 |
Профиль защиты. Этапы разработки профиля защиты. Классы функциональных требований к ИТ-продукту. Классификация функциональных требований.
|
|
|
|
Профиль защиты
1) Описание.
Информация для его идентификации в специальной кар- тотеке (характеристика проблемы обеспечения безопасности).
2) Обоснование.
Описание среды эксплуатации, предполагаемых угроз и ме- тодов использования ИТ-продукта; перечень задач по обеспе- чению безопасности, решаемых с помощью данного профиля.
3) Функциональные требования к ИТ-продукту. Определение условий, в которых обеспечивается безопас-
ность в виде перечня парируемых угроз.
4) Требования к технологии разработки ИТ-продукта. Требования к самому процессу разработки, к условиям, в ко-
торых она проводится, к используемым технологическим сред- ствам, к документированию процесса.
5)Требования к процессу сертификации
Порядок сертификации в виде типовой методики тестиро- вания и анализа
Этапы разработки профиля защиты.
1) Анализ среды применения ИТ-продукта с точки зрения безопасности.
2) Выбор профиля-прототипа.
3) Синтез требований.
Выбор наиболее существенных функций защиты, их ранжи- рование по степени важности с точки зрения обеспечения ка- чества защиты.
После разработки профиль защиты проверяется для под- тверждения полноты, корректности, непротиворечивости и ре- ализуемости.
Классы функциональных требований к ИТ-продукту.
1) Политика безопасности.
2) Мониторинг взаимодействий.
3) Логическая защита ТСв.
· требования корректности внешних субъектов относи- тельно субъектов ТСВ;
· требования к интерфейсам взаимодействия.
4) Физическая защита ТСв.
5) Самоконтроль ТСв.
6) Инициализация и восстановление ТСв.
7) Ограничение привилегий при работе с ТСв.
8) Простота использования ТСв.
|
|
|
Классификация функциональных требований.
1. Широта сферы применения.
Пользователи системы, субъекты и объекты доступа; функ- ции ТСВ и интерфейс взаимодействия; аппаратные, программ- ные и специальные компоненты; параметры конфигурации.
2. Степень детализации.
Определяется множеством атрибутов сущностей, к которым применяются данные требования.
3. Функциональный состав средств защиты.
Определяется множеством функций, включённых в ТСВ для реализации группы требований.
4. Обеспечиваемый уровень безопасности.
Определяется условиями, в которых компоненты системы способны противостоять заданному множеству угроз.
Итак, Федеральные критерии безопасности информацион- ных технологий — первый стандарт информационной безопас- ности, в котором определяются три независимые группы тре- бований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалифи- кационного анализа. Авторами этого стандарта впервые пред- ложена концепция Профиля защиты — документа, содержа- щего описание всех требований безопасности как к самому ИТ-продукту, так и к процессу его проектирования, разработ- ки, тестирования и квалификационного анализа.
Функциональные требования безопасности хорошо струк- турированы и описывают все аспекты функционирования ТСв. Требования к технологии разработки, впервые появив- шиеся в этом документе, побуждают производителей исполь- зовать современные технологии программирования как осно- ву для подтверждения безопасности своего продукта.
Требования к процессу квалификационного анализа носят общий характер и не содержат конкретных методик тестирова- ния и исследования безопасности ИТ-продуктов.
Разработчики Федеральных критериев отказались от исполь- зуемого в Оранжевой книге подхода к оценки уровня безопас- ности ИТ-продукта на основании обобщенной универсаль- ной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т. е.
|
|
|
вместо единой шкалы используется множество частных шкал- критериев, характеризующих обеспечиваемый уровень безо- пасности. Данный подход позволяет разработчикам и пользо- вателям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требо- ваний для каждого конкретного ИТ-продукта и среды его экс- плуатации.
Стандарт рассматривает устранение недостатков существу- ющих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией мо- дели безопасности.
Данный стандарт ознаменовал появление нового поколе- ния руководящих документов в области информационной без- опасности, а его основные положения послужили базой для разработки Канадских критериев безопасности компьютер- ных систем и Единых критериев безопасности информацион- ных технологий.
8. 5. Единые критерии безопасности информационных технологий
Единые критерии безопасности информационных техно- логий (Common Criteria for Information Technology Security Evaluation, далее — Единые критерии) являются результатом совместных усилий авторов Европейских критериев безопас- ности информационных технологий, Федеральных критери- ев безопасности информационных технологий и Канадских критериев безопасности компьютерных систем, направленных на объединение основных положений этих документов и созда- ние Единого международного стандарта безопасности инфор- мационных технологий. Работа над этим самым масштабным в истории стандарте информационной безопасности проектом
началась в июне 1993 года с целью преодоления концептуаль- ных и технических различий между указанными документами, их согласования и создания единого международного стандар- та. Версия 2. 1 этого стандарта утверждена Международной орга- низацией по стандартизации (ISO) в 1999 г. в качестве Между- народного стандарта информационной безопасности ISO/IEC 15408. В Российской федерации стандарт действует под номе- ром ГОСТ Р ИСО/МЭК 15408.
Единые критерии сохраняют совместимость с существующи- ми стандартами и развивают их путем введения новых концепций, соответствующих современному уровню развития информаци- онных технологий и интеграции национальных информацион- ных систем в единое мировое информационное пространство. Этот документ разработан на основе достижений многочислен- ных исследований в области безопасности информационных тех- нологий 1990-х гг. и на результатах анализа опыта применения положенных в его основу стандартов. Единые критерии опери- руют уже знакомым по Федеральным критериям понятием про- дукт информационных технологий, или ИТ-продукт, и использу- ют предложенную в них концепцию Профиля защиты.
|
|
|
Единые критерии разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов, в равной сте- пени являющихся пользователями этого документа: производи- телей и потребителей продуктов информационных технологий, а также экспертов по квалификации уровня их безопасности. Заинтересованные стороны могут задать функциональные воз- можности безопасности продукта с использованием стандартных профилей защиты и самостоятельно выбрать оценочный уровень уверенности в безопасности из совокупности семи возрастаю- щих оценочных уровней уверенности в безопасности от 1 до 7.
Потребители рассматривают квалификацию уровня безопас- ности ИТ-продукта как метод определения соответствия ИТ- продукта их запросам. Обычно эти запросы составляются на ос- новании результатов проведенного анализа рисков и выбранной
политики безопасности. Единые критерии играют существен- ную роль в процессе формирования запросов потребителей, так как содержат механизмы, позволяющие сформулировать эти запросы в виде стандартизованных требований. Это позволя- ет потребителям принять обоснованное решение о возможно- сти использования тех или иных продуктов. Наконец, Единые критерии предоставляют потребителям механизм Профилей за- щиты, с помощью которого они могут выразить специфичные для них требования, не заботясь о механизмах их реализации.
|
|
|
Производители должны использовать Единые критерии в ходе проектирования и разработки ИТ-продуктов, а также для подготовки к квалификационному анализу и сертификации. Этот документ дает возможность производителям на основании анализа запросов потребителей определить набор требований, которым должен удовлетворять разрабатываемый ими продукт. Производители используют предлагаемую Едиными критери- ями технологию для обоснования своих претензий на то, что поставляемый ими ИТ-продукт успешно противостоит угрозам безопасности, на основании того, что он удовлетворяет выдви- нутым функциональным требованиям и их реализация осущест- влена с достаточным уровнем адекватности. Для осуществления этой технологии Единые критерии предлагают производителям специальный механизм, названный Проект защиты, дополня- ющий Профиль защиты и позволяющий соединить описания требований, на которые ориентировался разработчик, специ- фикации механизмов реализации этих требований.
Кроме того, производители могут использовать Единые кри- терии для определения границ своей ответственности, а также условий, которые необходимо выполнить для успешного про- хождения квалификационного анализа и сертификации соз- данного ими продукта.
Эксперты по квалификации используют этот документ в ка- честве основных критериев определения соответствия средств защиты ИТ-продукта требованиям, предъявляемым к нему по-
требителями, и угрозам, действующим в среде его эксплуатации. Единые критерии описывают только общую схему проведения квалификационного анализа и сертификации, но не регламен- тируют процедуру их осуществления. Вопросам методологии квалификационного анализа и сертификации посвящен от- дельный документ — «Общая методология оценки безопасно- сти информационных технологий».
Таким образом, Единые критерии обеспечивают норма- тивную поддержку процесса выбора ИТ-продукта, к которо- му предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материа- лом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
Единые критерии рассматривают информационную безо- пасность как совокупность конфиденциальности и целостно- сти информации, обрабатываемой ИТ-продуктом, а также до- ступности ресурсов ВС, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, приня- той в этой среде эксплуатации.
|
|
|
Единые критерии регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов, используя схему из Федеральных критериев. Единые критерии предлагают достаточно сложный процесс разработки и квали- фикационного анализа ИТ-продуктов, требующий от потреби- телей и производителей составления и оформления весьма объ- емных и подробных нормативных документов.
Задачи защиты — базовое понятие Единых критериев, вы- ражающее потребность потребителей ИТ-продукта в противо- стоянии заданному множеству угроз безопасности или в необ- ходимости реализации политики безопасности.
Профиль защиты — специальный нормативный документ, представляющий собой совокупность Задач защиты, функци-
ональных требований, требований адекватности и их обосно- вания. Служит руководством для разработчика ИТ-продукта при создании Проекта защиты.
Проект защиты — специальный нормативный документ, представляющий собой совокупность Задач защиты, функци- ональных требований, требований адекватности, общих спец- ификаций средств защиты и их обоснования.
Каталог функциональных классов:
· аудит,
· связь (подтверждение приёма/передачи информации),
· криптографическая поддержка,
· защита данных пользователя (конфиденциальность, це- лостность, доступность),
· идентификация и аутентификация,
· управление безопасностью,
· приватность (конфиденциальность работы в системе),
· надёжность средств защиты,
· контроль за использованием ресурсов,
· контроль доступа к объекту оценки,
· доверенный маршрут/канал (прямое взаимодействие).
Требования уверенности в безопасности (адекватности)
· управление проектом,
· дистрибуция,
· разработка,
· документация,
· процесс разработки,
· тестирование,
· анализ защиты.
«Единые критерии» содержат совокупность предопреде- лённых оценочных уровней уверенности в безопасности, со- ставленных из компонентов семейств требований уверенности в безопасности. Эти уровни предназначены:
· для достижения совместимости с исходными критери- ями;
· для обеспечения потребителя пакетами компонентов об- щего назначения.
Для достижения конкретных целей уровень может быть уси- лен дополнительными компонентами.
ОУБ1 — функциональное тестирование (соответствует аме- риканскому TCSEC — D, европейскому ITSEC — E1).
ОУБ2 — структурное тестирование (С1, Е2).
ОУБ3 — методическое тестирование и проверка (С2, Е3). ОУБ4 — методическое проектирование, тестирование и про-
смотр (В1, Е4).
ОУБ5 — полуформальное проектирование и тестирование (В2, Е5).
ОУБ6 — полуформальная верификация проекта и тестиро- вание (В3, Е6).
ОУБ7 –формальная верификация проекта и тестирование (А1, Е7).
Эквивалентность указана в целом, точного соответствия не существует, т. к. различаются подходы.
Согласно Единым критериям, безопасность информацион- ных технологий может быть достигнута посредством приме- нения предложенной технологии разработки, сертификации и эксплуатации ИТ-продуктов.
Единые критерии определяют множество типовых требова- ний, которые в совокупности с механизмом Профилей защи- ты позволяют потребителям создавать частные наборы требова- ний, отвечающие их нуждам. Разработчики могут использовать Профиль защиты как основу для создания спецификаций сво- их продуктов. Профиль защиты и спецификации средств за- щиты составляют Проект защиты, который и представляет ИТ- продукт в ходе квалификационного анализа.
Квалификационный анализ может осуществляться как па- раллельно с разработкой ИТ-продукта, так и после ее заверше- ния. Для проведения квалификационного анализа разработчик продукта должен представить следующие материалы:
· профиль защиты, описывающий назначение ИТ-продукта и xарактеризующий среду его эксплуатации, а также уста- навливающий Задачи защиты и требования, которым дол- жен отвечать продукт;
· проект защиты, включающий спецификации средств за- щиты, также обоснование соответствия ИТ-продукта за- дачам защиты из Профиля защиты и указанным в нем тре- бованиям Единых критериев;
· различные обоснования и подтверждения свойств и воз- можностей ИТ-продукта, полученные разработчиком;
· сам ИТ-продукт;
· дополнительные сведения, полученные путем проведе- ния различных независимых экспертиз.
Процесс квалификационного анализа включает три стадии:
1. Анализ Профиля защиты на предмет его полноты, непро- тиворечивости, реализуемости и возможности использования в качестве набора требований для анализируемого продукта.
2. Анализ Проекта защиты на предмет его соответствия тре- бованиям Профиля защиты, а также полноты, непротиворечи- вости, реализуемости и возможности использования в качестве эталона при анализе ИТ-продукта.
3. Анализ ИТ-продукта на предмет соответствия Проекту за- щиты. Результатом квалификационного анализа является за- ключение о том, что проанализированный ИТ-продукт соответ- ствует представленному Проекту защиты. Заключение состоит из нескольких отчетов, отличающихся уровнем детализации и со- держащих мнение экспертов по квалификации об ИТ-продукте на основании критериев квалификации Единых критериев.
Применение квалификационного анализа и сертификации приводит к повышению качества работы производителей в про- цессе проектирования и разработки ИТ-продуктов. В продук- тах, прошедших квалификацию уровня безопасности, веро- ятность появления ошибок и изъянов защиты и уязвимостей существенно меньше, чем в обычных продуктах. Все это позво-
ляет говорить о том, что применение Единых критериев ока- зывают положительное и конструктивное влияние на процесс формирование требований, разработку ИТ-продукта, сам про- дукт и его эксплуатацию.
Таким образом, Единые критерии безопасности информа- ционных технологий представляют собой результат обобще- ния всех достижений последних лет в области информацион- ной безопасности. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экс- пертам по квалификации ИТ-продуктов.
Разработчики Единых критериев продолжили работу над Федеральными критериями, направленными на отказ от еди- ной шкалы безопасности, усилив гибкость предложенных в них решений путем введения частично упорядоченных шкал, бла- годаря чему потребители и производители получили дополни- тельные возможности по выбору требований и их адаптации к своим прикладным задачам.
Особое внимание этот стандарт уделяет адекватности реа- лизации функциональных требований, которая обеспечивает- ся как независимым тестированием и анализом ИТ-продукта, так и применением соответствующих технологий на всех эта- пах его проектирования и реализации.
Таким образом, требования Единых критериев охватывают практически все аспекты безопасности ИТ-продуктов и техно- логии их создания, а также содержат все исходные материалы, необходимые потребителям и разработчикам для формирова- ния Профилей и Проектов защиты.
Кроме того, требования Единых критериев являются практи- чески всеобъемлющей энциклопедией информационной безо- пасности, поэтому их можно использовать в качестве справоч- ника по безопасности информационных технологий.
Данный стандарт ознаменовал собой новый уровень стан- дартизации информационных технологий, подняв его на меж- государственный уровень. За этим проглядывается реальная
перспектива создания единого безопасного информационно- го пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции нацио- нальных информационных систем.
|
|
|
