Учебное пособие 1469

Табл. 4. Требования к классам защищенности АС

Втаблице использованы следующие обозначения: "+" – требование к данному классу присутствует; СЗИ НСД – система защиты информации от несанкционированного доступа.

Взаключение следует отметить, что несмотря на ряд существенных пробелов и недостатков, РД ГТК на определенном этапе оперативно решили актуальную проблему обеспечения информационной безопасности, оставаясь значимыми вплоть до настоящего времени.

40

1.6. Обзор стандарта ISO/IEC 15408-1-99

Стандарт ISO/IEC 15408-1-99 «Общие критерии оценки безопасности информационных технологий» («Общие критерии» или ОК) является качественно новым этапом в развитии нормативной базы оценки безопасности информационных технологий. Стандарт представляет собой методологию исследования свойств безопасности изделия или системы информационных технологий (ИТ), называемых в стандарте объектами оценки.

При этом выделяются три группы пользователей с общим интересом к этим оценкам: потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки. Общие критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей.

Потребители могут использовать оценку, чтобы решить, выполняет ли оцененное изделие или система требования по безопасности. ОК играют важную роль при задании потребителем функциональных требований к безопасности ИТ. ОК содержат также требования гарантии оценки, поскольку это - одна из главных целей. Потребители могут использовать оценку, чтобы сравнивать различные изделия или системы. ОК дают Потребителям, особенно группам Потребителей с общим интересом, возможность использования предопределенной структуры требований, названной профилем защиты, чтобы выразить их специальные требования к объекту оценки для обеспечения безопасности ИТ.

ОК помогают Разработчикам при подготовке к оценке и оценке их изделий или систем. разработчики могут идентифицировать те требования, которые будут удовлетворены их изделием или системой, стремясь к тому, чтобы объект оценки (ОО) соответствовал функциональным требованиям безопасности и требованиям гарантии оценки. Эти требования содержатся в зависимо выполняемой структуре, названной заданием по безопасности. Разработчики могут использовать ОК, чтобы определить свои обязанности и действия при оценке объекта.

41

ОК описывают действия, которые Разработчик должен выполнить, и определяют содержание результатов оценки.

ОК содержат критерии, которые нужно использовать Оценщикам при формировании заключений относительно соответствия объектов оценки требованиям безопасности. ОК описывают набор общих действий, которые Оценщик должен выполнить, но не определяют процедуры, которые нужно использовать при выполнении этих действий. Документ с методиками оценки должен дополнить ОК в этой области.

ОК могут быть полезны в качестве рекомендаций и для других групп пользователей, интересующихся или отвечающих за безопасность ИТ, например: служащим охраны, отвечающим за организационные вопросы безопасности ИТ; внутренним и внешним ревизорам, отвечающим за адекватность оценки мер безопасности системы; идеологам безопасности и проектировщикам, отвечающим за спецификацию мер безопасности системы или изделия.

ОК представлены как совокупность относительно самостоятельных, но взаимосвязанных частей.

Часть 1 стандарта включает методологию оценки безопасности ИТ, определяет виды требований безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).

Часть 2 стандарта включает универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 стандарта включает систематизированный каталог требований доверия, определяющих меры, которые долж-

42

ны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. В этой же части содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости провести оценку проектной, тестовой и эксплуатационной документации, правильности функционирования комплекса средств безопасности, оценку уязвимостей продукта или системы ИТ, стойкости механизмов защиты и сделать заключение об уровне безопасности объекта оценки.

Всоответствии с концепцией ОК требования безопасности объекта оценки подразделяются на две категории: функциональные требования и требования гарантированности.

Вфункциональных требованиях ОК описаны те функции объекта оценки, которые обеспечивают безопасность ИТ. Например, функциональные требования включают требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования (аудита) и др.

Требования гарантированности отражают качества объекта оценки, дающие основание для уверенности в том, что требуемые меры безопасности объекта реализованы правильно

иэффективны. Гарантированность получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки и требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.

ВОК функциональные требования и требования гарантированности представлены в одном и том же общем стиле и используют одну и ту же организацию и терминологию.

Термин класс используется для наиболее общей группировки требований безопасности. Все члены класса разделяют общее намерение при отличии в охвате целей безопасности.

43

Члены класса названы семействами. Семейство – это группировка наборов требований безопасности, которые обеспечивают выполнение определенной части целей безопасности, но могут отличаться в акценте или жесткости.

Члены семейства названы компонентами. Компонент описывает определенный набор требований безопасности – наименьший выбираемый набор требований безопасности для включения в структуры, определенные в ОК.

Компоненты построены из элементов. Элемент – самый нижний и неделимый уровень требований безопасности, на котором производится оценка их удовлетворения.

Организация требований безопасности в ОК по иерархии класс – семейство – компонент – элемент помогает потребителю правильно определить компоненты, как только будут идентифицированы угрозы безопасности объекта оценки.

Компоненты в семействе могут находиться в иерархической связи, когда необходимо наращивание требований для выполнения одной из целей безопасности, или нет, когда имеет место качественно новое требование.

Между компонентами могут существовать зависимости. Зависимости возникают, когда компонент сам недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать между функциональными компонентами, компонентами гарантированности и между теми и другими. Чтобы гарантировать законченность требований к объекту оценки, зависимости должны быть учтены при включении компонентов в Профиль защиты и Задание по Безопасности. Компоненты могут быть преобразованы с помощью разрешенных действий, чтобы обеспечить выполнение определенной политики безопасности или противостоять определенной угрозе. Не все действия допустимы на всех компонентах. Каждый компонент идентифицирует и определяет разрешенные действия или обстоятельства, при которых действие может применяться к компоненту, и результаты применения действия. К разрешенным действиям относятся: назначение, выбор и обработка.

44

Назначение разрешает заполнить спецификацию идентифицированного параметра при использовании компонента. Параметр может быть признаком или правилом, которое конкретизирует требование к определенной величине или диапазону величин. Например, элемент функционального компонента может заявлять, что данное действие должно быть выполнено неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.

Выбор – это действие выбора одного или большего количества пунктов из списка, чтобы конкретизировать возможности элемента.

Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.

ОК определяют также набор структур, которые объединяют компоненты требований безопасности.

Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение поднабора целей безопасности. Пакет предназначен для многократного использования и определяет требования, которые являются необходимыми для достижения идентифицированных целей. Пакет может использоваться для формирования Профилей Защиты (ПЗ) и Заданий по Безопасности

(ЗБ).

Уровни гарантии оценки – это предопределенные пакеты требований гарантии. Уровень гарантированности – это набор базовых требований гарантии для оценки. Каждый из уровней содержит полный набор требований гарантии и определяет масштаб гарантии в ОК.

45

Профиль Защиты содержит набор функциональных требований и компонентов требований гарантированности, включенных в соответствующий уровень гарантии оценки. Профиль защиты предназначен для многократного использования и определяет совокупность требований безопасности к объекту оценки, которые являются необходимыми и эффективными для достижения поставленных целей.

Задание по Безопасности содержит набор требований безопасности, которые могут быть представлены ссылкой на Профиль Защиты, непосредственно на требования ОК или сформулированы в явном виде. Задание по Безопасности выражает требования безопасности для конкретного объекта оценки. Задание по Безопасности включает также спецификацию объекта оценки в виде функций безопасности, которые должны обеспечить выполнение требований безопасности, и мер гарантии, которые необходимы, чтобы удовлетворить заданные требования гарантированности. Каждая функция безопасности должна обеспечивать выполнение по крайней мере одного требования безопасности. Функции безопасности должны быть определены на уровне детализации, необходимом для понимания назначения и поведения функции. Все ссылки на механизмы безопасности и методы, включенные в ЗБ, должны наглядно показывать, какие механизмы или методы используются при выполнении данной функции. Меры гарантии должны соответствовать требованиям гарантированности таким образом, чтобы было видно, какие меры удовлетворяют какие требования. Соответствующее определение мер гарантированности может быть сделано применительно к планам обеспечения качества, этапам жизненного цикла или планам управления.

Задание по Безопасности – основа для соглашения между Разработчиками объекта оценки, Потребителями и Оценщиками относительно безопасности объекта оценки. Результатом оценки должен быть общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности. После оценки изделия ИТ,

46

предназначенного для широкого использования, результаты оценки могут быть включены в каталог оцененных изделий, чтобы они стали доступными более широкому кругу потребителей.

Структура функциональных требований

Класс Каждый функциональный класс имеет уникальное назва-

ние, необходимое для его идентификации и категорирования. Категорирующая информация состоит из короткого названия (имени) из трех знаков. Короткое название (имя) класса используется в спецификации коротких названий (имен) семейств класса.

Представление класса выражает общее намерение или подход его семейств удовлетворить цели безопасности. Представление класса включает схему, описывающую семейства в этом классе и иерархию компонентов в каждом семействе.

Семейство Каждое функциональное семейство также имеет уни-

кальное название, необходимое для его идентификации и категорирования. Категорирующая информация состоит из короткого названия (имени) из семи знаков, первые три - идентичны короткому названию (имени) класса, далее идет подчеркивание и короткое название (имя) семейства: XXX_YYY. Уникальная короткая форма названия (имени) семейства обеспечивает основное название (имя) для ссылки на его компоненты.

Представление семейства включает описание функционального семейства, соответствующего цели безопасности, и общее описание функциональных требований.

Функциональные семейства содержат один или большее количество компонентов, любой из которых может быть отобран для включения в ПЗ, ЗБ и функциональные пакеты.

Отношения между компонентами в пределах функционального семейства могут быть иерархическими. Компонент подчинен другому, если предполагается развитие функциональных возможностей, например, ОО предлагает дополни-

47

тельные функции или предлагает существующие функции дополнительным пользователям.

В описаниях семейств сформулированы также требования аудита. Требования аудита содержат информацию для авторов ПЗ/ЗБ, помогающую выбрать необходимые аудиторские функции. Эти требования включают функции безопасности различного уровня детализации, поддержанные компонентами аудита безопасности семейства FAU_GEN. Запись аудита может предусматривать действия, которые раскрываются в терминах: минимальный - успешное использование механизма безопасности; базовый - любое использование механизма безопасности, включая использование информации признаков безопасности; детализированный - контроль любых изменений конфигурации механизма безопасности, включая оценку фактической ценности конфигурации до и после изменения.

Компонент Идентификатор компонента содержит описательную ин-

формацию, необходимую для идентификации, категорирования, регистрации и осуществления перекрестных ссылок между компонентами. Каждый функциональный компонент содержит:

уникальное название, которое отражает цель компонента;

короткое название (имя), которое служит как основное название (имя) при ссылке для классификации, регистрации и перекрестных ссылок; короткое название (имя) отражает класс и семейство, которому компонент принадлежит, и составляющий номер в пределах семейства;

список иерархических связей, а также список других компонентов, с которыми и для которых этот компонент может использоваться, чтобы удовлетворить зависимости.

Элемент Набор элементов предусмотрен в каждом компоненте.

Каждый элемент определяется и выделяется индивидуально.

48

Функциональный элемент – это функциональное требование безопасности, далее неделимое при получении значимого результата оценки. Это самое маленькое функциональное требование безопасности, идентифицированное и признанное в ОК.

При использовании ПЗ/ЗБ не разрешается выбирать только один или большее количество элементов из компонента. Для включения в ПЗ/ЗБ должен быть отобран полный набор элементов компонента.

В ОК принята уникальная короткая форма названия (имени) функционального элемента. Например, требование FDP_IFF. 4.2 читается следующим образом: F – функциональное требование, DP – класс «Защита Данных Пользователя», IFF – семейство «Функции Управления Информационным Потоком», 4 – 4-ый компонент, названный «Частичное Устранение Незаконных Информационных Потоков», 2 – 2-ой элемент компонента.

Классы и семейства функциональных требований сгруппированы на основе определенной функции или цели и представлены в ОК в алфавитном порядке. Всего в ОК 9 классов, 76 семейств, 184 компонента и 380 элементов.

Класс FAU (Аудит Безопасности) состоит из 12 семейств, содержащих требования по распознаванию, регистрации, хранению и анализу информации, связанной с действиями, относящимися к безопасности ОО.

Класс FCO (Связь) включает два семейства, связанных с определением идентичности сторон, участвующих в обмене данными: идентичности отправителя информации и идентичности получателя переданной информации.

Класс FDP (Защита Данных Пользователя) включает 15 семейств, определяющих требования для функций безопасности ОО и политики функции безопасности ОО, связанной с защитой данных пользователя. Класс FDP подразделен на пять групп семейств, которые адресованы защите данных пользователя в пределах ОО в процессе ввода, вывода и хранения информации.

49