4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
Следуя по пути интеграции, в июне 1993 года Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Соmmon Сriteria” (СС)", которая насчитывает более сотни различных документов ISО 15408. Самым полным среди оценочных стандартов, - является стандарт
"Критерий оценки безопасности информационных технологий" (издан 1 декабря 1999 года).
Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран и вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК).
В разработке Общих Критериев участвовали:
- Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
- Учреждение безопасности коммуникаций (Канада);
- Агентство информационной безопасности (Германия);
- Агентство национальной безопасности коммуникаций (Голландия);
- Органы исполнения Программы безопасности и сертификации ИТ (Англия);
- Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. Разработка первой версии 1.0 «Общих критериев» (ОК) была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведён ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа. В мае 1998 года была опубликована версия 2.0 ОК, и на её основе в июне 1999года был принят Международный Стандарт ISO/IЕС 15408.
Текст документа ISО/IЕС 15408 был издан 1 декабря 1999г. как "Общие критерии оценки безопасности информационных технологий" (ОК). Изменения, внесённые в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию.
Международный стандарт ISО/IЕС 15408 - это более универсальный и совершенный стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования. Он считается аналогом Оранжевой книги, но вопреки распространенному заблуждению, не заменяет собой Оранжевую книгу в силу разной юрисдикции документов. Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IЕС 15408 ратифицировали множество стран, включая Россию. В отличие от “Оранжевой книги”, ОК не содержит предопределённых “классов безопасности”. Такие классы можно строить, исходя из требований безопасности, существующих для конкретной информационной системы.
Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.
«Общие критерии» (ОК) созданы для взаимного признания результатов оценки безопасности ИС в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.
Главные преимущества ОК:
- полнота требований к информационной безопасности;
- гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники.
Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). С точки зрения разработчика программ управления IС, ОК можно считать набором библиотек, помогающих писать содержательные "программы" - задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, "с нуля", программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и "Общие критерии" предоставили соответствующий инструментарий.
Важно отметить, что требования по безопасности могут быть параметризованы, как и полагается библиотечным функциям.
Этот стандарт полезен в качестве руководства при разработке функций безопасности ИС, а также при приобретении коммерческих продуктов с подобными свойствами.
Разработка этого стандарта преследовала следующие основные цели:
унификация национальных стандартов в области оценки безопасности ИС;
повышение уровня доверия к оценке безопасности ИС;
сокращение затрат на оценку безопасности ИС на основе взаимного признания сертификатов.
Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИС.
Структурно «Общие критерии» состоят из 4-х частей.
Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИС. В ней вводится понятийный аппарат и определяются принципы формализации предметной области.
Во второй части «Общих критериев» приводятся требования к функциональности средств защиты «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в ИС функций безопасности.
Третья часть «Общих критериев», наряду с другими требованиями к адекватности реализации функций безопасности, содержит класс требований по анализу уязвимостей средств и механизмов защиты под названием - AVA:
Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:
наличие побочных каналов утечки информации;
ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние;
недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
наличие уязвимостей («дыр») в средствах защиты информации, позволяющих пользователям получать НСД к информации в обход существующих механизмов защиты. Вместе с тем в ОК главное внимание уделено защите от несанкционированного доступа (НСД). Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остался не рассмотренным. Например, оценка административных мер безопасности, оценка безопасности от побочных электромагнитных излучений, методики расчёта различных средств и мер
безопасности, критерии для оценки криптографических методов защиты информации.
При проведении работ по аудиту безопасности данные требования могут использоваться в качестве руководства и критериев для анализа уязвимостей ИС.
Основными отличительными чертами «Общих критериев» (ОК) являются:
наличие определенной методологии и системы формирования требований и оценки безопасности ИС. Системность прослеживается начиная от терминологии и уровней абстракции представления требований и кончая их использованием при оценке безопасности на всех этапах жизненного цикла изделий ИТ;
общие критерии, которые характеризуются наиболее полной на сегодняшний день совокупностью требований безопасности ИС;
четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности, а именно:
- функциональные требования - относятся к сервисам безопасности (идентификации, аутентификации, управлению доступом, аудиту и т.д.);
- требования доверия – относятся к технологии разработки, тестированию, анализу уязвимостей, эксплуатационной документации, поставке, сопровождению, то есть ко всем этапам жизненного цикла изделий ИТ;
общие критерии, включающие шкалу доверия к безопасности (оценочные уровни доверия к безопасности), которая может использоваться для формирования различных уровней уверенности в безопасности продуктов ИТ;
систематизация и классификация требований по иерархии «класс – семейство – компонент – элемент» с уникальными идентификаторами требований, которые обеспечивают удобство их использования;
компоненты требований в семействах и классах, которые ранжированы по степени полноты и жесткости, а также сгруппированы в пакеты требований;
гибкость в подходе к формированию требований безопасности для различных типов изделий ИТ и условий их применения обеспечиваемые возможностью целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структурах (профиля защиты и заданий по безопасности);
открытостью для последующего наращивания совокупности требований.
Прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна. Выпуск и внедрение этого стандарта за рубежом сопровождался разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям.
Международный стандарт ISО/IЕС 15408 («Общие критерии») представляет собой результат обобщения опыта различных государств по разработке и практическому использованию критериев оценки безопасности информационных технологий. Базовые документы, которые легли в основу «Общих критериев», и связи между ними представлены на рис.
Рис.
Предыстория «Общих
критериев»
Анализ развития нормативной базы оценки безопасности ИТ позволяет понять те мотивационные посылки, которые привели к созданию
«Общих критериев».
Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.
«Общие критерии» обобщили содержание и опыт использования «Оранжевой книги», развили уровни гарантированности европейских критериев, воплотили в реальные структуры концепцию профилей защиты «Федеральных критериев» США.
В ОК проведена :
- классификация широкого набора функциональных требовании и требовании доверия к безопасности;
- определены структуры группирования;
Как показывают оценки специалистов в области информационной безопасности , по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональный стандарт, а методологию задания, оценки и каталог требований безопасности ИТ, который может наращиваться и уточняться.
В определенном смысле роль функциональных стандартов выполняют профили защиты, которые формируются с учетом рекомендаций и каталога требований ОК, но могут включать и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного изделия или типа изделий ИТ.
Как и "Оранжевая книга", ОК содержат два основных вида требований безопасности:
• функциональные (security functional requirements ), соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
• требования доверия к адекватности реализации функций безопасности (security assurance requirements), соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.
Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки (этапам создания и эксплуатации).
Выделяются следующие этапы:
• определение назначения, условий применения, целей и требований безопасности;
• проектирование и разработка;
• испытания, оценка и сертификация;
• внедрение и эксплуатация.
В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами.
В свою очередь, угрозы характеризуются следующими параметрами:
• источник угрозы; • метод воздействия;
• уязвимые места, которые могут быть использованы;
• ресурсы (активы), которые могут пострадать.
Уязвимые места могут возникать из-за недостатка в:
• требованиях безопасности;
• проектировании; • эксплуатации.
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.
С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее,
структурировать пространство требований, в "Общих критериях" введена иерархия: класс – семейство – компонент - элемент.
Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
Семейства в пределах класса различаются по строгости и другим нюансам требований.
Компонент - минимальный набор требований, фигурирующий как целое.
Элемент - неделимое требование.
Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. В принципе, не все комбинации компонентов имеют практический смысл, и понятие зависимости в некоторой степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы.
С помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты (ПЗ) - представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы
определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности - содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Принципиально, что в ОК нет готовых классов защиты.
Сформировать классификацию видов и методов защиты в терминах "Общих критериев" - значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования доверия безопасности.
Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты.
•Функциональный пакет - это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности.
"Общие критерии" не регламентируют структуру пакетов, процедуры верификации, регистрации и т.п., отводя им роль технологического средства формирования ПЗ.
Базовый профиль защиты - должен включать требования к основным (обязательным в любом случае) возможностям.
Производные профили - получаются из базового путем добавления
необходимых пакетов расширения, то есть подобно тому, как создаются
производные классы в объектно-ориентированных языках программирования.
“Общие критерии” представляют собой набор из пяти отдельных
взаимосвязанных частей. К ним относятся:
Введение и общая модель
Функциональные требования безопасности
3 Требования к надежности защитных механизмов
4. Предопределенные профили защиты
5 Процедуры регистрации профилей защиты
Предопределенные профили защиты содержат примеры профилей защиты,
представляющие функциональные требования и требования к надежности,
определенные в исходных критериях, включая TISЕС, СTСРЕС, FС и ТСSЕС,
а также требования не представленные в этих критериях.
Четвертая часть "Общих критериев" является реестром профилей защиты,
которые прошли процедуру регистрации. Этот реестр будет со временем
пополнять по мере регистрации новых профилей защиты в соответствии" с
процедурой регистрации, описанной в пятой части "Общих критериев".
Новые профили защиты будут разрабатываться группами пользователей
и поставщиками компьютерных приложений и оцениваться независимыми экспертами в соответствии с требованиями, выраженными в "Общих критериях".
“Общие критерии" обобщили содержание и опыт использования "Оранжевой книги", развили Европейские и Канадские критерии, и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В "Общих критериях" проведена классификация широкого набора требований безопасности ИС, определены структуры их группирования и принципы использования.
Главные достоинства "Общих критериев":
- полнота требований безопасности и их систематизация;
- гибкость в применении и открытость для последующего развития.
При проведении работ по анализу защищенности ИС, «Общие критерии» целесообразно использовать в качестве основных критериев,
позволяющих оценить уровень защищенности ИС с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений,
которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы.
Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится также определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
По уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональный стандарт, а методологию задания, оценки и каталог требований безопасности ИС, который может наращиваться и уточняться.
Уже после принятия стандарта с учётом опыта его использования появился ряд интерпретаций ОК, которые после рассмотрения специальным Комитетом по
интерпретациям (ССIМВ) принимаются, официально публикуются и вступают в силу как действующие изменения и дополнения к ОК. Параллельно с интерпретацией ведётся разработка версии 3.0 ОК.
Соглашение о взаимном признании сертификатов
В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и США было подписано соглашение о взаимном признании оценок (The international Mutual Recognition Arrangement – MRA), полученных на основе Общих критериев. В соответствии с этим Соглашением стороны намереваются признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения Общих критериев и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в МRА правила позволяют присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты. Это, с одной стороны, является свидетельством признания международным сообществом ОК как единой методологической основы оценки безопасности ИТ, с другой стороны - демократичности самой организации.
В настоящее время в рамках МRА в 6 странах действует 8 аккредитован
ных органов по сертификации, имеющих право выдавать сертификаты соответствия ОК на продукты и системы ИТ, а также около 30 аккредитованных в этих странах органов оценки, которые к настоящему времени провели в рамках ОК оценку и сертификацию более 20 продуктов и систем ИТ.
Появление соглашения МRА ориентирует разработчиков на единые критерии, которым должны соответствовать их продукты ИТ, а также расширяет возможности выбора сертифицированных продуктов ИТ для потребителей.
В мае 2000 года было подписано более универсальное (по сравнению с МКА) Соглашение о признании сертификатов ОК (Аrrangementon the Recognition of Common Criteria Certificates; CCRA)
В настоящее время к странам, присоединившимся к международному Соглашению о признании ОК, относятся США, страны ЕС, Россия, Япония,
Особенности процесса стандартизации в Интернете
В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.
За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.
Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.