- •5. Критерии безопасности
- •5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •5.2. Европейские критерии безопасности информационных технологий
- •5.3. Федеральные критерии безопасности информационных технологий
- •1. Требования к реализации политики безопасности
- •2. Мониторинг взаимодействий
- •3. Логическая защита яз
- •4. Физическая защита яз
- •5.4. Канадские критерии безопасности компьютерных систем
- •1. Объекты и субъекты
- •2. Теги
- •5.5. Единые критерии безопасности информационных технологий
- •I. Базовые понятия «Единых критериев»
- •5.6. Документы государственной технической комиссии России
- •Показатели защищенности по классам свт
- •Требования к защищенности ас
I. Базовые понятия «Единых критериев»
Задачи защиты – определяют механизмы защиты ПИТ, которые позволяют противостоять заданному множеству угроз безопасности, или реализовать политики безопасности.
Профиль защиты – специальный документ, который представляет собой совокупность задач защиты, функциональных требований, требований адекватности и их обоснования.
Профиль защиты определяет требования безопасности к определенной категории ПИТ-продуктов, не уточняя методы и средства их реализации. С помощью «Профиля защиты» потребителем формулируют свои требования к производителям. Он служит также руководством для производителей ПИТ при создании «Проекта защиты».
Структура «Профиля защиты» «Единых критериев» существенное отличается от документа с тем же названием, который рассматривался в «Федеральных критериях».
Структура «Профиля защиты»:
Введение содержит информацию, необходимую для поиска «Профиля защиты» в библиотеке профилей.
Описание ПИТ содержит его краткую характеристику, функциональное назначение, принципы работы, методы их использования и т. д.
Среда эксплуатации. Этот раздел содержит описания среды функционирования ПИТ с точки зрения безопасности.
Политика безопасности
Задачи защиты отражают потребности пользователей в противодействии указанным угрозам безопасности и/или реализации политики безопасности.
Требования безопасности
Этот раздел состоит из трех основных подразделов.
Функциональные требования – содержаться только типовые требования, предусмотренные соответствующими разделами «Единых критериев». Функциональные требования могут предписывать или запрещать использование конкретных методов и средств защиты.
Требования адекватности – содержатся ссылки на типовые требования уровней адекватности, но допускается и определение дополнительных требований адекватности.
Требования к среде эксплуатации является обязательным и может содержать функциональные требования и требования адекватности, которые должны удовлетворять компоненты информационных технологий, составляющие среду эксплуатации ПИТ.
Проекты защиты – специальный нормативный документ, представляющий собой совокупность Задач защиты, функциональных требований, требований адекватности, общих спецификаций средств защиты и их обоснования.
Многие разделы Проекта защиты совпадают с одноименными разделами Профиля защиты, поэтому рассматриваются только те разделы, которые специфичны для Проекта защиты, а также те, которые претерпели изменения.
Разделы Проекта Защиты
Введение содержит информацию, необходимую для идентификации Проекта защиты, определения назначения, а также обзор его содержания.
Идентификатор представляет собой уникальное имя Проекта защиты, необходимое для поиска и идентификации Проекта защиты и соответствующего ему ПИТ.
Обзор содержания представляет собой достаточно подробную аннотацию Проекта защиты, позволяющую потенциальным потребителям определить ХХХ-продукта для решения их задач.
Заявка на соответствие «Единым критериям» содержит описание всех свойств ПИТ, подлежащих квалификационному анализу на основе «Единых критериев».
Требования безопасности. Проекта Защиты содержат требования безопасности к ПИТ, которыми руководствовался производитель в ходе его разработки. Этот раздел несколько отличается от аналогичного раздела Профиля Защиты.
Функциональные требования к ПИТ в отличии от соответствующего раздела Профиля Защиты документ использования кроме типовых требований «Единых критериев» других, специфичных для данного продукта и сферы его эксплуатации.
Требования адекватности могут включать уровни адекватности, не предусмотренные в «Единых критериях».
Общие спецификации ПИТ описывают механизм осуществления Задач защиты с помощью определения высокоуровневых спецификаций средств защиты в соответствии с предъявляемыми требованиями и требованиями адекватности.
Спецификации функций защиты описывает функциональные возможности средств защиты ПИТ, заявленные его производителями как реализующие требования безопасности. Форма представления спецификаций должна позволять соответствия между функциями защиты и требованиями безопасности.
Спецификация уровня адекватности определяют заявленный уровень адекватности защиты ПИТ и его соответствие требованиям адекватности в виде предоставления параметров технологии проектирования и создания ПИТ.
Заявка на соответствие Профилю защиты. Проект защиты претендует на удовлетворение требований одного или нескольких Профилей. Этот его обязательный раздел содержит материал, необходимые для подтверждения заявки.
Обоснование должно показывать, что Проект защиты содержит полное и связное множество требований;
что реализующий его ПИТ будет эффективное противостоять угрозам безопасности, действующими в среде эксплуатации,
что общие спецификации функций защиты соответствует требованиям безопасности.
Кроме того, обоснование содержит подтверждение соответствия Профилю защиты. Обоснование Проекта защиты включает следующие разделы:
Обоснование задач защиты должно демонстрировать:
что задачи защиты, предложенные в Проекте защиты, соответствуют свойствам среды эксплуатации;
что их решение позволяет эффективно противодействовать угрозам безопасности и реализовать требуемую политику безопасности.
Обоснование требований безопасности показывает, что выполнение требований позволяет решить задачи защиты, т.к.:
а) совокупность функциональных требований и требований адекватности, а также условий эксплуатации ПИТ соответствует задачам защиты;
б) все требования безопасности являются не противоречащим и взаимно усиливают друг друга;
в) выбор требований является оправданным;
г) уровень функциональных возможностей средств защиты соответствует задачам защиты.
Обоснование общих спецификаций ПИТ должно демонстрироваться, что средства защиты и методы обеспечения их адекватности соответствуют предъявляемым требованиям поскольку:
а) совокупность средств защиты удовлетворяет функциональным требованиям;
б) требуемый уровень безопасности и надежности защиты обеспечивается предложенными средствами;
в) меры, направленные на обеспечение адекватности реализации функциональных требований, соответствуют предъявляемым требованиям адекватности.
Обоснование соответствия Профилю защиты показывает, что требования защиты поддерживают все требования Профиля Защиты. Для этого должно быть показано, что
а) все усовершенствования задач защиты по сравнению с Профилем защиты осуществлены корректно и в направлении их развития и конкретизации;
б) все усовершенствования требований безопасности по сравнению с Профилем защиты и осуществлены корректно и в направлении их развития и конкретизации;
в) все задачи защиты Профиля защиты успешно решены и все требования Профилю защиты удовлетворены;
г) никакие дополнительно введенные в Проект защиты специальные задачи защиты к требованиям безопасности не противоречат Профилю защиты.
С другой стороны Проект защиты является отправной точкой для разработчика системы и представляет собой эталон системы в ходе квалификационного анализа. В ходе квалифицированного анализа Проект защиты служит в качестве описания ПИТ.
Профиль и Проект защиты исчерпывающим образом регламентирует взаимодействие потребителей, производителей и экспертов по квалификации в процессе создания ПИТ. Фактически, положения этих документов определяют технологию разработки защищенных систем. Но самым важным элементом этой технологии являются требования безопасности.
Требования безопасности
«Единые критерии» разделяют требования безопасности на две категории:
1. Функциональные требования.
2. Требования адекватности.
Функциональные требования регламентируют функционирование обеспечивающих безопасность компонентов ПИТ и определяют возможности средств защиты.
Новым в функциональных требованиях является использование ранжированных требований. Набор ранжированных требований представляет собой иерархическую структуру, в которой усиление требований происходит монотонно, но при этом не является линейным упорядочным списком. Требования, стоящие в иерархии выше других включают в себя нижестоящие требования. Таким образом, структура, отображающая иерархию требований, имеет вид направленного графа. Усиление требований происходит при движении по его ребрам от корневой вершины. Вершины графа, между которыми нельзя проложить путь, следуя по направлению ребер, обозначают несравнимые между собой требования.
Кроме того, введено понятие управляемых параметров. Это настраиваемые параметры, которые могут управлять средствами защиты.
Набор функциональных требований «Единых критериев» отличаются от других стандартов, во-первых, своей всеобъемлющей полнотой (135 требований), во-вторых, многоуровневым подходом к обеспечению безопасности.
Впервые отдельные классы требований направлены на обеспечение надежности работы самих средств защиты, контролю за эксплуатацией системы, обеспечению конфиденциальности сеансов доступа к системе и организации обмена информацией. Особо стоит отметить появление в последней версии критериев требований к криптографическим средствам и управлению безопасностью.
Кроме того требования конфиденциальности, целостности и управления доступом объединены в один класс «защиты информации», что выглядит вполне логичным и полностью соответствует их назначению. Следует отмечать также разделение требований к политике управления доступом (произвольные модели управления доступом) от требований к управлению информационными потоками (нормативные модели доступом), а также отделение требований к политике безопасности от требований к средствам ее реализации.
Требования адекватности
Требования адекватности «Единых критериев» жестко структурированы и регламентируют все этапы проектирования, создания и эксплуатации ПИТ с точки зрения обеспечения надежности работы средств защиты и их адекватности функциональным требованиям, задачам защиты и угрозам безопасности, действующим в среде эксплуатации ПИТ.
Причем требования адекватности ранжированы и представлены в виде упорядоченных списков. Они используются при квалифицированной анализе ПИТ для определения степени корректности реализации функциональных требования и назначения ПИТ соответствующего уровня адекватности.
«Единые критерии» предлагают семь стандартных уравнений адекватности, жесткость требований адекватности возрастает от первого уровня к седьмому. Каждый уровень характеризуется набором требований адекватности, регламентирующих применение различных методов и технологий разработки, тестирования, контроля и сертификации ПИТ.
Уровень 1. Функциональное тестирование
Используется в тех случаях, когда угрозам безопасности не придается большого значения. Только требуется выполнение независимой гарантии того, что в состав ПИТ входят средства защиты персональной или подобной информаций, реализованные в соответствии с указанными требованиями.
Уровень 2. Структурное тестирование
Данный уровень расширяет требования предыдущего за счет включения в материалы, подтверждающие анализ результатов тестов, проводимых разработчиками ПИТ, необходимостью осуществления анализа уязвимостей и независимого тестирования с использованием более детальных спецификаций.
Используется когда пользователи или разработчики согласны удовлетвориться низкой или умеренной степенью независимого подтверждения адекватности обеспечиваемого уровня безопасности. В основном требовании этого уровня применяются для унаследованных систем, уже находящихся в эксплуатации.
Уровень 3. Методическое тестирование
Уровень расширяет требования предыдущего за счет более полного тестирования функций защиты и средств их реализации, а также применения мер, которые дают определенную уверенность в том, что ПИТ не был подменен в процессе разработки.
Уровень 4. Методическая разработка, тестирование, анализ
Применяется когда разработчики или пользователи требуют умеренную или высокую степень независимого подтверждения адекватности защиты ПИТ и готовы нести определенные дополнительные технические затраты.
Уровень 5. Полуформальные методы разработки и тестирования
Рекомендуется применять в том случае, когда разработчики или пользователи требуют высокой степени независимого подтверждения адекватности средств защиты, а также строгого применения определенных технологий разработки ПИТ, но без чрезмерных затрат.
Уровень 6. Полуформальные методы верификации, разработки и тестирования
Применяется при разработке защищенных продуктов, предназначенных для использования в ситуациях с высокой степенью риска, где ценность защищаемой информации оправдывает дополнительные затраты.
Уровень 7. Формальные методы верификации, разработки и тестирования
Этот уровень может быть использован для разработки защищенных продуктов, предназначенных для использования в ситуациях с исключительно высокой степенью риска, и/или там, где ценность защищаемых объектов оправдывает высокие дополнительные затраты.
Выводы: «Единые критерии» в настоящее время являются наиболее полным и общепризнанным международным стандартом по оценке безопасности продуктов и систем информационных технологий, но в РФ их применение носит пока еще рекомендательный характер.