Общие критерии, основные изменения

Рабочая группа 3 подкомиссии 27 Международной организации по стандартизации (ИСО) завершила разработку версии 2.0 "Общих критериев оценки безопасности информационных технологий".

Во второй версии Общих критериев сохранены основные концептуальные положения версии 1.0. Изменения коснулись структуры всего документа, некоторых классов, семейств и компонентов требований безопасности.

В версии 2.0 Общих критериев остались только три части:

часть 1 - "ПРЕДСТАВЛЕНИЕ И ОБЩАЯ МОДЕЛЬ";

часть 2 - "ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ";

часть 3 - "ТРЕБОВАНИЯ ГАРАНТИРОВАННОСТИ".

Часть 4 "ПРЕДОПРЕДЕЛЕННЫЕ ПРОФИЛИ ЗАЩИТЫ" вынесена за пределы проекта стандарта, что логично, учитывая постоянные дополнения каталога Профилей защиты.

В разделе "ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ" (часть 2) появились два новых класса: FCS ("КРИПТОГРАФИЧЕСКАЯ ПОДДЕРЖКА") и FMT ("УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ").

Класс FCS был анонсирован еще в версии 1.0. Он включает два семейства: FCS_CKM ("Управление криптографическими ключами") и FCS_COP ("Криптографические операции").

Класс FMT явился результатом перегруппировки требований, связанных с управлением безопасностью объекта оценки. В него вошли семейства: FMT_MOF ("Управление функциями безопасности объекта оценки"), FMT_MSA ("Управление признаками безопасности"), FMT_MTD ("Управление данными функций безопасности"), FMT_REV ("Аннулирование"), FMT_SAE ("Истечение признака безопасности") и FMT_SMR ("Функции управления безопасностью").

Существенно изменились структура и содержание классов FAU ("Аудит безопасности"), FDP ("Защита данных пользователя") и FIA ("Идентификация и аутентификация").

В классе FAU исключено шесть семейств: FAU_MGT ("Управление аудитом безопасности"), FAU_POP ("Обработка сохраняемых данных аудита безопасности"), FAU_PRO ("Защита трассы контроля безопасности"),FAU_PRP ("Обработка данных аудита безопасности до хранения") - их требования сгруппированы в близких по назначению других модернизированных семействах этого же класса; FAU_PAD ("Обнаружение аномалии по базовому образцу"), FAU_PIT ("Средства идентификации проникновения") - их требования сгруппированы в модернизированном и дополненном еще двумя компонентами семействе FAU_SAA ("Анализ аудита безопасности").

В классе FDP исключены три семейства: FDP_ACI ("Инициализация признаков объекта"), FDP_SAM ("Модификация признаков безопасности"), FDP_SAQ ("Запрос признака безопасности") - их требования сгруппированы в новом классе FMT, а также добавлено новое семейство FDP_DAV ("Аутентификация данных"). Это семейство, состоящее из двух компонентов: FDP_DAU.1 ("Базисная аутентификация данных") и FDP_DAU.2 ("Аутентификация данных с идентификацией гаранта"), требует обеспечения гарантий проверки правильности специфицированного модуля данных, которые впоследствии могут быть использованы для проверки того, что, например, информация не была изменена или подделана. Это - своего рода нотаризация данных, но, в отличие от нотаризации при обмене данными в сетевых конфигурациях (класс FCO), применяемая для "статических" данных.

В классе FIA исключены семейства: FIA_ADA ("Администрация данных аутентификации пользователей"), FIA_ADP ("Защита данных аутентификации пользователей") и FIA_ATA ("Администрирование признака пользователя") - их основные требования сгруппированы в соответствующих семействах нового класса FMT.

Незначительные изменения претерпели остальные классы функциональных требований.

В разделе "ТРЕБОВАНИЯ ГАРАНТИРОВАННОСТИ" (часть 3) в классе ADV ("РАЗРАБОТКА") выделены в отдельное семейство ADV_SPM ("Модель политики безопасности") требования к модели политики безопасности объекта оценки.

В классе ATE ("ТЕСТИРОВАНИЕ") в семействе ATE_FUN ("Функциональное тестирование") появился дополнительный компонент ATE_FUN.2 ("Упорядоченное функциональное тестирование"), используемый в уровнях гарантии оценки УГО-6 и УГО-7 и требующий включения в тестовую документацию анализа последовательности процедур тестирования, входивших ранее в компонент ATE_COV.3.

В классе AVA ("АНАЛИЗ УЯЗВИМОСТЕЙ") в семействе AVA_MSU ("Неправильное применение") добавлен третий компонент, предусматривающий дополнительное выполнение Оценщиком независимого тестирования (типа атаки) для подтверждения идентификации в тестовой документации всех возможных опасных состояний. В семействе AVA_SOF ("Сила функций безопасности объекта оценки") исключено описание ранжирования силы функции на "базовую", "среднюю" и "высокую" и введено требование оценки соответствия силы функции безопасности, заданной в Задании по безопасности или Профиле защиты.

В свою очередь, требования к Профилю защиты (класс APE) и Заданию по безопасности (класс ASE) теперь предусматривают необходимость включения в функциональные требования минимального уровня силы для функций безопасности, реализуемых механизмами случайной выборки или перестановки (например, паролирование или хэш-функции). Уровень определяется как "базовый", "средний" или "высокий" в зависимости от целей безопасности объекта оценки. Для некоторых целей безопасности возможно применение специфических метрик силы функции. Если в требованиях гарантированности используется уровень гарантии оценки УГО-1, который не включает компонента семейства AVA_SOF, сила функций безопасности в функциональных требованиях не задается.

Кроме того, в Профиле защиты предусмотрена возможность использования не только функциональных требований из части 2 Общих критериев, но, при необходимости, и обоснованных дополнительных требований.

В классе AGD ("ДОКУМЕНТЫ РУКОВОДСТВА") в семействе AGD_ADM требования к Руководству администратора представлены в более общем виде.

Версия 2.0 "Общих критериев оценки безопасности информационных технологий" представлена в ИСО в качестве проекта международного стандарта. Официальный документ ИСО планируется к выпуску в первом полугодии 1999 года.

ЗАКЛЮЧЕНИЕ

"Критерии безопасности компьютерных систем" МО США явились первой попыткой создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. "Оранжевая книга" послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор, с учетом дополнений и пояснений, используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации. Слабым местом "Оранжевой книги" является недостаточное внимание требованиям гарантии оценки.

В "Европейских критериях" впервые вводится понятие гарантированности и шкала для критериев гарантированности - уровни гарантии. "Европейские критерии" придают требованиям гарантированности даже большее значение, чем функциональным требованиям. "Европейские критерии" полностью принимают классы безопасности "Оранжевой книги" и вводят еще пять дополнительных классов.

"Канадские критерии оценки безопасности компьютерных систем" явились первым стандартом информационной безопасности, в котором на уровне структуры документа функциональные требования к средствам защиты отделены от требований гарантии оценки (адекватности реализации). В "Канадских критериях" отвергается подход к оценке уровня безопасности с помощью универсальной шкалы и используется независимое ранжирование требований по каждому разделу, обеспечивающее гибкость в подходе к оценке безопасности различных типов изделий и систем.

"Федеральные критерии безопасности информационных технологий" являются по сравнению с "Оранжевой книгой" стандартом нового поколения. "Федеральные критерии" являются первым стандартом информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа(сертификации). Авторами стандарта впервые предложена концепция Профиля защиты - документа, содержащего описание всех требований безопасности как к самому продукту информационной технологии, так и к процессу его проектирования, разработки, тестирования и квалификационного анализа. Разработчики "Федеральных критериев" также отказались от используемого в "Оранжевой книге" подхода к оценке уровня безопасности изделия ИТ на основе обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т.е. используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Такой подход позволяет разработчикам и потребителям изделия ИТ выбрать наиболее приемлемое решение и определить необходимый и достаточный набор требований для каждого конкретного продукта ИТ и среды его эксплуатации.

"Общие критерии оценки безопасности информационных технологий" представляют собой результат обобщения всех достижений в области информационной безопасности. Они согласованы с существующими стандартами и развивают их путем введения новых концепций, соответствующих современному уровню развития информационных технологий. "Общие критерии" продолжили подход "Федеральных критериев", направленный на отказ от единой шкалы классов безопасности, и повысили гибкость и удобство применения критериев путем введения частично упорядоченных шкал. Предложенные в "Общих критериях" структуры Профиля защиты и Задания по безопасности позволяют потребителям и производителям (разработчикам) в полной мере выразить свой взгляд на требования безопасности и задачи защиты, а с другой стороны дают возможность оценщикам проанализировать взаимное соответствие между требованиями потребителей, задачами и средствами защиты продукта ИТ. По уровню систематизации, полноте и степени детализации требований "Общие критерии" оставили далеко позади все существующие стандарты безопасности информационных технологий. При сравнительном анализе всех основных стандартов безопасности ИТ по пяти показателям (универсальность, гибкость, гарантированность, реализуемость, актуальность) "Общие критерии" получили наивысшую оценку [9]. "Общие критерии" разрабатываются как проект международного стандарта ИСО и должны позволить осуществлять сертификацию продуктов ИТ на глобальном уровне.