Нормативний документ ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» встановлює критерії оцінки захищеності інформації. До них входять функціональні критерії (дозволяють оцінити наявність послуг безпеки) та критерії гарантій (дозволяють оцінити коректність реалізації послуг безпеки). Критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування й експлуатаційної документації.
Загалом існують сім рівнів гарантій – від Г-1 до Г-7. Чим більше число, тим більш захищеною є система.
Більшість автоматизованих систем на сьогодні відповідають рівню Г-2 та Г-3 і це досить високий рівень гарантій. В Україні рівні гарантій Г-3 та Г-4 мають лише деякі спеціалізовані системи військового призначення (наприклад, Г-3 - це рівень гарантій комплексу зв’язку командно-штабної машини). Рівні Г-5, 6 та 7 поки що не отримала жодна інформаційна система. До речі, рівню гарантій Г-2 також відповідають програмні продукти для державного та цивільного сектору від ведучих світових розробників, таких як Cisco, Microsoft, ESET, IBM тощо.
Рівень гарантій Г2 відповідає рівню EAL 3 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation». Рівень Г3 відповідає рівню EAL 4 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».
Перелічені рівні гарантій підтверджують повну контрольованість та керованість процесів розробки, постачання та супроводження програмного забезпечення, що виключає можливість випадкового чи навмисного витоку, несанкціонованого збору та передачі даних третім особам або внесення зловмисниками програмних закладок у вихідний код ПЗ на всіх етапах життєвого циклу створення та експлуатації ПЗ.
Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. В цих критеріях вводиться сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб КС одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів.
Вимоги розділені по різним підрозділам, які забезпечують безпеку з різних сторін:
Документація – Вимоги до документації є загальними для всіх рівнів гарантій.
У вигляді окремих документів або розділів (підрозділів) інших документів Розробник повинен подати опис послуг безпеки, що реалізуються КЗЗ, настанови адміністратору щодо послуг безпеки, настанови користувача щодо послуг безпеки.
В описі функцій безпеки повинні бути викладені основні, необхідні для правильного використання послуг безпеки, принципи політики безпеки, що реалізується КЗЗ оцінюваної КС, а також самі послуги.
Настанови адміністратору щодо послуг безпеки мають містити опис засобів інсталяції, генерації і запуску КС, опис всіх можливих параметрів конфігурації, які можуть використовуватися в процесі інсталяції, генерації і запуску КС, опис властивостей КС, які можуть бути використані для періодичної оцінки правильності функціонування КЗЗ, а також інструкції щодо використання адміністратором послуг безпеки для підтримки політики безпеки, прийнятої в організації, що експлуатує КС.
Настанови користувачу щодо послуг безпеки мають містити інструкції щодо використання функцій безпеки звичайним користувачем (не адміністратором).
Назва документів (розділів) не регламентується. Опис послуг безпеки може відрізнятися для користувача і адміністратора. Настанови адміністратору і настанови користувачу можуть бути об'єднані в настанови з установлення і експлуатації.
Саме на кафедрі систем інформаційного та кібернетичного захисту студенти отримують необхідні знання, що дозволять їм, використовуючи «рівні гарантій», оцінювати захищеність інформації в комп’ютерних системах від несанкціонованого доступу.