
 
== История разработки ==
 
Разработке ''«Общих критериев»'' предшествовала разработка документа ''«Критерии оценки безопасности информационных технологий»'' ({{lang-en|Evaluation Criteria for IT Security, ECITS}}), начатая в [[1990 год]]у, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации ([[ISO]]).
 
Данный документ послужил основой для начала работы над документом ''Общие критерии оценки безопасности информационных технологий'' ({{lang-en|Common Criteria for IT Security Evaluation}}), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран ([[США]], [[Канада]], [[Германия]], [[Великобритания]], [[Франция]], [[Нидерланды]]). В работе над проектом принимали участие следующие институты:
 
# Национальный институт стандартов и технологии и Агентство национальной безопасности ([[США]]);
# Учреждение безопасности коммуникаций ([[Канада]]);
Источник — https://ru.wikipedia.org/wiki/Общие_критерии