Единые критерии безопасности информационных технологий

Цель разработки

«Единые критерии безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation, далее просто «Единые критерии») [19] являются результатом совместных усилий авторов «Европейских критериев безопасности информационных технологий», «Федеральных критериев безопасности информационных технологий» и «Канадских критериев безопасности компьютерных систем» по объединению этих стандартов в единый согласованный документ. Ра­бота над этим самым масштабным в истории стандартов информационной безопасности проектом началась в июне 1993 года с целью преодоления концептуальных и технических различий между указанными документами, их согласования и создания единого международного стандарта. Данный стандарт должен быть утвержден Международной организацией по стандартизации (ISO) в рамках начатого этой организацией в 1990 году проек­та по созданию международного стандарта информаци­онной безопасности.

Первая версия «Единых критериев» была опублико­вана 31 января 1996 года. Разработчиками документа выступили Национальный институт стандартов и техно­логий и Агентство национальной безопасности США, а также соответствующие организации Великобритании, Канады, Франции и Нидерландов. В течение 1997 года ожидается следующая версия с исправлениями и допол­нениями.

«Единые критерии» согласованы с существующими стандартами и развивают их путем введения новых кон­цепций, соответствующих современному уровню разви­тия информационных технологий. Этот документ разра­ботан на основе достижений многочисленных исследо­ваний в области безопасности информационных техно­логий 90-х годов и на результатах анализа опыта приме­нения положенных в его основу стандартов. «Единые критерии» оперируют 'уже знакомым нам по «Федераль­ным критериям» понятием «продукт информационных технологий», или ИТ-продукт, и используют предложен­ную в них концепцию профиля защиты.

«Единые критерии» разрабатывались в расчете на три группы специалистов, в равной степени являющихся пользователями этого документа: производителей и; по­требителей продуктов информационных технологий, а также экспертов по квалификации уровня безопасности (см. п. 2.2).

Потребители рассматривают квалификацию уровня безопасности ИT- продукта как метод определения соответствия ИТ-продукта запросам. Обычно эти запреты составляются на основании результатов проведенного анализа рисков и выбранной политики безопасноести. «Единые критерии» играют существенную роль в про­цессе формирования запросов потребителей, так как со­держат механизмы, позволяющие, сформулировать эти запросы в виде стандартизованных требований. Это по­зволяет потребителям принять обоснованное решение о возможности использования тех или иных продуктов. Наконец, «Единые критерии» предоставляют потребите­лям механизм профилей защиты, с помощью которого они могут выразить специфичные для них требования, не заботясь о механизмах их реализации.

Производители должны использовать «Единые кри­терии» в ходе проектирования и разработки ИТ-про­дуктов, а также при их подготовке к квалификационно­му анализу и сертификации. Этот документ дает воз­можность производителям на основании анализа запро­сов потребителей определить набор требований, кото­рым должен удовлетворять разрабатываемый ими про­дукт. Производители используют предлагаемую «Еди­ными критериями» технологию для того, чтобы заявить, что созданный ими продукт удовлетворяет выдвинутым функциональным требованиям и обладает достаточным уровнем адекватности. «Единые критерии» предлагают производителям специальный механизм, так называемый проект защиты, дополняющий профиль защиты и по­зволяющий соединить описания механизмов реализации средств защиты и требований, на которые ориентиро­вался разработчик. Кроме того, производители могут использовать «Единые критерии» для определения своей ответственности, а также действий, необходимых для поддержки процесса квалификационного анализа и сер­тификации созданного ими продукта.

Эксперты по квалификации используют положения этого документа в качестве критериев для определения соответствия между ИТ-продуктом и предъявляемыми к нему требованиями. «Единые критерии» описывают только общую схему проведения квалификационного анализа и сертификации, но не регламентируют процеду­ру их осуществления. Вопросам методологии квалифика­ционного анализа и сертификации посвящен отдельный документ тех же авторов — «Общая методология оценки безопасности информационных технологий» [20].

Таким образом, «Единые критерии» обеспечивают решение задач выбора и сертификации ИТ-продуктов и служат руководящим материалом для разработчиков информационных систем, обладающих функциями за­щиты, а также определяют шкалу оценки уровня безо­пасности, обеспечиваемого ИТ-продуктом.

«Единые критерии» рассматривают безопасность как совокупность конфиденциальности, целостности и дос­тупности ресурсов ВС и ставят перед средствами защиты задачи противодействия соответствующим типам угроз и реализации политики безопасности, однако не ограни­чиваются этими традиционными целями и позволяют учитывать угрозы, которые не могут быть отнесены ни к одному из перечисленных выше типов.

Основные положения

«Единые критерии» регламентируют все стадии; раз­работки, квалификационного анализа и эксплуатации ИТ-продуктов, уже знакомых нам по «Федеральным кри­териям» (п. 2.8.2). «Единые критерии» предлагают доста­точно сложную и бюрократичную концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей огромного количества бумажной работы по составлению и оформле­нию весьма объемных и подробных нормативных доку­ментов. Коротко рассмотрим основные положения и раз­делы этих документов, но сперва введем определения для некоторых базовых понятий «Единых критериев»:

Задачи защиты — базовое понятие «Единых критери­ев», выражающее потребность носителей ИТ-продукта в противостоянии заданному множеству угроз безопасно­сти или в необходимости реализации политики безопас­ности.

Профиль защиты — специальный нормативный доку­мент, представляющий собой совокупность Задач защи­ты, функциональных требований, требований адекватно­сти и их обоснования. Служит руководством для разра­ботчика ИТ-продукта при создании проекта защиты.

Проект защиты — специальный нормативный доку­мент, представляющий собой совокупность задач защи­ты, функциональных требований, требований адекват­ности. общих спецификаций средств защиты и их обос­нования. В ходе квалификационного анализа служит в качестве описания ИТ-продукта.

Согласно «Единым критериям», безопасность ин­формационных технологий может быть достигнута по­средством применения предложенной в них технологии разработки, сертификации и эксплуатации ИТ-продуктов. На рис. 2.11 представлена схема технологического цикла применения «Единых критериев».

Обозначение:

———————— à - информационные потоки

- - - - - - - - - - - - - -à - влияние по принципу обратной связи

Рис 2.11. Схема процесса разработки и кавлифакационного анализа ИТ-продукта с точки зрения "Единых критериев"

 

С точки зрения авторов «Единых критериев» наибо­лее существенным аспектом требований безопасности, на которые ориентируются разработчики при создании ИТ-продукта, является их соответствие нуждам его по­требителей. Только при соблюдении этого условия будет достигнута поставленная цель — обеспечение безопасно­сти информационных технологий. «Единые критерии» определяют.множество типовых требований, которые в совокупности с механизмом про­филей защиты позволяют потребителям создавать Част­ные наборы требований, отвечающие их нуждам. Разра­ботчики могут использовать профиль защиты как осно­ву для создания спецификаций своих продуктов. Про­филь защиты и спецификации средств защиты составля­ют проект защиты, который представляет ИТ-продукт в ходе квалификационного анализа.

Квалификационный анализ может осуществляться как параллельно с разработкой, так и следовать за ней. Для проведения квалификационного анализа должны быть получены следующие материалы:

· проект защиты, описывающий функции защиты ИТ-продукта и требования безопасности, соответ­ствующие требованиям Профиля защиты, на реа­лизацию которого претендует ИТ-продукт;

· доказательства возможностей ИТ-продукта. пред­ставленные его разработчиком:

· сам ИТ-продукт:

· дополнительные сведения, полученные путем про­ведения различных экспертиз.

Процесс квалификационного анализа включает три стадии:

1. Анализ профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности ис­пользования в качестве набора требований для анализи­руемого продукта.

2. Анализ проекта защиты на предмет его соответст­вия требованиям профиля защиты, а также полноты, не­противоречивости, реализуемости и возможности ис­пользования в качестве описания ИТ-продукта.

3. Анализ ИТ-продукта на предмет соответствия проекту защиты.

Результатом квалификационного анализа является заключение о том, что проанализированный ИТ-продукт соответствует представленному проекту защиты. Заклю­чение состоит из нескольких отчетов, отличающихся уровнем детализации и содержащих мнение экспертов по квалификации об ИТ-продукте на основании критериев квалификации — «Единых критериев». Эти отчеты мо­гут использоваться как производителями, так и потреби­телями ИТ-продукта.

Применение квалификационного анализа сертификации приводит к повышению качества работы произ­водителен в процессе проектирования и разработки ИТ-продуктов, а также к повышению безопасности их экс­плуатации. Кроме того, в продуктах, прошедших квали­фикацию уровня безопасности, уменьшается вероятность появления ошибок и изъянов. Все это позволяет гово­рить о том, что «Единые критерии» оказывают положи­тельное и конструктивное влияние на процесс формиро­вание требований, разработку ИТ-продукта, сам ^про­дукт и его эксплуатацию.

Основными документами, описывающими все аспек­ты безопасности ИТ-продукта с точки зрения пользова­телей и разработчиков, являются соответственно про­филь защиты и проект защиты. Рассмотрим структуру и содержание этих документов.

Профиль защиты

Профиль защиты определяет требования безопасно­сти к определенной категории ИТ-продуктов, не уточняя методы и средства их реализации. С помощью профилей защиты потребители формулируют свои требования к производителям.

Структура профиля защиты «Единых критериев» существенно отличается от документа с тем же названи­ем, обсуждавшегося в разделе, посвященном «Федераль­ным критериям» (п. 2.8.3), и показана на рис. 2.12.

Рассмотрим назначение и содержание разделов про­филя защиты.

Введение содержит всю информацию, необходимую для поиска профиля защиты в библиотеке профилей.

Идентификатор профиля защиты представляет со­бой уникальное имя, пригодное для его поиска среди по­добных ему профилей и обозначения ссылок на него.

Обзор содержания содержит краткую аннотацию профиля защиты, на основании которой потребитель может сделать вывод о пригодности данного профиля для его нужд.

Описание ИТ-продукта должно содержать его крат­кую характеристику, функциональное назначение, прин­ципы работы, методы использования и т. д. Эта инфор­мация не подлежит анализу и сертификации, но предос­тавляется производителям и экспертам по квалификации для пояснения требований безопасности и определения их соответствия задачам, решаемым с помощью ИТ-про­дукта, а также для общего понимания его структуры и принципов работы.

Среда эксплуатации. Этот раздел содержит описание всех аспектов функционирования ИТ-продукта, связан­ных с безопасностью.

Угрозы безопасности. Описание угроз безопасности, присущих среде эксплуатации ИТ-продукта, которым должна противостоять защита. Для каждой угрозы дол­жен быть указан ее источник, а также метод воздействия и его объект.

Политика безопасности. Описание политики безо­пасности должно определять и, при необходимости, объ­яснять правила политики безопасности, которая должна быть реализована в ИТ-продукте.

Условия эксплуатации. Описание условий эксплуата­ции ИТ-продукта должно содержать исчерпывающую характеристику среды его эксплуатации с точки зрения безопасности.

Задачи защиты отражают потребности пользовате­лей в противодействии указанным угрозам безопасности и/или в реализации политики безопасности.

Задачи защиты ИТ-продукта должны быть четко оп­ределены и отражать потребности в противодействии угрозам безопасности и/или в реализации политики безопасности.

Другие задачи защиты отражают потребности в противодействии угрозам безопасности и/или в реализации политики безопасности других (не относящих­ся к сфере информационных технологий) компонентов ВС.

Требования безопасности. В этом разделе профиля защиты содержатся требования безопасности, которым должен удовлетворять ИТ-продукт для решения задач защиты.

Рис. 2.12. Структура профиля защиты «Единых критериев».

 

Раздел функциональных требовании должен содер­жать только типовые требования, предусмотренные со­ответствующими разделами «Единых критериев». Необ­ходимо обеспечить такой уровень детализации требова­ний, который позволяет продемонстрировать их соот­ветствие задачам защиты. Функциональные требования могут предписывать или запрещать использование кон­кретных методов и средств защиты.

Раздел требований адекватности также состоит из типовых требований соответствующих разделов «Еди­ных критериев».

Раздел требовании к среде эксплуатации является не­обязательным и может содержать функциональные тре­бования и требования адекватности, которым должна удовлетворять среда эксплуатации ИТ-продукта. В от­личие от предыдущих разделов использование типовых требований «Единых критериев» является желательным, но не обязательным.

Дополнительные сведения — необязательный раздел, содержащий любую дополнительную информацию, ко­торая может быть полезна для проектирования, разра­ботки, квалификационного анализа и сертификации ИТ-продукта.

Обоснование должно демонстрировать, что профиль защиты содержит полное ч связное множество требова­ний, и что удовлетворяющий им ИТ-продукт будет эффективно противостоять угрозам безопасности среды эксплуатации.

Обоснование задач защиты должно демонстриро­вать, что задачи защиты, предложенные в профиле, со­ответствуют свойствам среды эксплуатации, так как их решение позволит эффективно противостоять угро­зам безопасности и реализовать политику безопас­ности.

Обоснование требовании безопасности показывает, что требования безопасности позволяют решить задачи защиты, так как:

· совокупность целей, преследуемых отдельными функциональными требованиями, соответствует установленным задачам защиты;

· требования безопасности являются согласованны­ми, т. е. не противоречат друг другу, а, напротив, взаимно усиливаются;

· все взаимосвязи между требованиями учтены либо посредством их указания в требованиях, либо| по­средством установления требований к среде экс­плуатации;

· выбранный набор требований и уровень адекват­ности могут быть обоснованы.

Профиль защиты служит отправной точкой для про­изводителя, ИТ-продукта, который должен на основа­нии этого материала и предложенных им технических решений разработать проект защиты, который будет представлять ИТ-продукт в ходе квалификационного анализа.

Проект защиты

Проект защиты содержит требования и задачи защи­ты ИТ-продукта, а также описывает уровень функцио­нальных возможностей реализованных в нем средств за­щиты, их обоснование и подтверждение степени их адек­ватности. Проект защиты представляет собой основу Для совместной работы производителей и экспертов по квалификации. Структура проекта представлена на рис. 2.13.

Многие разделы проекта защиты совпадают с одно­именными разделами профиля защиты, поэтому рас­смотрим только те разделы, которые специфичны для проекта защиты, а также те, которые претерпели изме­нения.

Введение содержит информацию, необходимую для идентификации проекта защиты, определения назначе­ния, а также обзор его содержания.

Идентификатор представляет собой уникальное имя проекта защиты, необходимое для поиска и идентифика­ции проекта защиты и соответствующею ему ИТ-продукта.

Обзор содержании представляют собой достаточно подробную аннотацию проекта защиты, позволяющую потенциальным потребителям определить пригодность ИТ-продукта для решения их задач.

Заявка на соответствие «Единым критериям» содер­жит описание всех свойств ИТ-продукта, подлежащих квалификационному анализу на основе «Единых крите­риев».

Раздел Требований безопасности проекта защиты со­держит требования безопасности к ИТ-продукту, кото­рыми руководствовался производитель в ходе его разра­ботки, что позволяет ему заявлять об успешном решении поставленных задач защиты. Этот раздел несколько от­личается от аналогичного раздела профиля защиты.

Раздел функциональных требований к ИТ-продукту в отличие от соответствующего раздела профиля защиты допускает использование кроме типовых требований «Единых критериев» других, специфичных для данного продукта и среды его эксплуатации. При описании спе­цифичных требований необходимо сохранять стиль и подробность, присущие требованиям «Единых критери­ев».

Раздел требований адекватности по сравнению с со­ответствующим разделом профиля защиты может вклю­чать уровни адекватности, не предусмотренные в «Единых критериях». В этом случае описание уровня адекватности должно быть четким, непротиворечивым и обладать степенью подробности, допускающей его ис­пользование в ходе квалификационного анализа. При этом желательно использовать стиль и подробность опи­сания уровней адекватности, принятые в «Единых кри­териях».

Рис. 2.13. Структура проекта зашиты согласно «Единым критериям».

Общие спецификации ИТ-продукта отражают реали­зацию ИТ-продуктом требований безопасности с помо­щью определения высокоуровневых спецификаций функ­ций защиты, реализующих функциональные требования и требования адекватности.

Спецификации функций защиты описывают функцио­нальные возможности средств защиты ИТ-продукта, за­явленные его производителем как реализующие требо­вания безопасности. Форма представления специфика­ций должна позволять определять соответствия между функциями защиты и требованиями безопасности.

Спецификации уровня адекватности определяют за­явленный уровень адекватности защиты ИТ-продукта и его соответствие требованиям адекватности в виде пред­ставления параметров технологии проектирования и создания ИТ-продукта. Эти параметры должны быть представлены в форме, позволяющей определить их со­ответствие требованиям адекватности.

Заявка на соответствие профилю защиты. Проект защиты претендует на удовлетворение требований одно­го или нескольких профилей защиты. Этот необязатель­ный раздел содержит материалы, необходимые для под­тверждения заявки. Для каждого профиля защиты, на реализацию которого претендует проект защиты, этот раздел должен содержать следующую информацию:

Ссылка на профиль защиты однозначно идентифици­рует профиль защиты, на реализацию которого претен­дует проект безопасности, с указанием случаев, в кото­рых обеспечиваемый уровень защиты превосходит тре­бования профиля. Корректная реализация профиля за­щиты подразумевает корректную реализацию всех его требований без исключения.

Соответствие профилю защиты определяет возмож­ности ИТ-продукта, которые реализуют задачи защиты и требования, содержащиеся в профиле защиты.

Усовершенствования профиля защиты отражают возможности ИТ-продукта, которые выходят за рамки за­дач защиты и требований, установленных в профиле за­щиты.

Oбoснование должно показывать, что проект защиты содержит полное и связное множество требований, что реализующий его ИТ-продукт будет эффективно проти­востоять угрозам безопасности среды эксплуатации и что общие спецификации функций защиты соответству­ют требованиям безопасности. Кроме того, обоснование содержит подтверждения заявленного соответствия про­филю защиты. Обоснование проекта защиты включает следующие разделы:

Обоснование задач защиты должно демонстрировать, что задачи защиты, предложенные в проекте защиты, соответствуют свойствам среды эксплуатации, т.е. их решение позволит эффективно противодействовать уг­розам безопасности и реализовать политику безопасно­сти.

Обоснование требований безопасности показывает, что требования безопасности позволяют решить задачи защиты, так как:

· функциональные требования безопасности соот­ветствуют задачам защиты;

· требования адекватности соответствуют функцио­нальным требованиям и усиливают их;

· совокупность всех функциональных требований (как стандартных, предусмотренных «Едиными критериями», так и специфических) обеспечивает решение задач защиты;

· все взаимосвязи между требованиями «Единых критериев» учтены либо посредством их указания в требованиях, либо посредством предъявления соответствующих требований к среде эксплуата­ции;

· все требования безопасности успешно реализова­ны;

· заявленный уровень адекватности может быть подтвержден.

Обоснование функций защиты должно демонстриро­вать их соответствие функциональным требованиям безопасности и задачам защиты. Для этого должно быть показано, что:

· указанные функции защиты соответствуют заяв­ленным задачам защиты;

· совокупность указанных функций защиты обеспе­чивает эффективное решение совокупности задач защиты;

· заявленные возможности функций защиты соот­ветствует действительности.

Обоснование уровня адекватности подтверждает, что заявленный уровень безопасности соответствует требо­ваниям адекватности.

Обоснование соответствия профилю защиты показы­вает, что требования проекта защиты поддерживают все требования профиля защиты. Для этого должно быть показано, что:

· все усовершенствования задач защиты по сравне­нию с профилем защиты осуществлены корректно и в направлении их развития и конкретизации;

· все усовершенствования требований безопасности по сравнению с профилем защиты осуществлены корректно и в направлении их развития и конкре­тизации;

· все задачи защиты профиля защиты успешно ре­шены и все требования профиля защиты удовле­творены;

· никакие дополнительно введенные в проект защи­ты специальные задачи защиты и требования безопасности не противоречат профилю защиты.

Как видно из приведенных структуры и обзора со­держания профиля защиты и проекта защиты, эти до­кументы практически исчерпывающим образом регла­ментируют взаимодействие потребителей, производи­телей и экспертов по квалификации в процессе созда­ния ИТ-продукта. Фактически, положения этих доку­ментов определяют технологию разработки защищен­ных систем.

Самым важным элементом этой технологии являют­ся требования безопасности. Поскольку «Единые крите­рии» обобщают все предшествующие достижения в этой области, рассмотрим их более подробно.

⇐ Предыдущая234567891011Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: