1956

должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.

Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.

Все системы в соответствии с «Оранжевой книгой» распределяются по следующим классам защищенности (в порядке возрастания защищенности, более защищенный класс включает в себя все требования предыдущих классов):

Класс D – минимальная защита. Зарезервирован для отнесения систем, не удовлетворяющих ни одному из других классов защиты.

Класс С1 – защита, основанная на разграничении доступа (DAC). Обеспечивается разграничение пользователей и данных.

Класс С2 – защита, основанная на управляемом контроле доступом. Наличие усовершенствованных средств управления доступом и распространения прав, аудит событий, имеющих отношение к безопасности системы и разделению ресурсов. Общие ресурсы должны очищаться перед повторным использование другими процессами.

140

Класс В1 – мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ. Необходима реализация механизма присваивания меток экспортируемым данным.

Класс В2 – структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. Анализ побочных каналов утечки информации. Специальные процедуры изменения конфигурации. Возможность тестирования и полного анализа ТСВ. Разбиение ее структуры на критические с точки зрения защиты и некритические элементы.

Класс В3 – домены безопасности. Реализация концепции монитора обращений, который гарантированно защищен от несанкционированного доступа, порчи и подделки, обрабатывает все обращения, прост для анализа и тестирования (предоставляется полная система тестов, полнота которой доказана).

Класс А1 – верифицированный проект. Проект ТСВ должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.

Выбор класса защиты системы рекомендуется осуществлять на основе ее режима функционирования. Определяется пять таких режимов:

1.Режим, в котором система постоянно обрабатывает ценную информацию одного класса в окружении, которое обеспечивает безопасность для работы с этим классом.

2.Режим особой секретности самой системы. Все пользователи и элементы системы имеют один класс и могут получить доступ к любой информации.

3.Многоуровневый режим. Обработка информации разных классов, не все пользователи имеют доступ ко всем классам информации.

4.Контролирующий режим. Многоуровневый режим, в котором защищенность ТСВ полностью не гарантируется.

141

5. Режим изолированной безопасности. Изолированная обработка информации различных классов. Например, защищаться может лишь один класс информации, а остальные нет.

Основой для выбора класса является индекс риска: разность между максимальным классом (грифом) информации и минимальным классом пользователей. Чем выше разность, тем больший класс защиты требуется.

Следует отметить, что «Критерии безопасности компьютерных систем» Министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем.

5.2.2.Европейские критерии безопасности информационных технологий

Проблемы стандартизации в сфере информационной безопасности оказались актуальны не только для Соединенных Штатов. Вслед за выходом «Оранжевой книги» страны Европы разработали согласованные «Критерии безопасности информационных технологий» (Information Technology

Security Evaluation Criteria, далее – Европейские критерии).

Европейские критерии рассматривают следующие задачи средств информационной безопасности:

-защита информации от несанкционированного доступа

сцелью обеспечения ее конфиденциальности;

-обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения;

-обеспечение доступности компьютерных систем с помощью противодействия угрозам отказа в обслуживании.

Для того чтобы удовлетворить требованиям конфиденциальности, целостности и доступности, необходимо реализовать соответствующий набор функций безопасности,

142

таких как идентификация и аутентификация, управление доступом, восстановление после сбоев и т.д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в Европейских критериях впервые вводится понятие

адекватности (assurance) средств защиты.

Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым задачам, и корректность, характеризующую процесс их разработки и функционирования.

Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты – их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Под корректностью понимается правильность и надежность реализации функций безопасности.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

Главное достижение этого документа – введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности.

5.2.3. Американские Федеральные критерии безопасности информационных технологий

Федеральные критерии безопасности информационных технологий (Federal Criteria for Information Technology Security)

разрабатывались как одна из составляющих Американского федерального стандарта по обработке информации (Federal Information Processing Standart), призванного заменить

143

«Оранжевую книгу». Разрботчиками стандарта выступили Национальный институт стандартов и технологий США

(National Institute of Standarts and Technology – NIST) и

Агенство национальной безопасности США (National Security Agency).

Федеральные критерии безопасности информационных технологий (далее – Федеральные критерии) охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, т.к. включают все аспекты обеспечения конфиденциальности, целостности и доступности.

Основными объектами применения требований безопасности Федеральных критериев являются продукты информационных технологий (Information Technology Products) и системы обработки информации (Information Technology Systems).

Под продуктом информационных технологий (далее

– ИТ-продукт) понимается совокупность аппаратных и/или программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. Как правило, ИТ-продукт эксплуатируется не автономно, а интегрируется в систему обработки информации, представляющую собой совокупность ИТ-продуктов, объединенных в функционально полный комплекс, предназначенный для решения прикладных задач. В ряде случаев система обработки информации может состоять только из одного ИТ-продукта, обеспечивающего решение всех стоящих перед системой задач и удовлетворяющего требованиям безопасности.

С точки зрения безопасности принципиальное различие между ИТпродуктом и системой обработки информации (СОИ) определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет использован во многих системах обработки информации, и, следовательно, разработчик должен ориентироваться только на самые общие предположения о

144

среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потребителей, что позволяет в полной мере учитывать специфику воздействий со стороны конкретной среды эксплуатации.

Ключевым понятием концепции информационной безопасности Федеральных критериев является понятие

«профиля защиты» (Protection Profile). Профиль защиты – это нормативный документ, который регламентирует все аспекты безопасности ИТ-продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу. Как правило, один профиль защиты описывает несколько близких по структуре и назначению ИТ-продуктов. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.

Федеральные критерии представляют процесс разработки систем обработки информации, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде следующих основных этапов:

1.Разработка и анализ профиля защиты. Требования, изложенные в профиле защиты, определяют функциональные возможности ИТ-продуктов по обеспечению безопасности и условия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности, профиль защиты содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования и квалификационного анализа ИТпродукта. Профиль защиты анализируется на полноту, непротиворечивость и техническую корректность.

2.Разработка и квалификационный анализ ИТпродуктов. Разработанные ИТ-продукты подвергаются

145

независимому анализу, целью которого является определение степени соответствия характеристик продукта сформулированным в профиле защиты требованиям и спецификациям.

3. Компоновка и сертификация системы обработки информации в целом. Успешно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработки информации. Полученная в результате система должна удовлетворять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.

Федеральные критерии регламентируют только первый этап схемы – разработку и анализ профиля защиты. Процесс создания ИТ-продуктов и компоновка систем обработки информации остаются вне рамок этого стандарта.

5.2.4. Общие критерии безопасности информационных технологий

Общие критерии безопасности информационных технологий (Common Criteria for Information Technology Security Evaluation, далее – Общие критерии) являются результатом совместных усилий авторов Европейских критериев безопасности информационных технологий, американских Федеральных критериев безопасности информационных технологий и Канадских критериев безопасности компьютерных систем, направленных на объединение основных положений этих документов и создание единого международного стандарта безопасности информационных технологий.

Версия 2.1 данного стандарта утверждена Международной организацией по стандартизации (ISO) в 1999 г. в качестве международного стандарта информационной безопасности ISO/IEC 15408.

146

Общие критерии сохраняют совместимость с существующими стандартами и развивают их путем введения новых концепций, соответствующих современному уровню развития информационных технологий, интеграции национальных информационных систем в единое мировое информационное пространство. Общие критерии оперируют уже знакомым понятием ИТ-продукт и используют концепцию профиля защиты.

Общие критерии разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов, в равной степени являющихся пользователями таких документов: производителей и потребителей продуктов информационных технологий, а также экспертов по оценке уровня их безопасности.

Производители должны использовать Общие критерии при проектировании и разработке ИТ-продуктов, а также в подготовке их к квалификационному анализу и сертификации. Этот документ дает возможность производителям на основании анализа запросов потребителя определить набор требований, которым должен удовлетворять разрабатываемый ими продукт. Кроме того, производители могут использовать Общие критерии для определения границ своей ответственности, а также условий, которые необходимо выполнить для успешного прохождения квалификационного анализа и сертификации ими продукта.

Потребители используют предлагаемую Общими критериями технологию для обоснования своих претензий на то, что поставляемый им ИТ-продукт успешно противостоит угрозам безопасности, на основании того, что он удовлетворяет выдвинутым функциональным требованиям и их реализация осуществлена с достаточным уровнем адекватности.

Эксперты по сертификации используют этот документ в качестве критериев определения соответствия средств защиты ИТ-продукта требованиям, предъявляемым к нему потребителями, и угрозам, действующим в среде его

147

эксплуатации. Общие критерии описывают только общую схему проведения квалификационного анализа и сертификации, но не регламентируют процедуру их осуществления. Вопросам методологии квалификационного анализа и сертификации посвящен отдельный раздел – Общая методология оценки безопасности информационных технологий.

Таким образом, Общие критерии обеспечивают нормативную поддержку процесса выбора ИТ-продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.

Общие критерии рассматривают информационную безопасность, во-первых, как совокупность конфиденциальности и целостности обрабатываемой ИТпродуктом информации, а также доступности ресурсов ВС и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию Общих критериев входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.

Общие критерии регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТпродуктов, используя схему, заимствованную из Федеральных критериев. Они предлагают достаточно сложную и бюрократичную концепцию процесса разработки и квалификационного анализа, требующую от потребителей и производителей большой работы по составлению и оформлению весьма объемных и подробных отчетных документов.

148

Разработчики Общих критериев также продолжили подход Федеральных критериев, направленный на отказ от единой шкалы безопасности, и усилили гибкость предложенных в них решений путем введения частично упорядоченных шкал, благодаря чему потребители и производители получили дополнительные возможности по выбору требований и их адаптации к своим прикладным задачам.

Особое внимание стандарт уделяет адекватности реализации функциональных требований, которая обеспечивается как независимым тестированием и анализом ИТ-продукта, так и применением соответствующих технологий на всех этапах его проектирования и разработки.

Вцелом требования Общих критериев охватывают практически все аспекты безопасности ИТ-продуктов и технологии их создания, а также содержат все исходные материалы, необходимые потребителям и разработчикам для формирования соответствующих документов. Как следствие, требования Общих критериев являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по безопасности информационных технологий.

Данный стандарт ознаменовал собой новый уровень стандартизации информационных технологий, подняв его на межгосударственный уровень. За этим проглядывается реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что даст возможности для интеграции национальных информационных систем, а это в свою очередь откроет совершенно новые сферы применения информационных технологий.

ВРоссийской Федерации на основе аутентичного текста международного стандарта ISO/IEC 15408 был принят стандарт ГОСТ Р ИСО/МЭК 15408-2002 «Информационная

149