Раздел4_11
.pdfВыполнение этого требования – одна из ключевых аксиом для формального доказательства безопасности системы.
С течением времени и старением положенной «Оранжевой книги», по-
явились новые документы, отражающие специфические вопросы безопасно-
сти: для сетей, СУБД, управлению доступом в безопасных системах,
управлению паролями, для специфических сред, аудиту, управлению конфигурацией систем, и т. д.
В 1995 г. был опубликован объединяющий документ «Интерпрета-
ция критериев безопасности компьютерных систем».
Критерии TCSEC – первая попытка создания единого стандарта безопасности, но она ориентирована на системы военного примене-
ния, в основном на ОС. А требования по гарантированию политики безопасно-
сти отражены поверхностно.
4.3 Некоторые особенности европейских критериев безопасности информационных технологий
После TCSEC страны Европы разработали согласованные «Критерии безопасности информационных технологий (ИнТ)» или «Европейские кри-
терии»(1991 г., – Франция, Германия, Нидерланды и Великобритания).
Введено понятие АДЕКВАТНОСТИ(assurance) средств защиты.
В адекватность входят:
а) эффективность – отражает соответствие средств безопасности
решаемым задачам;
б) корректность – характеризуетпроцесс разработки средств
защиты и их функционирования, реализующих правильность и надежность функций безопасности (ГАРАНТИРОВАНИЕ ИЗБРАННОЙ ПОЛИТИКИ).
Общая оценка уровня безопасности складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Средства, имеющие отношение к информационной безопасности, рассматри-
ваются в 3-х уровнях детализации:
–для обеспечения безопасности;
–спецификация функций защиты;
–реализующие защитумеханизмы.
Набор функций безопасности может быть специфицирован по ссылкам на
заранее определенные 10 классов-шаблонов: F-C1; F-C2; F-B1; F-B2; F-B3 (эти 5
классов – аналог «Оранжевой книги»); F-IN; F-AV; F-DI; F-DC; F-DX.
«Европейские критерии» устанавливают 7 уровней адекватности от Е0 до Е6 (в порядке возрастания) на всём жизненном цикле системы – от
начальной фазы проектирования до эксплуатации и управления.
Также определены ТРИуровня безопасности системы:
а) базовый – средства защиты могут противостоять отдельным атакам физического лица;
б) средний – средства защиты способны противостоять злоумышленникам с ограниченными ресурсами и возможностями (корпоратив-
ный злоумышленник);
в) высокий – средства защиты могут быть преодолены злоумышленником высокой квалификации, набор возможностей которого выходит за рамки возможного (злоумышленник – государственная служ-
ба).
4.4 Некоторые особенности федеральных критериев безопасности США для информационных технологий
«Федеральные критерии безопасности информационных технологий»
(Federal Criteria for Information Technology Security) – составная часть
ЗАМЕНЫ TCSEC (1992 г.). «Федеральные критерии» включают все аспек-
ты обеспечения конфиденциальности, целостностии доступности.
ОСНОВНОЙ ОБЪЕКТ – ПРОДУКТЫ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ (Information Technology Products) и системы обработки информации(InformationTechnologySystems).
ПРОДУКТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ (ПИТ) – сово-
купность аппаратных и программных средств, которая поставляется конечному потребителю как готовые к использованию средства обработ-
ки информации.
Обычно разрабатывается для использования во многих системах обработки ин-
формации. А система обработки информации, как таковая, разрабатывается для решения прикладных задач по требования конечных потребителей, что учи-
тывает специфику конкретной среды.
«Федеральные критерии» касаются только средств обеспечения защиты ПИТ (в т. ч. организационные меры, правовые и юридические нормы).
Ключевое понятие – «ПРОФИЛЬ ЗАЩИТЫ» (Protection Profile): это
нормативный документ, регламентирующий все аспекты безопасно-
сти ПИТ в виде требований к его ПРОЕКТИРОВАНИЮ, ТЕХНОЛОГИИ РАЗРАБОТКИи СЕРТИФИКАЦИИ.
Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, и их адекватности предполагаемым угрозам.
«Федеральные критерии» рассматривают ПРОЦЕСС РАЗРАБОТКИ СИСТЕМ обработки информации в виде 3-х этапов и ре-
гламентируют только первый этап.
А) РАЗРАБОТКА И АНАЛИЗ ПРОФИЛЯ ЗАЩИТЫ.
Эти требования определяют функциональные возможности ПИТ
по обеспечению безопасности и условия эксплуатации. Содержатся тре-
бования по технологической дисциплине в процессе разработки, тестирования,
анализа и сертификации ПИТ.
Профиль безопасности анализируется на полноту, непротиворечивость и
техническую корректность.
Б) РАЗРАБОТКА И СЕРТИФИКАЦИЯ ПИТ.
В) КОМПОНОВКА И СЕРТИФИКАЦИЯСИСТЕМЫв целом.
ПРОФИЛЬ ЗАЩИТЫ СОСТОИТ из 5-ти разделов:
–описание;
–обоснование;
–функциональные требования к ПИТ;
–требования к технологии разработки ПИТ;
–требования к процессу сертификацииПИТ.
Описание профиля содержит классификационную информацию, необходи-
мую для его идентификации в специальной картотеке. Дается основная группа проблем обеспечения безопасности, решаемых данным профилем.
Обоснование описывает среду эксплуатации, предполагаемых угроз и ме-
тодов использования ПИТ. Дается подробный перечень задач по обеспечению безопасности.
Функциональные требования к ПИТ содержат возможности средств за-
щиты ПИТ и определяют условия, в которых обеспечивается безопасность в виде перечня угроз, которым противостоят предложенные средства защиты.
Требования к технологии разработки ПИТ содержат требования как к про-
цессу разработки, так и к условиям, в которых они проводятся, технологическим средствам, документированию этого процесса.
Требования к процессу сертификации ПИТ регламентируют типовую ме-
тодику тестирования и анализа. Объем и глубина исследований зависят от вероятных типов угроз, среды применения и технологии эксплуатации.
Разработка профиля защиты ведётся в три этапа:
–анализ среды применения ПИТ с точки зрения безопасности;
–выбор профиля – прототипа;
–синтез требований.
4.5 Изменения в документах в области информационной безопасности
4.5.1 Согласно РД Гостехкомиссии России, «Защита от несанкционированно-
го доступа к информации. Ч. 1. Программное обеспечение средств защиты ин-
формации. Классификация по уровню контроля отсутствия недекла-
рированных возможностей», введённого в действие 04.06.1999, устанав-
ливается КЛАССИФИКАЦИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
как отечественного, так и импортного производства средств защиты информации
(СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню
контроля отсутствия в нем НЕДЕКЛАРИРОВАННЫХ возможностей.
Действие документа НЕ РАСПРОСТРАНЯЕТСЯ на программное обеспечение средств криптографической защиты информации.
Уровень контроля определяется выполнением НАБОРА ТРЕБОВАНИЙ, предъявляемого:
– к составу и содержанию документации, представляемой заяви-
телем для проведения испытаний ПО СЗИ;
– к содержанию испытаний.
Документ предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.
Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.
Устанавливается четыре уровня контроля отсутствия недеклариро-
ванных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.
Для ПО, используемого при защите информации, отнесенной к государ-
ственной тайне, должен быть обеспечен уровень контроля не ниже (не хуже) третьего.
Самый высокий уровень контроля – первый, достаточен для ПО, ис-
пользуемого при защите информации с грифом «ОВ» (особой важности).
Второй уровень контроля достаточен для ПО, используемого при за-
щите информации с грифом «CC» (совершенно секретно).
Третий уровень контроля достаточен для ПО, используемого при за-
щите информации с грифом «C» (секретно).
Самый низкий уровень контроля – четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.
4.5.2 Президентом Российской Федерации подписан Федеральный Закон
«Об электронной цифровой подписи», устанавливающий условия ис-
пользования электронной цифровой подписи (в том числе в сфере госу-
дарственного управления и в корпоративных информационных системах), тре-
бования по сертификации ключа подписи, положения об удостове-
ряющих центрах.
В целях обеспечения нормативной поддержки положений и требова-
ний настоящего закона с участием ВНИИстандарта разработан, а Госстандартом России по представлению ФАПСИ утвержден ГОСТ Р 34.10-2001 «Ин-
формационная технология. Криптографическая защита информации.
Процессы формирования и проверки электронной цифровой подпи-
си» (взамен ГОСТ 34.310-95 / ГОСТ Р 34.10-94).
4.6 Интеграция РФ в мировое информационное пространство
Приведенные выше в данном разделе документы послужили основой
при создании «Единых критериев безопасности информационных
технологий» (международная организация по стандартизации ISO).
Цель «Единых критериев» – единый согласованный стандарт, ли-
шенный концептуальных и технических различий. В 1998 г. была опубли-
кована вторая версия критериев.
4.6.1 Общие критерии (ГОСТ Р ИСО/МЭК 15408–2002)
Наиболее полно критерии оценки механизмов безопасности про- граммно-технического уровня представлены в ГОСТ Р ИСО/МЭК 15408– 2002, принятом в 2002 году и вступившем в действие в 2004 году. Учитывая интеграцию РФ в мировое информационное пространство, данный документ за-
меняет руководящие документы Гостехкомиссии РФ: «Автоматизирован-
ные системы. Защита от НСД к информации. Классификация автоматизиро-
ванных систем и требования по защите информации», «Средства вы-
числительной техники. Защита от НСД к информации. Показатели защищённо-
сти от НСД к информации», – как устаревшие и не отвечающие мировым стан-
дартам безопасности информационных технологий.
ОБЩИЕ КРИТЕРИИ НАПРАВЛЕНЫ на защиту информации от по-
тери возможности её использования, модификации или несанкциони-
рованного раскрытия. Категории защиты, относящиеся к этим трём типам нарушения безопасности, обычно называют доступностью, целостностью и кон-
фиденциальностью соответственно.
Общие критерии могут быть также применены к тем аспектам безопасно-
сти информационных технологий, которые выходят за пределы этих трёх понятий.
В отличии от «Оранжевой книги» (и созданных на её основе РД Гос-
техкомиссии РФ), предлагается независимое ранжирование требований по
каждой группе.
Вместо одной шкалы используется множество частных критери-
ев, характеризующих обеспечиваемый уровень безопасности. Такой подход называется сервисным подходом: для обеспечения безопасности использу-
ются различные сервисы или их наборы.
В общих критериях определяют ДВЕ КАТЕГОРИИ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ: функциональныетребования и требования доверия.
ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ налагаются на те функции
объекта оценки, которые предназначены для поддержания безопасности ИТ и определяют желательный безопасный режим функционирования объектаоценки.
Примерами функциональных требований являются требования к:
доступности; целостности; конфиденциальности;
д) идентификации; е) аутентификации; ж) авторизации;
и) аудиту безопасности;
к) неотказуемости источника.
ТРЕБОВАНИЯ ДОВЕРИЯ к тому, что цели безопасности достигаются посредством выбранных функций безопасности, зависит от следующих факторов:
а) уверенности в корректности реализации функций безопасности, т. е. оценки того, правильно ли они реализованы;
б) уверенности в эффективности функций безопасности, т. е. оценки того, действительно ли они отвечаютизложенным целям безопасности.
В стандарте содержатся требования к АДЕКВАТНОСТИ реализации
функций безопасности – так называемые требования гарантированности оценки.
С точки зрения оценки защищенности автоматизированных систем особый
интерес представляет класс ТРЕБОВАНИЙ ПО АНАЛИЗУ УЯЗВИМОСТЕЙ средств и механизмов защиты (Vulnerability
Assessment).
Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидацииследующих типов уязвимостей:
а) наличия побочных каналов утечкиинформации;
б) ошибки в конфигурации, либо неправильном использовании си-
стемы, приводящем к ее переходу в небезопасное состояние;
в) недостаточной стойкости механизмов безопасности, реализую-
щих соответствующие функции;
д) наличие уязвимостей в средствах защиты информации, позволяю-
щих пользователям получать доступ к информации в обход существующих
механизмов защиты.