Следуя по пути интеграции, Европейские страны приняли согласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC) [12,122], опубликованных в июне 1991 г. от имени соответствующих органов четырех стран ─ Франции, Германии, Нидерландов и Великобритании.
Принципиально важной чертой европейских критериев является отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запрашивающая сертификационные услуги, формулирует цель оценки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации ─ оценить, насколько полно достигаются поставленные цели разработанными функциями, т.е. насколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных разработчиком условиях.
Таким образом, в терминологии "Оранжевой книги", европейские критерии относятся к оценке степени гарантированности безопасной работы спроектированной системы.
Европейские критерии рассматривают следующие основные понятия составляющие базу информационной безопасности:
∙ конфиденциальность, т.е. защиту от несанкционированного получения информации;
∙ целостность, т.е. защиту от несанкционированного изменения информации;
∙ доступность, т.е. защиту от несанкционированного удержания информации и ресурсов.
В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности, т. е. здесь выявляется, какая функциональность на самом деле обеспечивается. На третьем уровне содержится информация о механизмах безопасности, показывающих, как реализуется указанная функция.
Критерии рекомендуют выделить в спецификациях реализуемых функций обеспечения безопасности более расширенный, по сравнению с "Оранжевой книгой", состав разделов или классов функций.
∙ Идентификация и аутентификация.
∙ Управление доступом.
∙ Подотчетность.
∙ Аудит.
∙ Повторное использование объектов.
∙ Точность информации.
∙ Надежность обслуживания.
∙ Обмен данными.
Чтобы облегчить формулировку цели оценки, европейские критерии содержат в качестве приложения описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности "Оранжевой книги".
Кроме того, в критериях определены три уровня мощности механизмов защиты─ базовый, средний и высокий. Согласно критериям, мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностями. Наконец, мощность можно считать высокой, если есть уверенность, что механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности.
Важной характеристикой является простота использования продукта или системы. Должны существовать средства, информирующие персонал о переходе объекта в небезопасное состояние (что может случиться в результате сбоя, ошибок администратора или пользователя).
Эффективность защиты признается неудовлетворительной, если выявляются слабые места, и эти слабости не исправляются до окончания процесса оценки. В таком случае объекту оценки присваивается уровень гарантированности E0.
При проверке корректности объекта оценки ─ разработанной системы защиты применяются две группы критериев. Первая группа относится к конструированию и разработке системы или продукта, вторая ─ к эксплуатации разработанной системы.