Федеральні критерії безпеки інформаційних технологій

[Federal Criteria for Information Technology Security (FCITS)] — стан­дарт інформаційної безпеки, розроблений Національним інститутом стандартів і технологій США (NIST) і Агентством національної без­пеки США (NSA) у 90-х роках для використання в Американському федеральному стандарті з оброблення інформації (Federal Informati­on Processing Standard), який повинен був замінити "Жовтогарячу книгу".

"Федеральні критерії" охоплюють практично весь спектр про­блем, зв'язаних із захистом та забезпеченням безпеки, так як вклю­чають усі аспекти конфіденційності, цілісності та працездатності. Основними об'єктами застосування вимог безпеки критеріїв є про­дукти інформаційних технологій (ІТ-продукти) і системи оброблен­ня інформації. Ключовим поняттям концепції інформаційної безпеки "Федеральних критеріїв" є поняття профілю захисту.

Відповідно до "Федеральних критеріїв" процес розробки систем оброблення інформації здійснюється у вигляді послідовності насту­пних основних етапів:

• розроблення та аналіз профілю захисту;

• розроблення і кваліфікаційний аналіз ІТ-продуктів;

• компонування й сертифікація системи оброблення інформації. "Федеральні критерії" регламентують тільки перший етап цієї схеми — розробку та аналіз профілю захисту. Процес створення ІТ- продуктів і компонування систем оброблення інформації залишаю-

Розділ 8 Критерії безпеки інформаційних технологій

ться за межами цього стандарту.