ПРИЛОЖЕНИЕ А
(справочное)
ГОСТ Р ИСО/МЭК 15408-1-2002
Проект Общих критериев
АЛ Предыстория
ОК представляют собой результат последовательных усилий по разработке критериев оценки безопаснос
ти ИТ. которые были бы полезны международному сообществу. В начале 80-х годов в США были разработаны
«Критерии оценки доверенных компьютерных систем» (TCSEC). В следующем десятилетии различные страны
проявили инициативу но разработке критериев оценки, которые строились на концепциях TCSEC, но были
более гибки и адаптируемы к природе эволюции ИТ в целом.
В Европе в 1991 г. Европейской Комиссией были опубликованы «Критерии оценки безопасности инфор
мационных технологий» (ITSEC) версии 1.2. разработанные совместно Францией. Германией. Нидерландами и
Великобританией. В Канаде на основе сочетания подходов TCSEC и 1TSEC в начале 1993 г. были созданы
«Юшадские критерии опенки доверенных компьютерных продуктов» (СТСРЕС) версии 3.0. В США в это же
время был издан проект стандарта «Федеральные критерии безопасности информационных технологий» (FC)
версии 1.0. использовавший другой подход к объединению североамериканской и европейской концепций
критериев оценки.
В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного
стандарта критериев оценки для общею использования. Новые критерии были призваны удовлетворить
потребность взаимного признания результатов стандартизованной оценки безопасности на мировом рынке ИТ.
Эта задача была поставлена перед Рабочей группой 3 (WG3) подкомитета 2? (SC27) Совместною технического
комитета 1 (JTCI). Вначале работа WG3 шла медленно из-за большого объема к необходимости интенсивных
многосторонних переговоров.
А.2 Разработка Общих критериев
В июне 1993 г. организации—спонсоры СТСРЕС. FC, TCSEC и 1TSEC (указанные в следующем подраз
деле) объединили свои усилии и начали действовать совместно, чтобы согласовать различающиеся между собой
критерии и создать единую совокупность критериев безопасности ИТ, которые могли бы широко использо
ваться. Эта деятельность получила название «Проект ОК». Ею целью являлось устранение концептуальных и
технических различий между исходными критериями и прсдстаатснис в ISO полученных результатов для
содействия разработке международного стандарта. Представители организаций-снонсоров сформировали Ре
дакционный совет OK (ССЕВ) для разработки ОК. Затем было установлено взаимодействие между ССЕВ и
WG3, после чего ССЕВ представил в WG3 несколько ранних версий ОК. Начиная с 1994 г. в результате
взаимодействии между WG3 и ССЕВ эти версии оформлялись как последовательные рабочие проекты различ ных
частей критериев ISO.
Версия 1.0 ОК была завершена ССЕВ в январе 19% г. и одобрена ISO вапреле 1996 г. для распространения
в качестве Проекта комитета. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также
организовано широкое публичное обсуждение документа. Затем в рамках Проекта ОК была
предпринята значительная переработка ОК на основе замечаний, полученных при его экспериментальном
использовании, публичном обсуждении и взаимодействии с ISO. Переработка документа была выполнена
преемником ССЕВ. который в настоящее время называется Советом по реализации OK (СС1В).
CCIB завершил бета-версию 2.0 ОК в октябре 199? г. и представил ее в WG3. которая одобрила ее как
Второй проект комитета. Последующие промежуточные версии проекта предоставлялись неофициально экс
пертам WG3 по мере их подготовки в CCIB. СОВ учел ряд замечаний, которые были получены как непосред
ственно от экспертов WG3, так и от напионатьных органов ISO при обсуждении промежуточных версий
проекта. Кульминацией этого процесса явилась публикация версии 2.0 ОК.
По историческим причинам и с целью обеспечения преемственности ISO/IEC/JTC1/SC27/WG3 приняла
для дальнейшего использования термин «Общие критерии* (ОК) внутри документа, признавая, что его офи
циальным названием, принятым в ISO, является «Критерии оценки безопасности информационных технологий».
А.З Органитаиии—спонсоры проекта Общих критериев
Семь перечисленных ниже европейских и североамериканских организаций являются спонсорами про
екта ОК. Эти организации почти полностью обеспечили разработку ОК от се начата до завершения. Эти
организации являются также «Органами оценки* для своих напионатьных правительств. Они обязались заме
нить свои аналогичные критерии версией 2.0 ОК, когда техническая работа над ней была завершена и наступила
финальная стадия сс принятия в качестве международного стандарта.
23