8.3. Европейские критерии безопасности информационных технологий (ITSEC)

Обзор основывается на версии 1. 2 этих критериев, опубли- кованной в июне 1991 года от имени четырех стран: Франции, Германии, Нидерландов и Великобритании.

Европейские критерии рассматривают следующие задачи средств информационной безопасности:

· защита информации от несанкционированного доступа с целью обеспечение конфиденциальности;

· обеспечение целостности информации посредством за- щиты от ее несанкционированной модификации или уничтожения;

· обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.

В «Европейских критериях» проводится различие между си- стемами и продуктами.

Система — это конкретная аппаратно-программная конфи- гурация, построенная с вполне определенными целями и функ- ционирующая в известном окружении.

Продукт — это аппаратно-программный «пакет», который мож- но купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопас- ности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое мож- но определить и изучить сколь угодно детально, а продукт дол- жен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и ре- альный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело по-

купателя обеспечить выполнение этих условий.

Из практических соображений важно обеспечить единство критериев оценки продуктов и систем — облегчить и удеше- вить оценку системы, составленной из ранее сертифицирован- ных продуктов. В этой связи для систем и продуктов вводит- ся единый термин — объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключитель- но к системам, а какие — только к продуктам.

Для того чтобы удовлетворить требованиям конфиденциаль- ности, целостности и работоспособности, необходимо реализо- вать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, вос- становление после сбоев и т. д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функци- онирования. Для решения этой проблемы в «Европейских кри-

териях» впервые вводится понятие адекватности (assurance) средств защиты.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адек- ватности их реализации.

Большинство требований безопасности совпадает с анало- гичными требованиями Оранжевой книги.

В «Европейских критериях» определено десять классов без- опасности. Классы F-C1, F-C2, F-B1, F-B2, F-B3 соответству- ют классам безопасности Оранжевой книги с аналогичными обозначениями.

Класс F-IN предназначен для систем с высокими потреб- ностями в обеспечении целостности, что типично для систем управления базами данных.

Его описание основано на концепции «ролей», соответству- ющих видам деятельности пользователей, и предоставлении до- ступа к определённым объектам только посредством доверен- ных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименова- ние и выполнение объектов.

Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, напри- мер для систем управления технологическими процессами.

В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компо- нента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме долж- на происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное вре- мя реакции системы на внешние события.

Класс F-DI ориентирован на распределенные системы об- работки информации.

Перед началом обмена и при получении данных стороны долж- ны иметь возможность провести идентификацию участников вза-

имодействия и проверить ее подлинность. Должны использовать- ся средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информа- ции. Знание алгоритма обнаружения искажений не должно по- зволять злоумышленнику производить нелегальную модифика- цию передаваемых данных. Необходимо обнаруживать попытки повторной передачи ранее переданных сообщений.

Класс F-DC уделяет особое внимание требованиями к кон- фиденциальности передаваемой информации.

Информация по каналам связи должна передаваться в за- шифрованном виде. Ключи шифрования защищают от несанк- ционированного доступа.

Класс F-DX предъявляет повышенные требования и к це- лостности и к конфиденциальности информации.

Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и за- щиты от анализа трафика. Следует ограничить доступ к ранее переданной информации, которая в принципе может способ- ствовать проведению криптоанализа.