[МУЗЫКА] Далее отдельно рассмотрим состоящий из трех частей стандарт Р ИСО/МЭК 15408, являющийся адаптацией документа «Общие критерии». Данный государственный стандарт называется полностью «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Его первая часть содержит введение и описание общей модели оценки безопасности информационных технологий, вторая часть — так называемые функциональные компоненты безопасности, и третья часть — компоненты доверия к безопасности. В общей модели указано, как использовать эти функциональные и компоненты доверия к безопасности, как они взаимосвязаны между собой, и соответственно, как на основе изучения этих компонентов делается вывод о том, насколько защищена та или иная информационная система или информационная технология от различных угроз информационной безопасности. Данный государственный стандарт является утвержденной в Российской Федерации в качестве государственного стандарта версией документа «Общие критерии оценки защищенности информационных технологий», известного также, как «Общие критерии». Данный документ объединяет и развивает наиболее отработанные подходы к оценке безопасности информационных систем. На нашей прошлой лекции мы с вами говорили о такой технологии, как системы обнаружения атак, а еще лекцией ранее — о политике безопасности организаций. И на этих двух этапах мы, в общем-то, завершили строительство системы информационной безопасности объекта информатизации. А вот эти государственные стандарты — я имею в виду состоящий из трех частей 15408 — они дают инструмент для того, чтобы оценить, насколько хороший результат у нас получился, насколько поставленная исходная задача — защита от актуальных угроз информационной безопасности — выполнена. О том, как конкретно это будет проводиться, мы далее поговорим подробнее, отдельно рассмотрев каждую из этих трех частей. Но пока уточним, для чего, собственно, предназначен данный стандарт. Его основная задача заключается в обеспечении сопоставимости результатов независимых оценок безопасности. Дело в том, что жизненный цикл тех или иных объектов информатизации, средств обеспечения информационной безопасности предполагает участие различных лиц, ну например, таких, как производители средств информационной безопасности, тех, кто разрабатывает проект объекта информатизации и выбирает, какие средства защиты информации будут в нем использоваться, конкретные пользователи, администраторы, руководство организации, которая представляет данный объект информатизации. У каждого из этих лиц, как правило, есть свое представление о том, какая должна быть система, чтобы она была надежной. При проектировании принимаются решения о том, какие требования к безопасности должны быть выдвинуты, как они должны соблюдаться, что для этого должно быть использовано. Производители средств защиты информации знают функциональные требования к своим объектам продукции, к своим изделиям, но просто конкретного надежного изделия не достаточно, требуется его правильно эксплуатировать. А вот вопрос о том, как он правильно эксплуатируется, тот или иной механизм защиты информации или то или иное устройство — это уже вопрос, который относится к администраторам системы безопасности и даже конечным пользователям. Вот для того, чтобы все эти лица имели бы возможность сопоставлять результаты своих оценок безопасности планируемого или уже существующего объекта информатизации, и служит данный государственный стандарт. Методика оценивания, которая в нем предлагается, направлена на достижение определенного уровня уверенности в том, что функциональные возможности безопасности продуктов информационных технологий, а также предпринятые меры доверия соответствуют предъявляемым требованиям. То есть сначала устанавливается некий уровень, который требуется достичь, далее перечисляется перечень средств, которые для этого были использованы, а далее экспертным образом проводится оценивание того, действительно ли эти средства корректно применяются и действительно ли заданный уровень безопасности информации достигнут. Первая часть данного стандарта содержит общую модель оценивания, вопросы выработки требований безопасности, интерпретации и использования результатов оценки. Во второй и третьей частях содержатся описания соответственно функциональных и компонентов доверия безопасности. [МУЗЫКА] [МУЗЫКА]