«УТВЕРЖДАЮ»
Начальник ОА
« 3 » октября 2008 г.
6. Вывод
"Оранжевая книга" являлась первым стандартом информационной безопасности, в котором компьютерную систему (продукт) в процессе оценивания, условно можно разделить на четыре типа - требования проведения последовательной политики безопасности (security policy), требования ведения учета использования продукта (accounts), требования доверия к продукту (assurance) и требования к документации на продукт.
"Федеральные критерии безопасности информационных технологий" являются по сравнению с "Оранжевой книгой" стандартом нового поколения. "Федеральные критерии" являются первым стандартом информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа (сертификации). Авторами стандарта впервые предложена концепция «Требования к процессу квалификационного анализа ИТ-продукта»- документа, призванного обеспечить надежность и корректность этого процесса. Разработчики "Федеральных критериев" также отказались от используемого в "Оранжевой книге" подхода к оценке уровня безопасности изделия ИТ на основе обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т.е. используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Такой подход позволяет разработчикам и потребителям изделия ИТ выбрать наиболее приемлемое решение и определить необходимый и достаточный набор требований для каждого конкретного продукта ИТ и среды его эксплуатации.
"Общие критерии оценки безопасности информационных технологий" представляют собой результат обобщения всех достижений в области информационной безопасности. Они согласованы с существующими стандартами и развивают их путем введения новых концепций, соответствующих современному уровню развития информационных технологий. "Общие критерии" продолжили подход "Федеральных критериев", направленный на отказ от единой шкалы классов безопасности, и повысили гибкость и удобство применения критериев путем введения частично упорядоченных шкал. "Общие критерии" оставили далеко позади все существующие стандарты безопасности информационных технологий. "Общие критерии" разрабатываются как проект международного стандарта ИСО и должны позволить осуществлять сертификацию продуктов ИТ на глобальном уровне.