ГОСТ Р ИСО/МЭК 15408: Эволюция и современное состояние стандарта безопасности ИТ

История создания и текущий статус «общих критериев» ГОСТ Р ИСО/МЭК 15408

В 1990-х годах, с ростом использования информационных технологий, возникла необходимость в создании единого стандарта для оценки безопасности IT-продуктов.

Это привело к созданию Common Criteria («Общие критерии»), которые были разработаны международной группой экспертов. Они объединили усилия для создания стандарта, который позволял бы оценивать и сравнивать уровень безопасности различных продуктов.

«Общие критерии» стали международным стандартом (ГОСТ Р ИСО/МЭК 15408) и обеспечили основу для оценки соответствия и сертификации безопасности IT-продуктов.

Это позволило организациям и пользователям принимать более обоснованные решения при выборе технологий, обеспечивая при этом высокий уровень доверия и безопасности.

Текущий статус «Общих критериев» характеризуется их широким применением и признанием на международном уровне.

Они используются для оценки безопасности информационных технологий, включая операционные системы, приложения и аппаратные средства, в том числе и в России.

Структура «Общих критериев» ГОСТ Р ИСО/МЭК 15408

«Общие критерии» (ГОСТ Р ИСО/МЭК 15408) состоят из трех основных частей, каждая из которых выполняет свою функцию в процессе оценки безопасности IT-продуктов и систем:

ГОСТ Р ИСО/МЭК 15408-1-2012 | Часть 1. Введение и общая модель

Эта часть предоставляет общий обзор и концептуальную модель «Общих критериев».

Она описывает основные термины и концепции, такие как:

• Цели безопасности
• Угрозы
• Предположения

Также в ней изложены принципы оценки безопасности и структура документации, которая будет использоваться в процессе оценки.

ГОСТ Р ИСО/МЭК 15408-2-2013 | Часть 2. Функциональные компоненты безопасности

В этой части перечислены основные функциональные требования безопасности, которые могут быть применены к IT-продуктам.

Эти требования охватывают широкий спектр функциональности, связанный с безопасностью, среди которых:

• Идентификация и аутентификация пользователей
• Контроль и разграничение прав доступа
• Защита данных
• Логирование событий безопасности
• Многие другие

Организации могут выбирать соответствующие требования в зависимости от специфики их продукта или системы.

ГОСТ Р ИСО/МЭК 15408-3-2013 | Часть 3. Компоненты доверия к безопасности

Эта часть содержит перечень требований доверия, систематизированных по семействам и классам, которые определяют уровень уверенности в том, что продукт или система соответствует заявленным функциональным требованиям безопасности.

Она включает в себя методологии оценки, такие как анализ уязвимостей, тестирование и проверка.

Оценочные уровни доверия (ОУД) варьируются от базового ОУД 1, до высокого ОУД 7 , все зависит от глубины и строгости оценки.

Эти три части необходимо использовать вместе, с целью обеспечения всестороннего подхода к оценке безопасности IT-продуктов и систем, помогая организациям защитить свои данные и инфраструктуру от потенциальных угроз.

«Общие критерии» ГОСТ Р ИСО/МЭК 15408: область применения

1. Единая цифровая платформа «ГосТех»
   Сервисы, включаемые в состав платформы «ГосТех» должны пройти независимый анализ уязвимостей по компоненту доверия AVA_VAN.2.
2. Финансовый сектор
   Финансовое программное обеспечение, предоставляемое клиентам, а также ПО, которое обрабатывает информацию, подлежащую защите при обработке электронных сообщений, должны пройти оценку соответствия по четвертому оценочному уровню доверия ОУД4 в соответствии с положениями Банка России № 683-П, № 757-П, № 821-П.
   
3. Медицина
   Системы искусственного интеллекта, применяемые в клинической медицине, должны пройти пострегистрационный мониторинг на безопасность и эффективность по ГОСТ 15408 в соответствии с п. 4.6 ГОСТ Р 59921-2021.

Преимущества прохождения оценки соответствия по требованиям доверия

Прохождение оценки соответствия по требованиям доверия позволяет организациям не только повысить уровень безопасности своих продуктов, но и улучшить их качество в целом.

Этот процесс помогает выявить и устранить уязвимости в программном обеспечении, что в свою очередь повышает его надежность и снижает риски утечек чувствительной информации.

Программные продукты, прошедшие оценку соответствия по требованиям доверия получают признание на Российском рынке, а компании получают ряд существенных преимуществ, открывающих новые возможности для бизнеса и укрепления позиций на рынке.

ЕЦП «ГосТех»

Одним из преимуществ использования платформы «ГосТех» является возможность государственных органов приобретать программные решения напрямую у разработчиков, минуя сложные тендерные процедуры. Это упрощает и ускоряет процесс внедрения новых технологий, позволяя быстрее адаптироваться к изменениям и внедрять инновации. Такой подход также способствует более гибкому управлению бюджетом и ресурсами.

Финсектор

Снижение рисков, связанных с отзывом лицензии у финансовой организации по причине использования не прошедших оценку соответствия программных продуктов.

Прохождение оценки соответствия финансовых приложений по требованиям ОУД4 значительно повышает уровень доверия конечных потребителей к программному продукту.

Это связано с тем, что такие приложения проходят строгую проверку на соответствие высоким стандартам безопасности и надежности.

Здравоохранение

Получение положительного заключения по ГОСТ 15408, подтверждающего безопасность и эффективность систем искусственного интеллекта (СИИ) в клинической медицине, является важным этапом в интеграции технологий в здравоохранение.

Оно гарантирует, что используемые СИИ являются безопасными и не содержат уязвимости.

Такой подход способствует доверию медицинского сообщества и пациентов к новым технологиям, а также открывает возможности для более широкого применения СИИ в медицинской практике.

Для чего применяются «Общие критерии» ГОСТ Р ИСО/МЭК 15408

«Общие критерии» применяется для сертификации и оценки соответствия IT-продуктов по всему миру.

Они обеспечивают единый подход к оценке безопасности, что способствует повышению доверия к проверенным продуктам.

В России стандарт ГОСТ Р ИСО/МЭК 15408 продолжает играть ключевую роль в обеспечении информационной безопасности, адаптируясь к новым вызовам и угрозам в цифровой сфере.