Історія
Початок створення міжнародного стандарту з оцінки безпеки і класів безпеки почалося в 1990 році Міжнародною організацією по стандартизації. У розробці брали участь США, Канада, Німеччина, Англія і Франція. Розробка велася десятиліття кращими фахівцями в світі, і не раз піддавався редагуванню. Затвердження стандарту версії 2.1 відбулося 8 червня 1999 року. Загальна назва Common Criteria, або “Загальні критерії оцінки безпеки інформаційних систем”.
Створені “Загальні критерії” об’єднали знання і досвід використання “Оранжевої книги”, просунули європейські та канадські критерії безпеки систем і створили реальну структуру профілів захисту федеральних критеріїв США.
Зміст
У загальних положеннях класифікований широкий набір вимог до засобів забезпечення комп’ютерної безпеки, визначено структуру угруповання та способи використання. Головною перевагою цієї системи стало повне викладення вимог до безпеки та їх упорядкування, гнучкість у використанні і можливості для подальшого просування. Головні світові виробники технологій того часу відразу створили і поставили замовникам засоби, що відповідають вимогам загальних критеріїв.
Їх розробка була виконана для задоволення наступних груп фахівців: виробники, споживачі ІТ продуктів і експертів в оцінці рівня безпеки технологій. Введений стандарт забезпечив опору для вибору інформаційних продуктів, які повинні виконувати вимоги щодо функціонування в умовах загрози безпеці, і служать опорою для розробників систем безпеки цих продуктів. Також регламентована технологія створення подібних систем і оцінки досягнутого рівня безпеки.
З введенням критеріїв, інформаційна безпека розглядається як сукупність цілісності та конфіденційності даних, які обробляє інформаційний продукт, і ставлять за мету захист продукту і протидії загрозам, які можуть бути актуальні при експлуатації певного продукту. З цього випливає, що в об’єднані критерії включені всі частини проектування, створення та використання інформаційних продуктів, які працюють в умовах певних загроз для безпеки.
