Критерии оценки безопасности информационных технологий реферат

Обновлено: 05.07.2024

Основные положения

Профиль защиты — специальный нормативный доку­мент, представляющий собой совокупность Задач защи­ты, функциональных требований, требований адекватно­сти и их обоснования. Служит руководством для разра­ботчика ИТ-продукта при создании проекта защиты.

Проект защиты — специальный нормативный доку­мент, представляющий собой совокупность задач защи­ты, функциональных требований, требований адекват­ности. общих спецификаций средств защиты и их обос­нования. В ходе квалификационного анализа служит в качестве описания ИТ-продукта.

———————— à - информационные потоки

- - - - - - - - - - - - - -à - влияние по принципу обратной связи

Рис 2.11. Схема процесса разработки и кавлифакационного анализа ИТ-продукта с точки зрения "Единых критериев"

Квалификационный анализ может осуществляться как параллельно с разработкой, так и следовать за ней. Для проведения квалификационного анализа должны быть получены следующие материалы:

· проект защиты, описывающий функции защиты ИТ-продукта и требования безопасности, соответ­ствующие требованиям Профиля защиты, на реа­лизацию которого претендует ИТ-продукт;

· доказательства возможностей ИТ-продукта. пред­ставленные его разработчиком:

· дополнительные сведения, полученные путем про­ведения различных экспертиз.

Процесс квалификационного анализа включает три стадии:

1. Анализ профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности ис­пользования в качестве набора требований для анализи­руемого продукта.

2. Анализ проекта защиты на предмет его соответст­вия требованиям профиля защиты, а также полноты, не­противоречивости, реализуемости и возможности ис­пользования в качестве описания ИТ-продукта.

3. Анализ ИТ-продукта на предмет соответствия проекту защиты.

Основными документами, описывающими все аспек­ты безопасности ИТ-продукта с точки зрения пользова­телей и разработчиков, являются соответственно про­филь защиты и проект защиты. Рассмотрим структуру и содержание этих документов.

Профиль защиты

Профиль защиты определяет требования безопасно­сти к определенной категории ИТ-продуктов, не уточняя методы и средства их реализации. С помощью профилей защиты потребители формулируют свои требования к производителям.

Рассмотрим назначение и содержание разделов про­филя защиты.

Введение содержит всю информацию, необходимую для поиска профиля защиты в библиотеке профилей.

Идентификатор профиля защиты представляет со­бой уникальное имя, пригодное для его поиска среди по­добных ему профилей и обозначения ссылок на него.

Обзор содержания содержит краткую аннотацию профиля защиты, на основании которой потребитель может сделать вывод о пригодности данного профиля для его нужд.

Описание ИТ-продукта должно содержать его крат­кую характеристику, функциональное назначение, прин­ципы работы, методы использования и т. д. Эта инфор­мация не подлежит анализу и сертификации, но предос­тавляется производителям и экспертам по квалификации для пояснения требований безопасности и определения их соответствия задачам, решаемым с помощью ИТ-про­дукта, а также для общего понимания его структуры и принципов работы.

Среда эксплуатации. Этот раздел содержит описание всех аспектов функционирования ИТ-продукта, связан­ных с безопасностью.

Угрозы безопасности. Описание угроз безопасности, присущих среде эксплуатации ИТ-продукта, которым должна противостоять защита. Для каждой угрозы дол­жен быть указан ее источник, а также метод воздействия и его объект.

Политика безопасности. Описание политики безо­пасности должно определять и, при необходимости, объ­яснять правила политики безопасности, которая должна быть реализована в ИТ-продукте.

Условия эксплуатации. Описание условий эксплуата­ции ИТ-продукта должно содержать исчерпывающую характеристику среды его эксплуатации с точки зрения безопасности.

Задачи защиты отражают потребности пользовате­лей в противодействии указанным угрозам безопасности и/или в реализации политики безопасности.

Задачи защиты ИТ-продукта должны быть четко оп­ределены и отражать потребности в противодействии угрозам безопасности и/или в реализации политики безопасности.

Другие задачи защиты отражают потребности в противодействии угрозам безопасности и/или в реализации политики безопасности других (не относящих­ся к сфере информационных технологий) компонентов ВС.

Требования безопасности. В этом разделе профиля защиты содержатся требования безопасности, которым должен удовлетворять ИТ-продукт для решения задач защиты.

Дополнительные сведения — необязательный раздел, содержащий любую дополнительную информацию, ко­торая может быть полезна для проектирования, разра­ботки, квалификационного анализа и сертификации ИТ-продукта.

Обоснование должно демонстрировать, что профиль защиты содержит полное ч связное множество требова­ний, и что удовлетворяющий им ИТ-продукт будет эффективно противостоять угрозам безопасности среды эксплуатации.

Обоснование задач защиты должно демонстриро­вать, что задачи защиты, предложенные в профиле, со­ответствуют свойствам среды эксплуатации, так как их решение позволит эффективно противостоять угро­зам безопасности и реализовать политику безопас­ности.

Обоснование требовании безопасности показывает, что требования безопасности позволяют решить задачи защиты, так как:

· совокупность целей, преследуемых отдельными функциональными требованиями, соответствует установленным задачам защиты;

· требования безопасности являются согласованны­ми, т. е. не противоречат друг другу, а, напротив, взаимно усиливаются;

· все взаимосвязи между требованиями учтены либо посредством их указания в требованиях, либо| по­средством установления требований к среде экс­плуатации;

· выбранный набор требований и уровень адекват­ности могут быть обоснованы.

Профиль защиты служит отправной точкой для про­изводителя, ИТ-продукта, который должен на основа­нии этого материала и предложенных им технических решений разработать проект защиты, который будет представлять ИТ-продукт в ходе квалификационного анализа.

Проект защиты

Проект защиты содержит требования и задачи защи­ты ИТ-продукта, а также описывает уровень функцио­нальных возможностей реализованных в нем средств за­щиты, их обоснование и подтверждение степени их адек­ватности. Проект защиты представляет собой основу Для совместной работы производителей и экспертов по квалификации. Структура проекта представлена на рис. 2.13.

Многие разделы проекта защиты совпадают с одно­именными разделами профиля защиты, поэтому рас­смотрим только те разделы, которые специфичны для проекта защиты, а также те, которые претерпели изме­нения.

Введение содержит информацию, необходимую для идентификации проекта защиты, определения назначе­ния, а также обзор его содержания.

Идентификатор представляет собой уникальное имя проекта защиты, необходимое для поиска и идентифика­ции проекта защиты и соответствующею ему ИТ-продукта.

Обзор содержании представляют собой достаточно подробную аннотацию проекта защиты, позволяющую потенциальным потребителям определить пригодность ИТ-продукта для решения их задач.

Раздел Требований безопасности проекта защиты со­держит требования безопасности к ИТ-продукту, кото­рыми руководствовался производитель в ходе его разра­ботки, что позволяет ему заявлять об успешном решении поставленных задач защиты. Этот раздел несколько от­личается от аналогичного раздела профиля защиты.

Общие спецификации ИТ-продукта отражают реали­зацию ИТ-продуктом требований безопасности с помо­щью определения высокоуровневых спецификаций функ­ций защиты, реализующих функциональные требования и требования адекватности.

Спецификации функций защиты описывают функцио­нальные возможности средств защиты ИТ-продукта, за­явленные его производителем как реализующие требо­вания безопасности. Форма представления специфика­ций должна позволять определять соответствия между функциями защиты и требованиями безопасности.

Спецификации уровня адекватности определяют за­явленный уровень адекватности защиты ИТ-продукта и его соответствие требованиям адекватности в виде пред­ставления параметров технологии проектирования и создания ИТ-продукта. Эти параметры должны быть представлены в форме, позволяющей определить их со­ответствие требованиям адекватности.

Заявка на соответствие профилю защиты. Проект защиты претендует на удовлетворение требований одно­го или нескольких профилей защиты. Этот необязатель­ный раздел содержит материалы, необходимые для под­тверждения заявки. Для каждого профиля защиты, на реализацию которого претендует проект защиты, этот раздел должен содержать следующую информацию:

Ссылка на профиль защиты однозначно идентифици­рует профиль защиты, на реализацию которого претен­дует проект безопасности, с указанием случаев, в кото­рых обеспечиваемый уровень защиты превосходит тре­бования профиля. Корректная реализация профиля за­щиты подразумевает корректную реализацию всех его требований без исключения.

Соответствие профилю защиты определяет возмож­ности ИТ-продукта, которые реализуют задачи защиты и требования, содержащиеся в профиле защиты.

Усовершенствования профиля защиты отражают возможности ИТ-продукта, которые выходят за рамки за­дач защиты и требований, установленных в профиле за­щиты.

Oбoснование должно показывать, что проект защиты содержит полное и связное множество требований, что реализующий его ИТ-продукт будет эффективно проти­востоять угрозам безопасности среды эксплуатации и что общие спецификации функций защиты соответству­ют требованиям безопасности. Кроме того, обоснование содержит подтверждения заявленного соответствия про­филю защиты. Обоснование проекта защиты включает следующие разделы:

Обоснование задач защиты должно демонстрировать, что задачи защиты, предложенные в проекте защиты, соответствуют свойствам среды эксплуатации, т.е. их решение позволит эффективно противодействовать уг­розам безопасности и реализовать политику безопасно­сти.

Обоснование требований безопасности показывает, что требования безопасности позволяют решить задачи защиты, так как:

· функциональные требования безопасности соот­ветствуют задачам защиты;

· требования адекватности соответствуют функцио­нальным требованиям и усиливают их;

· все требования безопасности успешно реализова­ны;

· заявленный уровень адекватности может быть подтвержден.

Обоснование функций защиты должно демонстриро­вать их соответствие функциональным требованиям безопасности и задачам защиты. Для этого должно быть показано, что:

· указанные функции защиты соответствуют заяв­ленным задачам защиты;

· совокупность указанных функций защиты обеспе­чивает эффективное решение совокупности задач защиты;

· заявленные возможности функций защиты соот­ветствует действительности.

Обоснование уровня адекватности подтверждает, что заявленный уровень безопасности соответствует требо­ваниям адекватности.

Обоснование соответствия профилю защиты показы­вает, что требования проекта защиты поддерживают все требования профиля защиты. Для этого должно быть показано, что:

· все усовершенствования задач защиты по сравне­нию с профилем защиты осуществлены корректно и в направлении их развития и конкретизации;

· все усовершенствования требований безопасности по сравнению с профилем защиты осуществлены корректно и в направлении их развития и конкре­тизации;

· все задачи защиты профиля защиты успешно ре­шены и все требования профиля защиты удовле­творены;

· никакие дополнительно введенные в проект защи­ты специальные задачи защиты и требования безопасности не противоречат профилю защиты.

Как видно из приведенных структуры и обзора со­держания профиля защиты и проекта защиты, эти до­кументы практически исчерпывающим образом регла­ментируют взаимодействие потребителей, производи­телей и экспертов по квалификации в процессе созда­ния ИТ-продукта. Фактически, положения этих доку­ментов определяют технологию разработки защищен­ных систем.

БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Критерии оценки безопасности информационных технологий

Часть 1. Введение и общая модель

ВВЕДЕН В ДЕЙСТВИЕ Приказом Гостехкомиссии России от 19.06.02 г. N 187

Дата введения 2002-06-19

Общие положения

Настоящий руководящий документ (РД) содержит систематизированный каталог требований к безопасности информационных технологий (ИТ), порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации.

Основной целью руководящего документа является повышение доверия к безопасности продуктов и систем информационных технологий. Положения руководящего документа направлены на создание продуктов и систем информационных технологий с уровнем безопасности, адекватным имеющимся по отношению к ним угрозам и проводимой политике безопасности с учетом условий применения, что должно обеспечить оптимизацию продуктов и систем ИТ по критерию "эффективность-стоимость".

Под безопасностью информационной технологии понимается состояние ИТ, определяющее защищенность информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.

Доверие к безопасности ИТ обеспечивается, как реализацией в них необходимых функциональных возможностей, так и осуществлением комплекса мер по обеспечению безопасности при разработке продуктов и систем ИТ, проведением независимых оценок их безопасности и контролем ее уровня при эксплуатации.

Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя из имеющихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учетом условий их применения. При формировании требований должны в максимальной степени использоваться компоненты требований, представленные в настоящем руководящем документе. Допускается также использование и других требований безопасности, при этом уровень детализации и способ выражения требований, представленных в настоящем руководящем документе, должны использоваться в качестве образца. Требования безопасности могут задаваться Заказчиком в техническом задании на разработку продуктов и систем ИТ или формироваться Разработчиком при создании им продуктов ИТ самостоятельно.

Требования безопасности, являющиеся общими для некоторого типа продуктов или систем ИТ, могут оформляться в виде представленной в настоящем руководящем документе структуры, именуемой "Профиль защиты". Профили защиты, прошедшие оценку в установленном порядке, регистрируются и помещаются в каталог оцененных профилей защиты.

Оценка и сертификация безопасности ИТ проводится на соответствие требованиям, представляемым Разработчиком продукта или системы ИТ в Задании по безопасности. Требования заданий по безопасности продуктов и систем ИТ, предназначенных для использования в областях применения, регулируемых государством, должны соответствовать требованиям установленных профилей защиты.

Руководящий документ состоит из трех частей.

Часть 1 РД определяет виды требований безопасности (функциональные и требования доверия), основные конструкции представления требований безопасности (профиль защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ.

Часть 2 РД содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 РД содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Требования безопасности, содержащиеся в настоящем руководящем документе, могут уточняться и дополняться по мере совершенствования правовой и нормативной базы, развития информационных технологий и совершенствования методов обеспечения безопасности. Внесение изменений в руководящий документ осуществляется в порядке, устанавливаемом Гостехкомиссией России.

1 Область применения

Настоящий руководящий документ определяет критерии, за которыми исторически закрепилось название "Общие критерии" (ОК). ОК предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем информационных технологий (ИТ). Устанавливая общую базу критериев, ОК делают результаты оценки безопасности ИТ значимыми для более широкой аудитории.

ОК дают возможность сравнения результатов независимых оценок безопасности. Это достигается предоставлением общего набора требований к функциям безопасности продуктов и систем ИТ и к мерам доверия, применяемых к ним при оценке безопасности. В процессе оценки достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям. Результаты оценки помогут потребителям решить, являются ли продукты или системы ИТ достаточно безопасными для их предполагаемого применения, и приемлемы ли прогнозируемые риски при их использовании.

ОК полезны в качестве руководства как при разработке продуктов или систем с функциями безопасности ИТ, так и при приобретении коммерческих продуктов и систем с такими функциями. При оценке такой продукт или систему ИТ называют объектом оценки (ОО). К таким ОО, например, относятся операционные системы, вычислительные сети, распределенные системы и приложения.

ОК направлены на защиту информации от несанкционированного раскрытия, модификации или потери возможности ее использования. Категории защиты, относящиеся к этим трем типам нарушения безопасности, обычно называют конфиденциальностью, целостностью и доступностью соответственно. ОК могут быть также применены к тем аспектам безопасности ИТ, которые выходят за пределы этих трех понятий. ОК сосредоточены на угрозах информации, возникающих в результате действий человека, как злоумышленных, так и иных, но возможно также применение ОК и для некоторых угроз, не связанных с человеческим фактором. Кроме того, ОК могут быть применены и в других областях ИТ, но не декларируется их правомочность вне строго ограниченной сферы безопасности ИТ.

ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Если предполагается, что отдельные аспекты оценки применимы только для некоторых способов реализации, это будет отмечено при изложении соответствующих критериев.

Некоторые вопросы рассматриваются как лежащие вне области действия ОК, поскольку они требуют привлечения специальных методов или являются смежными по отношению к безопасности ИТ. Часть из них перечислена ниже.

а) ОК не содержат критериев оценки безопасности, касающихся административных мер безопасности, непосредственно не относящихся к мерам безопасности ИТ. Известно, однако, что безопасность ОО в значительной степени может быть достигнута административными мерами, такими как организационные меры, управление персоналом, физическая защита и процедурный контроль. Административные меры безопасности в среде эксплуатации ОО рассматриваются в качестве предположений о безопасном использовании там, где они влияют на способность мер безопасности ИТ противостоять установленным угрозам.

б) Оценка специальных физических аспектов безопасности ИТ, таких как контроль электромагнитного излучения, прямо не затрагивается, хотя многие концепции ОК применимы и в этой области. В частности, рассмотрены некоторые аспекты физической защиты ОО.

в) В ОК не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки. Тем не менее, ожидается, что ОК будут использоваться для целей оценки в контексте такой структуры и такой методологии.

г) Процедуры использования результатов оценки при аттестации продуктов и систем ИТ находятся вне области действия ОК. Аттестация продукта или системы ИТ является административным процессом, посредством которого предоставляются полномочия на их использование в конкретной среде эксплуатации. Оценка концентрируется на тех аспектах безопасности продукта или системы ИТ и на тех аспектах среды эксплуатации, которые могут непосредственно влиять на безопасное использование элементов ИТ. Результаты процесса оценки являются, следовательно, важными исходными материалами для процесса аттестации. Однако, поскольку для оценки не связанных с ИТ характеристик безопасности продукта или системы, а также их соотнесения с аспектами безопасности ИТ более приемлемы другие способы, аттестующим следует предусмотреть для этих аспектов особый подход.

д) Критерии для оценки специфических качеств криптографических алгоритмов не входят в ОК. Если требуется независимая оценка математических свойств криптографии, встроенной в ОО, то в системе оценки, в рамках которой применяются ОК, необходимо предусмотреть проведение таких оценок.

Общие критерии оценки безопасности информационных технологий

Безопасность информационных технологий стоит в ряду актуальнейших проблем компьютеризации управленческой деятельности. Ее решение определяется, в первую очередь, наличием законодательных актов и нормативно-технических документов по обеспечению безопасности ИТ. Критерии оценки безопасности ИТ занимают среди них особое место. Только стандартизованные критерии позволяют проводить сравнительный анализ и сопоставимую оценку изделий ИТ.

В России единственными нормативными документами по критериям оценки защищенности средств вычислительной техники и автоматизированных систем являются Руководящие документы Гостехкомиссии РФ [1] , [2] , [3] , [4] и [5] , разработанные с учетом предшествующих основополагающих документов [10] , [13] .

Появление материалов проекта международного стандарта по Общим критериям оценки безопасности информационных технологий [16] является качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.

Общие критерии обобщили содержание и опыт использования Оранжевой книги [10] , развили уровни гарантии оценки Европейских критериев [13] , воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США [15] .

В Общих критериях проведена классификация широкого набора функциональных требований и требований гарантированности, определены структуры их группирования и принципы целевого использования.

Главные преимущества Общих критериев — полнота требований безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники.

Настоящий обзор подготовлен с целью обобщения имеющихся материалов по Общим критериям оценки безопасности ИТ и разработки предложений по их использованию при:

  • разработке новых нормативно-технических документов;
  • формировании разделов ТЗ по безопасности информации для объектов и систем ИТ;
  • сертификации продуктов и систем ИТ;
  • оценке безопасности продуктов и систем ИТ на этапах разработки, испытаний и эксплуатации;
  • оценке безопасности продуктов и систем ИТ на этапах разработки, испытаний и эксплуатации;
  • разработке комплекса инструментальных средств поддержки испытаний.

Обзор имеет также целью облегчить ознакомление с Общими критериями оценки безопасности информационных технологий, учитывая, что общий объем материалов версии 1.0 Общих критериев, включая приложения, составляет более 800 страниц.

При подготовке материала сохранена последовательность изложения основных положений Общих критериев и принятая в них терминология.

Обзор подготовил ктн М.Т.Кобзарь. Автор выражает глубокую благодарность В.А.Евстигнееву, М.Ю.Долинину, В.В.Бердинских за помощь в техническом переводе исходных текстов и участие в их редактировании, а также кандидатам технических наук А.П.Трубачеву, Ю.М.Гончарову, И.А.Калайде за внимательное прочтение материалов обзора и ценные замечания. Особая благодарность доктору технических наук Ю.А.Бородину, который обеспечил получение исходных текстов по сети Интернет и провел их предварительный анализ.

В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии в дальнейшем государственных организаций США, Канады, Великобритании, Франции, Германии и Нидерландов были развернуты работы по созданию международного стандарта (исторически сложившееся название – Общие критерии) в области оценки безопасности информационных технологий (ИТ).

Разработка этого стандарта преследовала следующие основные цели:

  • Унификациянациональныхстандартоввобласти оценки безопасности ИТ;
  • Повышение уровня доверия к оценке безопасности ИТ;
  • Сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Общие критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.

В поддержку стандарта под эгидой ИСО разработан целый ряд нормативно-методических документов. Среди них:

  • Руководство по разработке профилей защиты и заданий по безопасности;
  • Процедуры регистрации профилей защиты;
  • Общая методология оценки безопасности информационных технологий.

Общая методология оценки по ОМО – документ, сопровождающий ОК. В ОМО описываются основные действия, которые необходимо выполнить оценщику при проведении оценки безопасности ИТ с использованием критериев и свидетельств оценки, определенных в ОК. ОМО предназначена, главным образом, для оценщиков, использующих ОК, и экспертов органов по сертификации, подтверждающих действия оценщиков. ОМО может быть использована также заявителями на проведение оценки для получения исходной информации, разработчиками продуктов и систем ИТ, профилей защиты (ПЗ) и заданий по безопасности (ЗБ), а также другими сторонами, заинтересованными в обеспечении безопасности ИТ.

Основным лейтмотивом создания ОМО явилась унификация на международном уровне способов и приемов проведения оценки по ОК в целях взаимного признания оценок и, таким образом, устранения накладных расходов, связанных с дублированием оценок продуктов ИТ и профилей защиты.

Несколько слов о взаимном признании оценок. В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и США было подписано соглашение о взаимном признании оценок (The International Mutual Recognition Arrangement – MRA), полученных на основе Общих критериев. В соответствии с этим Соглашением стороны намеревались признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения Общих критериев и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в MRA правила позволяли присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты.

В мае 2000 года представителями уже четырнадцати стран (Канады, Франции, Германии, Великобритании, США, Нидерландов, Италии, Греции, Испании, Швеции, Норвегии, Финляндии, Австралии и Новой Зеландии) было подписано более универсальное (по сравнению с MRA) соглашение CCRA (Arrangement of the Recognition of Common Criteria Certificates in the field of Information Technology Security). Соглашение CCRA значительно расширяет возможности присоединения новых стран-участниц. В 2001 году к соглашению CCRA присоединился Израиль, в 2002 году – Австрия, в 2003 году – Турция, Венгрия и Япония.

Согласно CCRA признание сертификатов ОК должно базироваться на уверенности в том, что оценка безопасности ИТ проводилась с использованием принятых методов оценки безопасности ИТ. В соглашении CCRA в качестве документа по методам оценки определена ОМО.

Читайте также: