В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). В Common Criteria наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня . Общие критерии определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements). При проведении работ по анализу защищенности АС (СВТ) “Общие критерии” используются в качестве основный критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. В ходе формирования такой области знаний, как компьютерная безопасность, разрабатывались и совершенствовались критерии оценки безопасности. Точность, полнота и понятность этих критериев возрастала по мере того, как уточнялись концепции, формулировались основные принципы компьютерной безопасности, вводились новые понятия и уяснялся смысл старых. Отсутствие международного стандарта в области оценки безопасности не позволяет специалистам по сертификации компьютерных приложений одной страны использовать результаты оценок полученные специалистами другой страны. Поэтому следующим этапом развития этого научно-технического направления, после принятия соответствующих национальных стандартов, должна была закономерно стать разработка международного стандарта для критерия оценки безопасности автоматизированных систем. Целью проекта является устранение концептуальных и технических различий между существующими критериями и предоставление полученных результатов ISO в качестве вклада в разработку международного стандарта. В результате международного сотрудничества была разработана первая версия Единых критериев оценки безопасности ИТ.
Единые критерии представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся:
1. Введение и общая модель
2. Функциональные требования безопасности
3. Требования к надежности защитных механизмов
4. Предопределенные профили защиты
5. Процедуры регистрации профилей защиты
Изучение существующих критериев оценки безопасности АС позволяет сделать следующие выводы:
1. Для того, чтобы результаты сертификационных испытаний можно было сравнивать между собой, они должны проводиться в рамках надежной схемы, устанавливаемой соответствующими стандартами в этой области и позволяющей контролировать кач-во оценки безопасности.
2. В настоящее время в некоторых странах существуют такие схемы, но они базируются на различных критериях оценки. Но, эти критерии имеют между собой много общего, т. к. используют сходные концепции, что позволяет осуществлять их сравнения. "Единые критерии" поддерживают совместимость с уже существующими. Это позволяет использовать имеющиеся результаты и методики оценок.
3. Единые критерии определяют общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности АС. Это позволяет экспертам, проводящим оценку, использовать уже накопленный в этой области опыт.
4. Требования, содержащиеся в "Единых критериях", могут также использоваться при выборе подходящих средств обеспечения безопасности АС. Потенциальные пользователи АС, опираясь на результаты сертификации, могут определить удовлетворяет ли данный программный продукт или система их требованиям безопасности.
5. Кроме этого, "Единые критерии" улучшают существующие критерии, вводя новые концепции и уточняя содержание имеющихся.
