|

Методика оценки соответствия средств защиты информации общим критериям

Авторы: Барабанов А.В., Марков А.С., Найханова И.В. Опубликовано: 17.08.2013
Опубликовано в выпуске: #2(91)/2013  
DOI:

 
Раздел: Информатика и вычислительная техника  
Ключевые слова: общие критерии, критерии оценки безопасности информационных технологий, оценочный уровень доверия, информационная безопасность, сертификационные испытания

Рассмотрены вопросы сертификации средств защиты информации по требованиям безопасности информации и особенностям оценки соответствия продукции согласно высшим оценочным уровням доверия. Приведены свидетельства, требуемые от разработчика при выполнении сертификационных испытаний, а также особенности их оформления с использованием формальных и полуформальных стилей изложения. На основе методологии "Общих критериев" введено формальное описание процесса оценки соответствия, которое может использоваться испытательными лабораториями при планировании и проведении сертификационных испытаний в соответствии с требованиями новой нормативной базы ФСТЭК России. Рассмотрены основные методы, используемые испытательными лабораториями при проведении испытаний (экспертно-документальный метод, функциональное тестирование, статический и динамический анализ исходных текстов, тестирование проникновением), а также особенности их применения в свете новой нормативной базы. Предложены методические рекомендации по оптимизации процесса оценки соответствия, позволяющие сократить временные и материальные затраты.

Литература

[1] Багаев Д.А., Ланкин О.В., Рогозин Е.А. Способ определения комплексного показателя защищенности автоматизированных систем // Вопросы защиты информации. 2009. № 2. С. 8–10.

[2] Осовецкий Л.Г., Суханов А.В., Мануйлов Н.А. Общие критерии: Реальность и мифы. Научно-технические аспекты // 9 НТК "Майоровские чтения". Теория и технология программирования и защиты информации. Применение вычислительной техники. СПб., 2005. С. 3–5.

[3] Статистика внедрения "Общих критериев" в зарубежных странах / А.С. Марков и др. // Information Security / Информационная безопасность. 2006. № 1/2. C. 12–15.

[4] Грибунин В.Г. "Общие критерии" на российской почве // Information Security / Информационная безопасность. 2005. № 1. С. 22–25.

[5] Бетелин В.В., Галатенко В.А., Кобзарь М.Т., Сидак А.А., Трифаленков И.А. Профили защиты на основе "Общих критериев" // Аналитический обзор. JetInfo. Информационный бюллетень. 2003. № 3 (118).

[6] Барабанов А.В., Гришин М.И., Марков А.С. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации // Изв. института инженерной физики. 2011. № 3. С. 82–88.

[7] Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации // Изв. Таганрогского государственного радиотехнического университета. 2006. Т. 62. № 7. С. 82–87.

[8] Барабанов А.В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. С. 48–53.

[9] Барабанов А.В., Марков А.С., Цирлов В.Л. Разработка методики испытаний межсетевых экранов по требованиям безопасности информации // Вопросы защиты информации. 2011. № 3. С. 19–24.

[10] Барабанов А.В. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля // Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. 2011. № 2. С. 104–115.