1.3. Профиль защиты

Как уже говорилось, Профиль защиты является центральным поня­тием "Федеральных критериев", большая часть содержания которых пред­ставляет собой описание разделов Профиля защиты, включающее таксо­номию требований безопасности и их ранжирование. Рассмотрим назна­чение, структуру и этапы разработки Профиля защиты.

1.3.1 Назначение и структура Профиля защиты

Профиль защиты предназначен для определения и обоснования со­става и содержания средств защиты, спецификации технологии разработ­ки и регламентации процесса квалификационного анализа ИТ-продукта. Профиль защиты состоит из следующих пяти разделов:

• описание;

• обоснование;

• функциональные требования к ИТ-продукту;

• требования к технологии разработки ИТ-продукта;

• требования к процессу квалификационного анализа ИТ-продукта.

Описание Профиля содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. "Федеральные критерии" предлагают поддерживать такую картотеку на общегосударственном уровне. Это позволит любой организации восполь­зоваться созданными ранее Профилями защиты непосредственно, или ис­пользовать их в качестве прототипов для разработки новых. В описании Профиля защиты должна быть охарактеризована основная проблема или группа проблем обеспечения безопасности, решаемых с помощью приме­нения данного Профиля.

Обоснование содержит описание среды эксплуатации, предпола­гаемых угроз безопасности и методов использования ИТ-продукта. Кроме того, этот раздел содержит подробный перечень задач по обеспечению безопасности, решаемых с помощью данного Профиля. Эта информация дает возможность определить, в какой мере данный Профиль защиты при­годен для применения в той или иной ситуации. Предполагается, что дан­ный раздел ориентирован на службы безопасности организаций, которые изучают возможность использования ИТ-продукта, соответствующего данному Профилю защиты.

Раздел функциональных требований к ИТ-продукту содержит опи­сание функциональных возможностей средств защиты ИТ-продукта и определяет условия, в которых обеспечивается безопасность в виде перечня угроз, которым успешно противостоят предложенные средства защиты. Угрозы, лежащие вне этого диапазона, должны быть устранены с помо­щью дополнительных, не входящих в состав продукта, средств обеспече­ния безопасности. Очевидно, что чем сильнее и опаснее угрозы, тем более мощными и стойкими должны быть средства, реализующие функции за­щиты.

Раздел требований к технологии разработки ИТ-продукта охваты­вает все этапы его создания, начиная от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит требования как к самому процессу разработки, так и к условиям, в которых она проводит­ся, к используемым технологическим средствам, а также к документиро­ванию этого процесса. Выполнение требований этого раздела является непременным условием для проведения квалификационного анализа и сертификации ИТ-продукта.

Раздел требований к процессу квалификационного анализа ИТ-продукта регламентирует порядок проведения квалификационного анали­за в виде методики исследований и тестирования ИТ-продукта. Объем и глубина требуемых исследований зависят от наиболее вероятных типов угроз, среды применения и планируемой технологии эксплуатации.

"Федеральные критерии" содержат подробное описание всех трех разделов Профиля защиты, посвященных требованиям, включающее их таксономию и ранжирование для каждого раздела. В данном обзоре ос­новное внимание уделено функциональным требованиям, т. к. именно в этой области "Федеральные критерии" проделали значительный шаг впе­ред по сравнению с предшествующими стандартами.

1.3.2. Этапы разработки Профиля защиты

Разработка Профиля защиты осуществляется в три этапа: анализ среды применения ИТ-продукта с точки зрения безопасности, выбор Про­филя-прототипа и синтез требований. На рис. 2.4 приведена общая схема разработки Профиля защиты.

На первой стадии проводится анализ информации о среде предпо­лагаемого применения ИТ-продукта, действующих в этой среде угрозах безопасности и используемых этими угрозами недостатках защиты. Ана­лиз проводится с учетом технологии использования продукта, а также су­ществующих стандартов и нормативов, регламентирующих его эксплуатцию.

Второй этап состоит в поиске Профиля, который может быть ис­пользован в качестве прототипа. Как уже говорилось, "Федеральные кри­терии" предусматривают создание специальной, доступной для разработ­чиков ИТ-продуктов, картотеки, в которую должны

быть помещены все разработанные когда-либо Профили защиты. Это позволит минимизиро­вать затраты на создание Профилей и учесть опыт предыдущих разрабо­ток.

Этап синтеза требований включает выбор наиболее существенных для условий функционирования продукта функций защиты и их ранжиро­вание по степени важности с точки зрения обеспечения качества защиты. Выбор специфичных для среды требований безопасности должен быть основан на их эффективности для решения задачи противодействия угро­зам. Разработчик Профиля должен показать, что выполнение выдвинутых требований ведет к обеспечению требуемого уровня безопасности посред­ством успешного противостояния заданному множеству угроз и устране­ния недостатков защиты.

При разработке Профиля защиты необходимо анализировать связи и взаимозависимости, существующие между функциональными требова­ниями и требованиями к процессу разработки, а также между отдельными требования внутри этих разделов. По завершению разработки Профиль защиты подвергается проверке, целью которой является подтверждение его полноты, корректности, непротиворечивости и реализуемости.