- •5. Критерии безопасности
- •5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •5.2. Европейские критерии безопасности информационных технологий
- •5.3. Федеральные критерии безопасности информационных технологий
- •1. Требования к реализации политики безопасности
- •2. Мониторинг взаимодействий
- •3. Логическая защита яз
- •4. Физическая защита яз
- •5.4. Канадские критерии безопасности компьютерных систем
- •1. Объекты и субъекты
- •2. Теги
- •5.5. Единые критерии безопасности информационных технологий
- •I. Базовые понятия «Единых критериев»
- •5.6. Документы государственной технической комиссии России
- •Показатели защищенности по классам свт
- •Требования к защищенности ас
2. Теги
При описании критериев конфиденциальности и целостности (произвольного и нормативного управления доступом и целостностью) в «Канадских критериях» для обеспечения максимальной степени абстракции и инвариантности по отношению к политике безопасности и методам ее реализации используется понятие тег, обозначающие совокупность атрибутов безопасности, ассоциированные с пользователем, процессом или объектом.
В качестве тега пользователя, процесса или объекта могут выступать соответствующий уникальный идентификатор, метка безопасности или целостности, криптографический ключ, таблица прав доступа или другие атрибуты в соответствии с реализованной в компьютерной системе политики безопасности.
Основные положения и структура «Канадских критериев»
В «Канадских критериях» используется принцип дуального представления требований безопасности в виде функциональных требований к средствам защиты и требований к адекватности их реализации.
Функциональные критерии представляют собой частные метрики, предназначенные для определения показателей эффективности средств защиты в виде уровня их возможностей по отражению угроз соответствующего типа. Функциональные критерии разделяются на четыре группы:
критерии конфиденциальности;
критерии целостности;
критерии работоспособности;
критерии аудита.
Каждая из этих групп (кроме аудита) отражает функциональные возможности системы по отражению соответствующего класса угроз.
Угрозы несанкционированного доступа к информации предотвращаются с помощью средств, требования к которым содержатся в разделе критериев конфиденциальности.
К этим средствам относятся:
контроль скрытых каналов;
произвольное управление доступом;
нормативное управление доступом;
повторное использование объектов.
Угрозам несанкционированного изменения информации или ее искажения противостоят средства защиты, функциональные требования к которым задаются критерии целостности. К этим средствам относятся:
домены целостности;
произвольное управление целостностью;
нормативное управление целостностью;
физическая целостность;
возможность осуществления отчета;
разделение ролей;
самотестирование.
Требования к средствам, обеспечивающим защиту от угроз работоспособности, описаны в разделе критериев работоспособности. К этим средствам относятся:
контроль за распределением ресурсов;
устойчивость к отказам и сбоев;
живучесть;
восстановление.
Угрозы, направленные на фальсификацию протоколов и манипуляцию с внутрисистемной информацией, предотвращается средствами аудита, требования к которым содержатся в одноименном разделе функциональных критериев. К этим средствам относятся:
регистрация и учет событий в системе;
идентификация и аутентификация;
прямое воздействие с адресом защиты.
Такая стандартизация критериев и требований и, соответственно, реализующих эти требования средств защиты, позволяет четко определить стоящие перед ними задачи и разграничить их функции.
Внутри каждой группы критериев определены уровни безопасности, которые отражают возможность средств защиты по решению задач данного раздела. Ранжирование по уровням производится на основании мощности используемых методов защиты и класса отражаемых угроз соответствующего типа. Уровни с большим номером обеспечивают более полную функциональность и, соответственно, более высокую степень безопасности.
Адекватность реализации определяется тем, насколько точно и последовательно средства, обеспечивающие защиту, реализуют принятую в компьютерной системе политику безопасности. Критерии адекватности рассматриваются без разделения на подгруппы и определяют требования к процессу проектирования и разработки компьютерной системы.
Уровень адекватности присваивается всей системе в целом, причем более высокий уровень означает более полную и корректную реализацию политики безопасности. Критерии адекватности отражают уровень корректности реализации политики безопасности и охватывают все стадии проектирования, разработки и эксплуатации компьютерной системы. За некоторым исключением (контроль скрытых каналов) взаимосвязь между функциональными требованиями, предъявляемыми к средствам защиты, и требованиями адекватности реализации политики защиты безопасности отсутствует.
Таким образом «Канадские критерии» определяют степень безопасности компьютерной системы как совокупность функциональных возможностей используемых средств защиты, характеризующиеся частными показателями обеспечиваемого уровня безопасности, и одного обобщенного параметра – уровня адекватности реализации политики безопасности.
В состав приложений к «Канадским критериям» входит подробное описание предложений в иных концепциях обеспечения безопасности информации, а также руководства по применению функциональных критериев и критериев адекватности. Также присутствует примечание, включающие набор стандартных профилей защиты, содержащих типовые наборы требований к компьютерным системам, применяющимся в государственных учреждениях. Этот подход имеет много общего с концепцией профилей защиты, предлагаемой в «Федеральных критериях». Приложение II содержит ранжированный перечень функциональных критериев и критериев адекватности «Канадских критериев».
Выводы:
1. «Канадские критерии оценок безопасности компьютерных систем» явились первым стандартом информационной безопасности, в котором на уровне структуры документа функциональные требования к средствам защиты отделены от требований адекватности и качества реализации политики безопасности. Функциональные требования к средствам защиты четко структурированы и описывают все аспекты функционирования ТСВ (ядра безопасности). Требования к адекватности реализации политики безопасности, впервые появились в виде отдельного раздела, позволяют определить степень доверия к средствам обеспечения безопасности.
2. Впервые значительное влияние уделено взаимному соответствию и взаимодействию всех систем средств обеспечения безопасности. Наиболее прогрессивным являются требования доказательств корректности реализации функциональных требований и их формального соответствия политики и модели безопасности.
3. В «Канадских критериях», как и в «Федеральных критериях», отвергается подход к оценке уровня безопасности с помощью универсальной шкалы и используется независимое ранжирование требований по каждому разделу, образующее множество частных критериев, характеризующих работу подсистем обеспечения безопасности. Кроме того, уровень адекватности реализации политики безопасности характеризует качество всей системы в целом. Однако, по сравнению с «Федеральными критериями», требования к технологии разработки выражены слабо и недостаточно конкретизированы в части используемых методов и средств.
4. «Канадские критерии оценки безопасности компьютерных систем» представляют собой хорошо сбалансированный конгломерат (механическое соединение чего-либо разнородного) «Оранжевой книги» и «Федеральных критериев», усиленный требованиями адекватности реализации политики безопасности, и наравне с другими стандартами послужили для разработки «Единых критериев безопасности информационных технологий».