Ранжирование требований адекватности представлено в виде упорядоченных списков (Приложение III). Крите­рии адекватности используются в ходе квалификационно­го анализа ИТ-продукта для определения степени кор­ректности реализации функциональных требований и назначения ИТ-продукту соответствующею уровня адекватности. Для этого «Единые критерии» предлагают семь стандартных уровней адекватности, каждый из которых определят степень соответствия ИТ-продукта каждому требованию адекватности (адекватность возрастает от первого уровня к седьмому). Названия уровней отражают возможности средств контроля и верификации, приме­няющихся в ходе разработки и анализа ИТ-продукта.

Уровень 1 Применение функциональною тестиро­вания.

Уровень 2. Применение структурного тестирования.

Уровень 3. Применение методик тестирования и кон­троля

Уровень 4. Применение методик разработки, тестирования и анализа.

Уровень 5. Применение полуформальных методов разработки и тестирования

Уровень б. Применение полуформальных методов верификации в процессе разработки и тестирования.

Уровень 7. Применение формальных методов вери­фикации в процессе разработки и тестирования.

Приложение III содержит таблицу, показывающую распределение требований адекватности по уровням.

Требования «Единых критериев» охватывают практически все аспекты безопасности ИТ-продуктов и слу­жат весьма полезным исходным материалом для потре­бителей и разработчиков при формировании профилей и проектов защиты. Кроме того, «Единые критерии» яв­ляются всеобъемлющей энциклопедией информацион­ной безопасности.

Рис. 2.20 Таксономия адекватности «Единых критериев».

2.10.4. Выводы

«Единые критерии безопасности информационных технологий» представляют собой результат обобщения всех достижений в области информационной безопасно­сти. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экспер­там по квалификации ИТ-продуктов.

Предложенные «Едиными критериями» механизмы профиля защиты и проекта защиты позволяю г потреби­телям и производителям в полной мере выразить свой взгляд на требования безопасности и задачи защиты, а с другой стороны дают возможность экспертам по квали­фикации проанализировать взаимное соответствие меж­ду требованиями, нуждами потребителей, задачами за­щиты и средствами защиты ИТ-продукта. В отличие от профиля защиты «Федеральных критериев», который ориентирован исключительно на среду применения ИТ-продукта, профиль защиты «Единых критериев» предна­значен непосредственно для удовлетворения нужд по­требителей.

Разработчики «Единых критериев» продолжили под­ход «Федеральных критериев», направленный на отказ от единой шкалы безопасности, и усилили гибкость этого решения путем введения частично упорядоченных шкал, благодаря чему потребители и производители по­лучили дополнительные возможности по приспособле­нию требований к свои нуждам.

Этот документ ознаменовал собой новый уровень стандартизации информационных технологий, подняв его на межгосударственный уровень. За этим проглядывается перспектива создания единого информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных информационных систем, что в свою очередь откроет совершенно новые сферы приме­нения информационных технологий. Остается только посетовать, что наша страна, как всегда, осталась в сто­роне этого процесса.

2.11. Анализ стандартов информационной безопасности

Как уже говорилось, главная задача стандартов ин­формационной безопасности — согласовать позиции и запросы производителей, потребителей и аналитиков-классификаторов продуктов информационных техноло­гий. Каждая из категорий специалистов оценивает стан­дарты и содержащиеся в них требования и критерии по своим собственным параметрам. Для потребителей наи­более значительную роль играет простота критериев и однозначность параметров выбора защищенной систе­мы, а для наиболее квалифицированной части пользова­телей — гибкость требований и возможность их приме­нения к специфическим ИТ-продуктам и средам эксплуа­тации. Производители требуют от стандартов макси­мальной конкретности и совместимости требований и критериев с современными архитектурами ВС и с рас­пространенными ОС. Эксперты по квалификации меч­тают о стандартах, детально регламентирующих проце­дуру квалификационного анализа, и о четких, простых, однозначных и легко применяемых критериях. Очевид­но, что подобный идеал недостижим, и реальность тре­бует от каждой стороны определенных компромиссов. Поэтому не будем проводить субъективный анализ стан­дартов с точки зрения каждого из участников процесса создания защищенных систем, а попытаемся ввести об­щие для всех «объективные» критерии сопоставления.

В качестве обобщенных показателей, характеризую­щих стандарты информационной безопасности и имею­щих значение для всех трех групп, можно назвать универсальность, гибкость, гарантированность, реализуе­мость и актуальность.

Универсальность стандарта определяется множест­вом типов ВС и областей их применения, к которым могут быть корректно применены его положения. Эго очень важная характеристика стандарта, так как ин­формационные технолог ни переживают период бурно­го развития, архитектура компьютерных систем посто­янно совершенствуется, а сфера их применения посто­янно расширяется. Стандарты информационной безо­пасности в своем развитии не должны отставать от информационных технологий, что может быть обеспечено только гибкостью предлагаемых ими требований и критериев.

Под гибкостью стандарта понимается возможность и удобство его применения к постоянно развивающимся информационным технологиям, а также время, в течение которого он сохраняет свою актуальность. Гибкость может быть достигнута исключительно через фундамен­тальность требований и критериев и их инвариантность по отношению к механизмам реализации и технологиям создания ИТ-продуктов. Однако очевидно, что чрезмер­ная абстрактность требований и оторванность их от практики снижает их реализуемость.

Гарантированность определяется мощностью преду­смотренных стандартом методов и средств подтвержде­ния надежности результатов квалификационного анали­за. Вначале этому вопросу не уделялось много внимания, но анализ опыта применения первых стандартов инфор­мационной безопасное ги показал, что для достижения поставленных целей аналитики-классификаторы должны иметь возможность обосновывать свои заключения, а разработчики нуждаются в механизмах, с помощью которых они могли бы подтвердить корректность своих притязаний и предоставить потребителям определенные гарантии.

Реализуемость — это возможность адекватной реа­лизации требований и критериев стандарта на практике, | с учетом за грат на этот процесс. Реализуемость во многом связана с универсальностью и гибкостью, но отражает чисто практические и технологические аспекты реализации положений стандарта.