Анализ стандартов информационной безопасности

Как уже говорилось, главная задача стандартов ин­формационной безопасности — согласовать позиции и запросы производителей, потребителей и аналитиков-классификаторов продуктов информационных техноло­гий. Каждая из категорий специалистов оценивает стан­дарты и содержащиеся в них требования и критерии по своим собственным параметрам. Для потребителей наи­более значительную роль играет простота критериев и однозначность параметров выбора защищенной систе­мы, а для наиболее квалифицированной части пользова­телей — гибкость требований и возможность их приме­нения к специфическим ИТ-продуктам и средам эксплуа­тации. Производители требуют от стандартов макси­мальной конкретности и совместимости требований и критериев с современными архитектурами ВС и с рас­пространенными ОС. Эксперты по квалификации меч­тают о стандартах, детально регламентирующих проце­дуру квалификационного анализа, и о четких, простых, однозначных и легко применяемых критериях. Очевид­но, что подобный идеал недостижим, и реальность тре­бует от каждой стороны определенных компромиссов. Поэтому не будем проводить субъективный анализ стан­дартов с точки зрения каждого из участников процесса создания защищенных систем, а попытаемся ввести об­щие для всех «объективные» критерии сопоставления.

В качестве обобщенных показателей, характеризую­щих стандарты информационной безопасности и имею­щих значение для всех трех групп, можно назвать универсальность, гибкость, гарантированность, реализуе­мость и актуальность.

Универсальность стандарта определяется множест­вом типов ВС и областей их применения, к которым могут быть корректно применены его положения. Эго очень важная характеристика стандарта, так как ин­формационные технолог ни переживают период бурно­го развития, архитектура компьютерных систем посто­янно совершенствуется, а сфера их применения посто­янно расширяется. Стандарты информационной безо­пасности в своем развитии не должны отставать от информационных технологий, что может быть обеспечено только гибкостью предлагаемых ими требований и критериев.

Под гибкостью стандарта понимается возможность и удобство его применения к постоянно развивающимся информационным технологиям, а также время, в течение которого он сохраняет свою актуальность. Гибкость может быть достигнута исключительно через фундамен­тальность требований и критериев и их инвариантность по отношению к механизмам реализации и технологиям создания ИТ-продуктов. Однако очевидно, что чрезмер­ная абстрактность требований и оторванность их от практики снижает их реализуемость.

Гарантированность определяется мощностью преду­смотренных стандартом методов и средств подтвержде­ния надежности результатов квалификационного анали­за. Вначале этому вопросу не уделялось много внимания, но анализ опыта применения первых стандартов инфор­мационной безопасное ги показал, что для достижения поставленных целей аналитики-классификаторы должны иметь возможность обосновывать свои заключения, а разработчики нуждаются в механизмах, с помощью которых они могли бы подтвердить корректность своих притязаний и предоставить потребителям определенные гарантии.

Реализуемость — это возможность адекватной реа­лизации требований и критериев стандарта на практике, | с учетом за грат на этот процесс. Реализуемость во многом связана с универсальностью и гибкостью, но отражает чисто практические и технологические аспекты реализации положений стандарта.

Актуальность отражает соответствие требований и критериев стандарта постоянно развивающемуся множеству угроз безопасности и новейшим методам и средст­вам, используемым злоумышленниками. Эта характери­стика, наряду с универсальностью, является одной из важнейших, так как способность противостоять угрозам и прогнозировать их развитие фактически определяет пригодность стандарта и является решающим фактором при определении его пригодности.

 

 

Таблица 2. 5. Сопоставление стандартов информационном безопасности

Стандарты безопасности	Показатели сопоставления стандартов информационной безопасности
	Универсальность	Гибкость	Гарантирован-ность	Реализуе­мость	Актуаль­ность
«Оранжевая книга» (1983г.)	Ограни­ченная	Ограни­ченная	Ограни­ченная	Высокая (за исклю­чением класса А)	Умеренная
«Европейские критерии» (1996г.)	Умеренная	Умеренная	Умерен­ная	Высокая	Умереннач
Документы ГТК (1992г.)	Ограннченная	Ограниченная	Огсутствует	Высокая	ограни­ченная
«Федеральные критерии» (1992г.)	Высокая	Отличная	Доста­точная	Высокая	Высокая
«Канадские критерии» (1993г.)	Умеренная	Достаточная	доста­точная	Достаточная	Средняя
«Единые кригерии» (1996г.)	Превос­ходная	превос­ходная	превос­ходная	Превос­ходная	превос­ходная

 

Классификация рассмотренных стандартов инфор­мационной безопасности по предложенным показателям приведена в таблице 2.5.

Степень соответствия стандартов предложенным по­казателям определяется по следующей качественной шкале:

· ограниченная — недостаточное соответствие, при применении стандарта возникают существенные трудности;

· умеренная — соответствие в минимальной степе­ни, при применении стандарта в большинстве слу­чаев существенных трудностей не возникает;

· достаточная — удовлетворительное соответствие, при применении стандарта в большинстве случаев не возникает никаких трудностей, однако эффек­тивность предлагаемых решений не гарантируется;

· высокая — стандарт предлагает специальные меха­низмы и процедуры, направленные на улучшение данного показателя, применение которых позволя­ет получать достаточно эффективные решения;

· превосходная — улучшение данного показателя рассматривалось авторами стандарта в качестве одной из основных целей его разработки, что обеспечивает эффективность применения предло­женных решений.

Рассмотрим, в какой степени стандарты информаци­онной безопасности отвечают предложенным показате­лям, и проследим направления, по которым шло их раз­витие.

Универсальность

На этапе начального становления и развития стан­дартов информационной безопасности универсальности уделялось мало внимания, так как, во-первых, разработчикам стандартов казалось, что в обеспечении безопас­ности нуждается только ограниченный круг потребите­лей, находящихся в правительственных и военных сфе­рах, а во-вторых, темпы информатизации тогда были относительно невелики. Поэтому первый стандарт безо­пасности — «Оранжевая книга» — предназначался для систем военного применения, основанных в те годы ис­ключительно на мэйнфреймах, и его адаптация для рас­пределенных систем и баз данных потребовала разра­ботки дополнительных документов. С учетом этого опы­та сфера применения вышедших несколькими годами позже «Европейских критериев» значительно расширена — уже на уровне базового документа в этот стандарт вошли распределенные системы, сети, системы телеком­муникаций и СУБД. Однако в этом документе по-прежнему явным образом оговаривается архитектора и назначение систем, к которым он может быть применен, и никак не регламентируется среда их эксплуатации. До­кументы Гостехкомиссии России имеют довольно огра­ниченную сферу применения — это персональные (види­мо, это объясняется тотальным распространением PC в нашей стране) и многопользовательские системы, при­чем ориентация системы на обслуживание конечных пользователей является обязательным условием. «Феде­ральные критерии» подняли область применения стан­дартов на новый уровень, начав рассматривать в качест­ве объекта их применения любые продукты информаци­онных технологий, независимо от их назначения, прово­дя различие только между характеристиками среды их эксплуатации. «Канадские критерии» рассматривают в качестве области своего применения все типы компью­терных систем. Наконец, «Единые критерии» увенчали процесс расширения сферы применения стандартов ин­формационной безопасности, провозгласив себя неотъ­емлемым компонентом информационных технологий.

Гибкость

Гибкость положений стандарта определяет удобство ею использования потребителями и производителя­ми систем обработки информации. Возможно, именно поэтому требования первого стандарта («Оранжевой книги») были достаточно гибкими, но чересчур абстрактными для непосредственного применения во мно­гих случаях, что потребовало их комментирования, до­полнения и расширения. «Европейские критерии» унас­ледовали этот стиль изложения требований и пошли по пути экстенсивного развития, предусмотрев специаль­ные уровни и требования, рассчитанные на типовые системы (СУБД, телекоммуникации и т. д.). Руководя­щие документы ГТК по конкретности своих требований превзошли даже уровень «Оранжевой книги», так как подробно регламентируют реализацию функций защи­ты (например, это единственный стандарт, который в ультимативной форме требует применения криптогра­фии), что значительно снижает удобство их использо­вания, в конкретных ситуациях многие требования час­то оказываются избыточными и ненужными. Более то­го, ограничение области применения данного стандар­та классом систем, ориентированных на конечного пользователя, ставит отечественных разработчиков и экспертов по сертификации в затруднительное положе­ние при применении эти документов, скажем, к про­граммному обеспечению маршрутизатора или файэр-вола (у этих систем в принципе нет пользователей, яв­ляющихся физическими лицами). «Федеральные крите­рии» обеспечивают гибкость на качественно новом по сравнению с предшествующими стандартами уровне, впервые предложив механизм профилей защиты, с по­мощью которых можно создавать специальные наборы требований, соответствующие запросам потребителей конкретного продукта и угрозам среды его эксплуатации. «Канадские критерии» не рассматривают профиль защиты в качестве обязательного элемента безопасности информационных технологий, а также обладают определенной спецификой в своем подходе к основным понятиям безопасности, поэтому их гибкость можно оценить только как достаточную. Наконец, «Единые критерии» обладают практически совершенной гибкостью, так как позволяют потребителям выразить свои требования с помощью механизма профилей защиты, в форме инвариантной к механизмам реализации, а про­изводителям — продемонстрировать с помощью проекта защиты, как эти требования преобразуются в задачи защиты и реализуются на практике. В этом случае про­цесс квалификации уровня безопасности ИТ-продукта представляет собой проверку взаимного соответствия профиля защиты, проекта защиты и реализованного ИТ-продукта, а также их соответствия «Единым крите­риям».

Гарантированность

Гарантированность обеспечиваемого уровня защи­ты сначала рассматривалась разработчиками стандар­тов только для высших уровней безопасности. Поэтому «Оранжевая книга» предусматривала обязательное применение формальных методов верификации только при создании систем высшего класса защищенности (класс А). Однако необходимость контроля корректно­сти реализации и подтверждения эффективности средств защиты для систем всех уровней была осознана достаточно быстро. Уже в «Европейских критериях» появляется специальный раздел требований — требо­вания адекватности, которые регламентируют техноло­гию и среду разработки, а также контроль за этим про­цессом. К сожалению, документы ГТК практически полностью проигнорировали этот, на наш взгляд ключевой аспект безопасности информационных техноло­гии и обошли данный вопрос молчанием. «Феде­ральные критерии» содержат два специальных раздела требований, посвященных решению этой проблемы: требования к технологии разработки и к процессу ква­лификационного анализа. «Канадские критерии» вклю­чают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функцио­нальных требований. «Единые критерии» обеспечивают адекватность задач защиты требованиям потребителей, проекта защиты «Единым критериям» и ИТ-продукта проекту защиты с помощью многоэтапного контроля.

Реализуемость

Плохие показатели реализуемости говорят о прак­тической бесполезности стандарта, поэтому все рас­смотренные документы отвечают этому показателю в достаточной или высокой степени. Реализация требо­ваний «Оранжевой книги», за исключением высшего класса (класса А), большой сложности не представляет. Это подтверждается большим числом систем, сертифицированных на соответствие классам В и С (около 30 систем). Авторам известна только две системы, серти­фицированные на соответствие классу А, причем поли­тика безопасности в одной из них реализована на аппа­ратном уровне с помощью контроля операндов каждой инструкции, т. е. разработчикам пришлось спроектиро­вать и реализовать специальный процессор.

Остальные стандарты решали эту проблему за счет гибкости предлагаемых требований и критериев. О «Канадских критериях» стоит упомянуть особо — сво­им нетрадиционным толкованием понятий «объект» и «субъект» они осложняют разработчикам процесс реа­лизации предложенных в них требований, что опреде­ляет уровень их соответствия данному показателю только как достаточный. «Единые критерии» и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет потрясающей степени под­робности функциональных требований (76 требова­ний), фактически служащих исчерпывающем руково­дством для разработки средств защиты. Отметим, что это единственный показатель, по которому документы ГТК не отстают от остальных стандартов информаци­онной безопасности.

Актуальность

Актуальность стандартов информационной безопас­ности возрастала с расширением сферы их применения и появлением опыта их использования. «Оранжевая кни­га», хотя и содержит предпосылки для противодействия всем основным видам угроз, содержит требования в ос­новном направленные на противодействие угрозам кон­фиденциальности, что объясняется ее ориентированно­стью на системы военного назначения. «Европейские критерии» находятся примерно на том же уровне, хотя и уделяют угрозам целостности гораздо больше внимания. Документы ГТК с точки зрения этого показателя выгля­дят наиболее отсталыми — уже в самом их названии оп­ределена единственная рассматриваемая в них угроза — несанкционированный доступ. «Федеральные критерии» рассматривают все виды угроз достаточно подробно и предлагают механизм профилей защиты для описания угроз безопасности, присущих среде эксплуатации кон­кретного ИТ-продукта, что позволяет учитывать специ­фичные виды угроз. «Канадские критерии» ограничива­ются типовым набором угроз безопасности. «Единые критерии» ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы, что позволяет говорить о качественно новом подходе к проблеме безопасности информационных тех­нологий.

В качестве основных тенденций развития стандартов информационной безопасности можно указан»:

1. Развитие стандартов позволяет проследить движе­ние от единой шкалы ранжирования требований и кри­териев к множеству независимых частных показателей и введению частично упорядоченных шкал.

2. Неуклонное возрастание роли требований адек­ватности к реализации средств защиты и политики безо­пасности свидетельствует о преобладании «качества» обеспечения защиты над ее «количеством».

3. Определение ролей производителей, потребителей и экспертов по квалификации ИТ-продуктов и разделе­ние их функций говорит о зрелости стандартов обеспе­чения безопасности информационных технологий.

4. Разделение ролей участников процесса создания и эксплуатации защищенных систем, применение соответ­ствующих механизмов и технологий приводит к разум­ному распределению ответственности между всеми уча­стниками этого процесса.

5. Интернационализация стандартов отражает со­временные тенденции к объединению и стремление к созданию безопасного всемирного информационного пространства.

Заключение

Итак, мы рассмотрели стандарты информационной безопасности, начиная от самых первых и заканчивая самым современным, вобравшим в себя весь опыт при­менения предшествующих ему документов. Что это дает для решения поставленной задачи — построения защи­щенной системы, кроме изучения накопившегося за че­тырнадцать лет опыта обеспечения безопасности?

Во-первых, мы прояснили задачи, которые должны быть решены в ходе создания защищенной системы (задачи защиты): эффективное противостояние угрозам безопасноести, действующим в среде ее эксплуатации, и корректная реализация пол тики безопасности.

Во-вторых, определился набор функциональных возможностей, которые должны (или могут) быть реали­зованы в защищенной системе. Он представлен в виде таксономии функциональных требований или критери­ев, приведенной для каждого стандарта.

В-третьих, впервые в отечественной литературе пред­ставлены наиболее существенные элементы современных технологий создания защищенных систем — механизмы профиля защиты и проекта защиты.

Представленный материал позволяет сформулиро­вать задачи каждого из участников процесса создания защищенных систем (потребители, производители, экс­перты по квалификации), которые должны быть решены для достижения поставленной цели. Наряду с исследо­ванием причин нарушений безопасности (глава 3) и ме­тодикой корректной реализации моделей безопасности (глава 4, II тома), рассмотренный материал служит осно­вой для технологии создания защищенных систем, кото­рая будет представлена в пятой главе II тома.

 

⇐ Предыдущая234567891011

Поделиться:

Воспользуйтесь поиском по сайту: