В ОК проведена классификация широкого набора функциональных требований и требований доверия к безопасности, определены способы их группирования и принципы использования.

Основными отличительными чертами Общих критериев являются:

1. Наиболее полная на сегодняшний день совокупность требований безопасности информационных технологий.

2. Четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к функциям безопасности (идентификация, аутентификация, управление доступом, аудит и т.д.), а требования доверия - к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации, то есть ко всем этапам жизненного цикла изделий информационных технологий.

3. Систематизация и классификация требований по иерархии "класс" - "семейство" -"компонент" - "элемент" с уникальными идентификаторами требований, что обеспечивает удобство использования.

4. Ранжирование компонентов требований в семействах и классах по степени полноты и жесткости, а также их группирование в пакеты функциональных требований и оценочные уровни доверия.

5. Гибкость и динамизм в подходе к заданию требований безопасности для различных типов изделий информационных технологий и условий их применения, обеспечиваемые путем целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности).

6. Открытость для последующего наращивания совокупности требований.

Общие критерии базируются на определенной методологии обеспечения безопасности информационных технологий. Положения ОК имеют достаточно общий характер и не ограничиваются только собственно областью проблем безопасности ИТ, к которым применимы ОК. Понимание методологии ОК является залогом эффективного использования того огромного фактического материала по требованиям безопасности ИТ, порядку их задания и оценке реализации, который содержится в ОК.

Предметом рассмотрения в ОК являются программно-технические и технологические меры обеспечения безопасности ИТ. К аспектам обеспечения безопасности ИТ, которые находятся вне рамок ОК, относятся:

- административные (организационные) меры обеспечения безопасности, не связанные непосредственно с обеспечением безопасности ИТ. Административные меры рассматриваются в той степени, в которой они способны повлиять на возможности функций безопасности противостоять угрозам безопасности ИТ;

 - оценка технических аспектов обеспечения безопасности (таких, как защита от утечки информации по техническим каналам, возникающим за счет побочного электромагнитного излучения и наводок). Вместе с тем, многие положения ОК применимы и в этой области;

- методология оценки, административная и правовая система применения критериев оценки органами, осуществляющими оценку. Однако ожидается, что ОК будут использоваться для целей оценки в контексте такой системы и такой методологии;

- процедуры использования результатов оценки при аттестации изделий ИТ;

- специфические качества криптографических методов и алгоритмов защиты информации.

Таким образом, Общие критерии охватывают ту часть проблемы обеспечения информационной безопасности, которую в России традиционно называют защитой от несанкционированного доступа к информации.

ОК полезны как в качестве руководства при разработке изделий ИТ, содержащих функции безопасности, так и при приобретении изделий ИТ с такими функциями Поскольку ОК ориентированы на описание, конкретизацию и оценку свойств безопасности ИТ, они могут служить справочником для всех, кто интересуется или занимается вопросами безопасности ИТ. Среди пользователей ОК можно выделить следующие группы:

- системные специалисты, отвечающие за определение и выполнение политики и требований безопасности организации в области ИТ;

- аудиторы, контролирующие адекватность мер безопасности системы;

- проектировщики систем безопасности, определяющие спецификацию функций безопасности изделий ИТ;

- лица, осуществляющие аттестацию систем ИТ в конкретной среде функционирования;

- заказчики изделий ИТ, определяющие требования к оценке и поддерживающие ее проведение;

- органы сертификации, осуществляющие руководство и надзор за программами проведения оценок.

Как показывают оценки специалистов в области информационной безопасности [сс4-ссб] по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в этой области стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития и представляет собой базовый стандарт, содержащий методологию задания требований безопасности ИТ, а также систематизированный каталог требований безопасности. В качестве функциональных стандартов, в которых формулируются требования к безопасности определенных типов продуктов и систем ИТ, предусматривается использование профилей защиты (ПЗ), создаваемых по методологии и на основе каталога требований ОК. В ПЗ могут быть включены и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного типа продуктов или систем ИТ.

 В поддержку стандарта по ОК был разработан целый ряд нормативно-методических документов. Среди них:

- руководство по разработке профилей защиты и заданий по безопасности [сс25];

- процедуры регистрации профилей защиты [сс26];

- общая методология оценки безопасности информационных технологий [сс28], [сс29];

- инструментальные средства автоматизации разработки профилей защиты и заданий по безопасности [сс27].