1.2. Стандарти інформаційної безпеки

Важливим елементом оцінювання стану безпеки є експертиза як технічне підтвердження того, що заходи безпеки й контролю, підібрані для певного ЗЗІ, відповідають стандартам і нормально функціонують. Стандарти інформаційної безпеки - найважливіший критериальний засіб, використовуваний для рішення прикладних завдань захисту.

Найбільш відомі у світовій практиці такі стандарти: “Критерії безпеки комп'ютерних систем Міністерства оборони США”, що керують документи які управляють Гостехкомисією при Президентові Російської Федерації, “Європейські критерії”, “Федеральні критерії безпеки інформаційних технологій”, “Канадські критерії безпеки комп'ютерних систем”, а також “Єдині критерії безпеки інформаційних технологій”.

Це не повний перелік, однак він містить найважливіші аспекти як з погляду розвитку цих документів, так і рішення завдань захисту інформації в Україні.

Приведемо основні висновки аналізу стандартів щодо їхнього використання.

В “Критеріях безпеки комп'ютерних систем Міністерства оборони США”; які називають “Жовтогарячою книгою”, запропоновані такі категорії вимог безпеки: політика безпеки, аудит, коректність. Тут, зокрема, є також вимоги до документаційного забезпечення (ДЗ). Передбачено чотири групи критеріїв: D (клас D1), C (класи C1, C2), B (класи B1, B2, B3) і А (клас А1), які характеризують ступінь захищеності, починаючи від мінімальної й закінчуючи формально доведеною.

Варто сказати, що в цьому документі критерієм оцінки фактично є відповідність безлічі засобів захисту даної системи безлічі, зазначеному в одному із класів оцінки й у випадку, коли набір засобів недостатній, то систему захисту відносять до першого нижчого класу, а для перевірки її приналежності до вищого необхідно застосовувати спеціальні й трудомісткі методики, що практично нездійсненно для реальних систем.

В “Критеріях безпеки інформаційних технологій”, розроблених країнами Європи (звідси назва “Європейські критерії”), загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту й рівня адекватності їхньої реалізації. У цьому стандарті виявляється тісний зв'язок з американськими, але головна відмінність “Європейських критеріїв” полягає в тому, що тут уперше введено поняття адекватності засобів захисту й спеціальна шкала критеріїв, причому адекватності приділяється значно більше уваги, чим функціональним вимогам. Під час перевірки адекватності аналізується весь життєвий цикл системи від початкової стадії проектування до експлуатації й супроводу. У документі визначається сім рівнів адекватності – Еi ( ). Рівень Е0 - мінімальний (аналог рівня D “Жовтогарячої книги”), на рівні Е1 аналізується лише загальна архітектура системи, а адекватність засобів захисту підтверджується функціональним тестуванням, на рівні Е3 до аналізу залучаються вихідні тексти програм і схеми апаратного забезпечення, а на Е6 уже необхідно формальний опис функцій безпеки, загальної архітектури й політики безпеки. Ступінь безпеки визначається найбільш слабким із критично важливих механізмів захисту.

Укажемо, що важливим недоліком документа Європейських критеріїв є те, що в ньому немає чіткого взаємозв'язку між процесом проектування системи й оцінкою її безпеки, що може ввести додаткові витрати під час доробки КС із метою підвищення рівня захищеності. Також зізнається можливість наявності недоліків у сертифікованих системах. Тим самим засвідчує їхню недосконалість, а для виявлення й класифікації цих недоліків у конкретних функціонуючих системах необхідні розробка й застосування спеціальних методик.

Гостехкоміссія при Президенті Російської Федерації прийняла ряд керівних документів, де пропонується дві групи критеріїв безпеки: 1) показники захищеності від НСД (дає можливість оцінювати ступінь захищеності окремих компонентів автоматизованих систем (АС)) і 2) критерії захищеності АС обробки даних (для оцінки всефункціональних систем). Показники захищеності містять вимоги захищеності зазначених засобів від НСД до інформації й застосовуються в загальносистемних програмних засобах й операційних системах. Конкретні переліки показників визначають класи захищеності засобів обчислювальної техніки й описуються сукупністю вимог, які зокрема пред'являються до керівництва користувача, посібнику з комплексу засобів захисту, текстової документації, конструкторської (проектної) документації й ін. Установлено сім класів захищеності засобів обчислювальної техніки від НСД до інформації, а також дев'ять класів для оцінки рівня захищеності АС від НСД.

Недоліком цього стандарту є те, що засоби захисту спрямовані тільки на протидію зовнішнім погрозам, а до внутрішньої структури системи, її функціонування не висуваються ніякі вимоги. До того ж, у порівнянні з іншими стандартами ранжирування вимог по класах захищеності дуже спрощене й визначається наявністю або відсутністю певної безлічі захисних механізмів. Це обставина значно зменшує гнучкість вимог й у багатьох випадках ускладнює можливість практичного використання документів.

В “Федеральних критеріях безпеки інформаційних технологій” запропонована концепція профілю захисту, що містить вимоги до проектування й технології розробки, а також кваліфікаційний аналіз продукту інформаційних технологій (Іт-продукта). Документування процесу розробки - одне з обов'язкових вимог до технології розробки Іт-продуктов і надалі до проведення кваліфікаційного аналізу. Вимоги до документування визначають склад і зміст технологічного документационного забезпечення (ДЗ) і містять:

• документування функцій ядра безпеки;

• повну документацію на Іт-продукт;

• документування, тестування й аналіз Іт-продукта, що містить документування процесу тестування функцій, аналізу можливостей порушення безпеки й аналізу схованих каналів;

• документування середовища й процесу розробки.

У свою чергу, вимоги до супроводу Іт-продукта регламентують склад користувальницької й адміністративної документації, процедуру відновлення версій і виправлення помилок, а також інсталяцію продукту. У вимогах до класифікаційного аналізу Іт-продукта описана процедура проведення тестування функцій ядра безпеки як самим розроблювачем Іт-продукта, так і незалежним експертом.

Недоліком цього стандарту є те, що в ньому викладені лише загальні вимоги (наприклад, до ДЗ) не передбачають їхній розподіл на рівні або градації й, тому, в експерта можуть виникнути труднощі під час здійснення оцінювання, оскільки він не має належного інструмента для якісної оцінки продукту.

Перевагою цих критеріїв є те, що замість узагальненої універсальної шкали класів безпеки й твердих вказівок, цей документ містить погоджений з попередніми стандартами ранжируваний перелік функціональних вимог, що дозволяє розроблювачам і користувачам підбирати найбільш підходящі вимоги для конкретного Іт-продукта й середовища його експлуатації.

В “Канадських критеріях безпеки комп'ютерних систем”, уведене незалежне ранжирування вимог за окремо взятим розділом, у результаті чого визначиться безліч окремих критеріїв, що характеризують роботу окремих підсистем, які забезпечують безпеку. У цьому документі, крім функціональних критеріїв, уведені критерії адекватності реалізації, що відображають рівень коректності реалізації політики безпеки й визначають вимоги до процесу проектування, розробки й реалізації ІКС.

Цей документ має такий же недолік, як й “Федеральні критерії”, оскільки, наприклад, відсутність градацій в оцінюванні документів не дозволяє якісно виконати цю процедуру.

“Єдині критерії безпеки інформаційних технологій” [21] стали продуктом об'єднання канадських, федеральних й європейських критеріїв [21] у єдиний погоджений документ. Ці критерії регламентують всі стадії розробки, кваліфікаційного аналізу й експлуатації Іт-продуктов. Вони визначають безліч типових вимог, уводять частково впорядковані шкали, які дозволяють споживачам створювати окремі вимоги, що відповідають їхнім потребам. Основними документами, які описують всі аспекти безпеки Іт-продукта (з погляду користувачів і розроблювачів), є відповідно профіль захисту й проект захисту.

В Україні також прийнятий ряд документів, які регламентують порядок захисту інформації. Вони засновані на Законі України «Про захист інформації в автоматизованих системах», що був пізніше змінений на Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», а також на «Положенні про технічний захист інформації».

Тут також уведені в дію нормативні документи (НД) системи технічного захисту інформації (СТЗІ) [20] “Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу”, а також НД по технічному захисті інформації (ТЗІ) на програмно-керованих АТС загального користування.

В українських критеріях [20] у процесі оцінювання здатності ІКС забезпечувати захист оброблюваної інформації від НСД розглядаються вимоги до функцій захисту (послугам безпеки) і до гарантій. Якщо розглянути, як приклад, вимоги до експлуатаційного ДЗ, то відзначається, що у вигляді окремих документів або розділів (підрозділів) інших документів розроблювач повинен надати опис послуг безпеки, реалізованого комплексу засобів захисту, керівництва адміністратора й користувача щодо послуг безпеки.

Тут, зокрема, робиться застереження, що в описі функцій безпеки повинні бути викладені основні (необхідні для правильного використання послуг безпеки) принципи політики безпеки, що реалізується комплексом засобів захисту, оцінюваної ІКС, а також самі послуги. Перелік складових для опису політики безпеки інформації перебуває в НД ТЗІ 3.700199 “Методичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі” [20]. Наприклад, керівництво адміністратора по послугах безпеки повинне містити:

• опис засобів інсталяції, генерації й запуску ИКС;

• опис всіх можливих параметрів конфігурації, які можна використати в процесі інсталяції, генерації й запуску ИКС;

• опис властивостей ИКС, які можна використати для періодичного оцінювання правильності функціонування комплексу засобів захисту;

• інструкції з використання адміністратором послуг безпеки для підтримки політики безпеки, прийнятої в організації, що експлуатує ИКС.

У посібнику користувача по послугах безпеки повинні бути інструкції щодо використання функцій безпеки звичайним користувачем.

У "Критеріях оцінки" також зазначено, що керівництво адміністратора й посібник користувача можуть бути об'єднані в керівництві з установки й експлуатації. Відповідно цих стандартів ПЗ може бути сертифіковане при наявності повного набору перерахованих документів.

У методичних вказівках відзначається, що повний перелік такого необхідного ПЗ визначається розроблювачем СЗІ й узгоджується із замовником, а на етапі їхніх випробувань і здачі в експлуатацію, якщо необхідно розробку спеціальних апаратур і ПЗ, може також знадобитися розробка відповідного ПЗ.

Для підвищення гнучкості при реалізації процедури оцінювання варто трохи розширити встановлені вимоги за допомогою використання додаткових критеріїв. Важливо вказати, що, наприклад, при оцінюванні ПЗ потрібно враховувати зручність і можливість його відновлення й своєчасного доповнення, наявність навчальних систем, а також виклад матеріалу в загальноприйнятих термінах.

Комплекс засобів захисту на предмет відповідності зазначеним критеріям оцінює експертна комісія. Для того щоб експертна комісія привласнила ІКС певний клас, повинні бути визначені рівні реалізованих послуг в об'єднанні з рівнем гарантій (РГ). Однак у нормативному документі передбачається, що вимоги, наприклад до ПЗ, є загальними для всіх РГ, тобто тут не оцінене якість матеріалу, що надається на експертизу, а кількісна його оцінка недостатня для повноцінної сертифікації ІКС, оскільки наявність відповідного вичерпні ПЗ є одним з важливих факторів, що впливає на ефективність використання інструментальної СЗІ.

Найчастіше експерти, які оцінюють певну ІКС, не завжди можуть чітко визначити рівень захищеності її СЗІ, оскільки в існуючих стандартах не до кінця визначені параметри, які вносять в оцінювання елементи нечіткості, розмитості. Головна функція стандартів - узгодження позицій і запитів виробників, споживачів й експертів. При цьому останні хочуть мати такі документи, де б докладно була наведена процедура кваліфікаційного аналізу, а також надавалися прості, однозначні й легко застосовні критерії. Очевидно, що практично такий стандарт створити складно й у реальності завжди прийде прибігати до певних компромісів для оцінювання захищеності КС.

Аналіз закордонних і сучасних вітчизняних стандартів в області безпеки інформації показав [20], що їхнє успішне застосування вимагає додаткових спеціальних методик оцінювання (наприклад, ПЗ) враховуючі різні кількісні і якісні показники.