 |
Ранжирование функциональных требований
|
|
|
|
Состав и содержание включенных в профиль защиты функциональных требований определяются средой эксплуатации ИТ-продукта. Чтобы обосновать выбор тех или иных требований и не вступать в противоречие сосуществующими стандартами в области безопасности ИТ-продуктов, функциональные требования, приведенные в «Федеральных критериях», ранжируются по уровням с помощью следующих четырех критериев: широта сферы применения, степень детализации, функциональный состав средств защиты, обеспечиваемый уровень безопасности.
Широта сферы применения определяется множеством сущностей, к которому могут быть применены данные требования, а именно:
· пользователи системы, субъекты и объекты доступа;
· функции ТСВ и интерфейс взаимодействия с ТСВ;
· аппаратные, программные и специальные компонентыТСВ;
· множество параметров конфигурации ТСВ.
Например, требования, из разделов управления доступом, аудита, обеспечения работоспособности, мониторинга взаимодействий и простоты использования ТСВ могут относиться только к определенному подмножеству объектов доступа и параметров конфигурации ТСВ. Обеспечение прямого взаимодействия с ТСВ требуется только для некоторого подмножества функций ТСВ.
Степень детализации требований определяется множеством атрибутов сущностей, к которым применяются данные требования, либо ко всем атрибутам пользователей, субъектов или объектов, либо только к некоторому подмножеству этих атрибутов. Например, требования из разделов управления доступом, аудита и мониторинга взаимодействий могут относить только к некоторому подмножеству атрибутов субъектов и объектов, а именно к правам доступа, групповым идентификаторам пользователей, но не к атрибутам состояния субъектов и объектов и не к индивидуальным идентификаторам.
|
|
|
Функциональный состав средств защиты определяется множеством функций, включенных в ТСВ для реализации той или иной группы функциональных требований. Например, политика управления доступом может включить либо произвольное, либо нормативное управление доступом, или и то и другое одновременно.
Обеспечиваемый уровень безопасности определяется условиями, в которых функциональные компоненты ТСВ способны противостоять заданному множеству угроз, отказам и сбоям. Например, нормативное управление доступом обеспечивает более высокий уровень безопасноести, чем произвольное, в силу ею способности противостоять атакам типа «троянского коня».
Ранжирование вести предполагает установление некоторого отношения порядка. Однако независимое ранжирование функциональных требований по каждому из описанных критериев хотя и дает некоторое представление о различиях между функциональными возможностями средств защиты, не позволяет установить четкую, линейную шкалу уровней безопасности. Однозначного отношения порядка, определенного на множестве функциональных требований, не существует, так как значение требований и уровень обеспечиваемой ими защиты зависят не только от их содержания, но и от назначения ИТ-продукта и среды его эксплуатации. Для одних систем наиболее важными будут идентификация и аутентификация пользователей, а для других — реализация политики управления доступом или обеспечение работоспособности.
Поэтому в «Федеральных критериях» отсутствую г рекомендации как по выбор) и применению тех или иных функциональных требований, так и по определению их роли в системе обеспечения безопасности вместо жестких указаний этот документ содержит согласованный с предшествующими ему стандартами («Оранжевая кита», «Европейские критерии») ранжированный перечень функциональных требовании и представляет разработчикам профиля защиты возможность самостоятельно сделать выбор необходимых методов и средств обеспечения безопасности, основанный на назначении и специфике среды эксплуатации ИТ-продукта.
|
|
|
Приводимое ранжирование не противоречит предшествующим стандартам и вводится для исключения ошибок в определении степени защищенности системы из-за неправильной оценки значимости отдельных групп требований. Кроме того, ранжирование предоставляет разработчикам и пользователям возможность для обоснованной оценки реально обеспечиваемого уровня безопасности.
Применение критериев ранжирования к различным группам функциональных требований представлено в табл. 2.3.
В Приложении I приведен полный ранжированный перечень функциональных требований «Федеральных критериев».
Требования к технологии разработки ИТ-продукта
Основное назначение требований к технологии разработки ИТ-продукта — обеспечить адекватность условий разработки функциональным требованиям, выдвинутым в соответствующем разделе профиля защиты, и установить ответственность разработчика за корректность реализации этих требований. Данный раздел регламентирует процесс создания, тестирования, документирования и сопровождения ИТ-продукта. Таксономия требований к технологии разработки ИТ-продукта приведена на рис. 2.6.
Требования к технологии разработки ИТ-продуктов включают четыре раздела: требования к процессу разработки, к среде разработки, к документированию и к сопровождению.
Таблица 2.3.Ранжирование функциональных требований «Федеральных критериев».
| Функциональные требования | Широта сферы применения | Степень детализации | Функциональный состав средств защиты | Обеспечиваемый уровень безопасности |
| реализация политики безопасности | ||||
| политика аудита | ||||
| идентификация и аутентификация | * | * | ||
| peгистрация в системе | * | |||
| обеспечение прямого взаимодействия с ТСВ | * | * | ||
| регистрация и учет событий | * | * | ||
| политика управления доступом | * | * | * | |
| контроль скрытых каналов | * | * | ||
| политика обеспечения работоспособности | ||||
| контроль за распределением ресурсов | * | * | ||
| отказоустойчивость | - | - | - | - |
| управление безопасностью | * | * | ||
| мониторинг взаимодействий | * | * | * | |
| логическая защита ТСВ | * | |||
| физическая защита ТСВ | * | * | ||
| самоконтроль ТСВ | * | * | ||
| инициализация и восстановление ТСВ | * | |||
| ограничение привилегий при работе с ТСВ | * | |||
| простота использования ТСВ | * | * |
|
|
|
Требования к процессу разработки содержат подразделы, относящиеся к проектированию, реализации, тестированию и анализу ИТ-продукта. Особую роль играют требования адекватности реализации функций ТСВ, обеспечивающие корректность выполнения функциональных требований профиля защиты.
Требования к среде разработки позволяют обеспечить качество процесса создания ИТ-продукта с помощью применения современных технологий проектирования, программирования и тестирования, а также регламентируют дистрибуцию конечного продукта и управление процессом разработки.
Требования к документированию определяют состав и содержание технологической документации, позволяющей производителю ИТ-продукта оказать соответствие самого продукта и технологии ею изготовления выдвинутым требованиям.
Требования к сопровождению ИТ-продукта определяют обязательства производителя перед пользователями. Выполнение данных требований позволяет обеспечить эффективную и надежную эксплуатацию ИТ-продукта. Они регламентируют состав пользовательской и административной документации, процедуру обновления версий и исправления ошибок, а также инсталляцию продукта.
«Федеральные критерии» содержат ранжированный перечень типовых требований к технологии разработки ИТ-продуктов. Выполнение требований к технологии разработки является необходимым условием для проведения процедуры квалификационного анализа.
|
|
|
Рис. 2.6 Таксономия требований «Федеральных критериев» к технологии разработки ИТ-продукта.
2.8.6. Требования к процессу квалификационною анализа ИТ-продукта
Требования к процесса квалификационною анализа ИТ-продукта призваны обеспечить надежность и корректность этого процесса. Раздел содержит три группы требований, регламентирующих анализ, контроль и тестирование ИТ-продукта. Таксономия требований этого раздела приведена на рис. 2.7. к процессу квалификационного анализа ИТ-продукта.
Рис. 2.7 Таксномия требований «Федеральных критериев» к процессу квалификационнго анализа ИТ-продукта
Раздел требований к анализу ИТ-продукта содержит требования к проведению независимого анализа предложенного решения и к его реализации в виде конкретного средства.
Раздел требований к контролю регламентирует проверку соответствия среды разработки ИТ-продукта и обеспечиваемого производителем сопровождения требованиям к технологии разработки.
Требования к тестированию описывают процедуру проведения тестирования функций ТСВ как самим разработчиком ИТ-продукта, так и независимыми экспертами.
Нетрудно заметить, что эти требования регламентируют процесс квалификационного анализа только в общих чертах и, по замыслу разработчиков стандарта, должны послужить основой для разработки специализированных методик квалификации уровня безопасности, ориентированных на различные области применения и классы ИТ-продуктов.
Выводы
«Федеральные критерии безопасности информационных технологий» являются первым стандартом информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа. Авторами этого стандарта впервые предложена концепция профиля защиты — документа, содержащего описание всех требований безопасности как к самому ИТ-продукту, так и к процессу его проектирования, разработки, тестирования и квалификационного анализа.
Функциональные требования безопасности хорошо структурированы и описывают все аспекты функционирования ТСВ. Требования к технологии разработки, впервые появившиеся в этом документе, побуждают производителей использовать современные технологии программирования, позволяющие подтвердить безопасность своего продукта. Требования к процессу квалификационного анализа носят довольно общий характер и не содержат конкретных методик тестирования и исследования безопасности ИТ-продуктов.
|
|
|
Разработчики «Федеральных критериев» отказались от используемого в «Оранжевой книге» подхода к оценке уровня безопасности ИТ-продукта на основании обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т. е. вместо единой шкалы используется множество частных, шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требований для каждого конкретного ИТ-продукта и среды его эксплуатации.
Особо отметим, что этот стандарт рассматривает устранение недостатков существующих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией модели безопасности.
Данный стандарт ознаменовал появление новою поколения руководящих документов в области информационной безопасности, а его основные положения послужили базой для разработки «Канадских критериев безопасности компьютерных систем» (п. 2.9) и «Единых критериев безопасности информационных технологий» (п. 2 10).
|
|
|
