Общие критерии оценки безопасности информационных технологий

7.1 ВВЕДЕНИЕ

Появление проекта международного стандарта "Общие критерии оценки безопасности информационных технологий" явилось качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.

Общие критерии (ОК) обобщили содержание и опыт использования Оранжевой книги, развили уровни гарантии оценки Европейских критериев [13], воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США.

В Общих критериях проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы целевого использования. Главные преимущества Общих критериев - полнота и систематизация требований безопасности, гибкость в применении и открытость для последующего развития.

В разработке Общих критериев участвовали Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).

В январе 1996 года была выпущена версия 1.0 Общих критериев, в мае 1998 года - версия 2.0 , а 4 июня 1999 года международная организация по стандартизации утвердила международный стандарт ISO 15408 “Критерии оценки безопасности информационных технологий”.

Ниже рассмотрены концептуальные основы и основное содержание Общих критериев (по версии 1.0), а также основные изменения в версии 2.0, которая и принята в качестве международного стандарта.

7.2 ОБЩИЕ ПОЛОЖЕНИЯ

Общие критерии разработаны таким образом, чтобы удовлетворить потребности трех категорий пользователей: потребителей объекта оценки, разработчиков объекта оценки и оценщиков объекта оценки. Под объектом оценки (ОО) понимается аппаратно-программный продукт или информационная система. К таким объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы.

К рассматриваемым в ОК аспектам безопасности относятся: защита от несанкционированного доступа, модификации или потери доступа к информации при воздействии угроз, являющихся результатом преднамеренных или непреднамеренных действий. Защищенность от этих трех типов угроз обычно называют конфиденциальностью, целостностью и доступностью.

Некоторые аспекты безопасности ИТ находятся вне рамок ОК:

а) ОК не охватывают оценку административных мер безопасности. Административные меры безопасности в окружающей среде объекта оценки рассматриваются только в той части, где они могут влиять на способность ИТ противостоять идентифицированным угрозам;

б) в ОК не рассматривается оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений и наводок;

в) ОК формулируют только критерии оценки и не содержат методик самой оценки;

г) в ОК не входят критерии для оценки криптографических методов и алгоритмов защиты информации.

Общие критерии предполагается использовать как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.

Структурно ОК версия 1.0 представлены как совокупность самостоятельных, но взаимосвязанных частей:

Часть 1. "Представление и общая модель". Определяются общая концепция, принципы и цели оценки безопасности ИТ. Приведены категории пользователей, для которых ОК представляют интерес.

Часть 2. "Требования к функциям безопасности". Приведены требования к функциям безопасности и определен набор показателей для оценки безопасности информационных технологий. Каталоги части 2 содержат наборы требований, сгруппированные в семейства и классы.

Часть 3. "Требования гарантии безопасности". Приведены требования гарантии безопасности, сгруппированные в семейства, классы и уровни гарантии оценки. Определены также критерии оценки для Профилей защиты

и Заданий по безопасности.

Часть 4. "Предопределенные профили защиты". Приведены примеры профилей защиты, включающих функциональные требования безопасности и требования гарантии оценки. Ряд подобных требований присутствовал в исходных критериях (ITSEC, CTCPEC, FC, TCSEC), другие впервые представлены в данном документе. Предполагается, что в конечном счете часть 4 станет каталогом профилей защиты, которые прошли процесс регистрации.

Часть 5 (планируется). "Процедуры регистрации". Определит процедуры регистрации профилей защиты и их поддержки в международном регистре.

Общий объем материалов версии 1.0 Общих критериев (включая приложения) составил более 800 страниц.

В соответствии с концепцией ОК требования к безопасности объекта оценки разделяются на две категории:

функциональные требования;

требования гарантированности.

В функциональных требованиях описаны те функции объекта оценки, которые обеспечивают безопасность ИТ. Имеются в виду требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования и др.

Требования гарантированности отражают качества объекта оценки, дающие основание для уверенности в том, что необходимые меры безопасности объекта эффективны и корректно реализованы. Оценка гарантированности получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки, а также требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.

В ОК функциональные требования и требования гарантированности представлены в едином стиле и используют одну и ту же организацию и терминологию.

Термин "класс" используется для наиболее общей группировки требований безопасности.

Члены класса названы семействами. В семейства группируются наборы требований, которые обеспечивают выполнение определенной части целей безопасности и могут отличаться по степени жесткости.

Члены семейства называются компонентами. Компонент описывает минимальный набор требований безопасности для включения в структуры, определенные в ОК.

Компоненты построены из элементов. Элемент - самый нижний, неделимый уровень требований безопасности, на котором производится оценка их удовлетворения.

Организация требований безопасности в ОК по иерархии класс - семейство - компонент - элемент помогает потребителю правильно определить нужные компоненты после идентификации угроз безопасности объекта оценки.

Компоненты в семействе могут либо находиться в иерархической связи, когда необходимо наращивание требований для выполнения одной из целей безопасности, либо не находиться, когда имеет место качественно новое требование.

Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать как между функциональными компонентами, так и компонентами гарантированности. Чтобы обеспечить полноту требований к объекту оценки, зависимости должны быть учтены при использовании компонентов.

Компоненты могут быть конкретизированы с помощью разрешенных действий для обеспечения выполнения определенной политики безопасности или противостояния определенной угрозе. К разрешенным действиям относятся назначение, выбор и обработка.

Назначение позволяет заполнить спецификацию идентифицированного параметра при использовании компонента. Параметр может быть признаком или правилом, которое конкретизирует требование к определенной величине или диапазону величин. Например, элемент функционального компонента может требовать, чтобы данное действие выполнялось неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.

Выбор - это выбор одного или большего количества пунктов из списка с целью конкретизации возможностей элемента.

Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.

ОК определяют также набор структур, которые объединяют компоненты требований безопасности.

Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение поднабора идентифицированных целей безопасности. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

Уровни гарантии оценки - это предопределенные пакеты требований гарантированности.

Одной из основных структур ОК является Профиль защиты (ПЗ), определенный как набор требований, который состоит из компонентов или пакетов функциональных требований ОК и одного из уровней гарантии, при необходимости усиленного дополнительными компонентами гарантии из ОК. Профиль защиты предназначен для многократного использования и определяет совокупность требований безопасности, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.

Требования Профиля защиты могут быть конкретизированы и дополнены в другой структуре ОК - Задании по безопасности. Задание по безопасности (ЗБ) содержит набор требований, которые могут быть представлены одним из Профилей защиты или сформулированы в явном виде. Задание по Безопасности определяет набор требований безопасности для конкретного объекта оценки. Оно включает также спецификацию объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить выполнение требований безопасности и мер гарантии оценки.

В Задании по безопасности предусматривается возможность включения функциональных требований и требований гарантированности, не содержащихся в ОК. Однако при включении новых компонентов в ЗБ необходимо учитывать, что при этом не только требуется соответствие структуре и правилам ОК, но и не гарантируется сопоставимость результатов при оценке различными специалистами.

Результатом оценки безопасности по ОК должен быть общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.

После оценки продукта ИТ, предназначенного для широкого использования, результаты оценки могут быть включены в каталог оцененных продуктов, чтобы они стали доступными более широкому кругу потребителей.

7.3 ТРЕБОВАНИЯ К ФУНКЦИЯМ БЕЗОПАСНОСТИ

Классы и семейства функциональных требований сгруппированы на основе определенной функции или цели безопасности. Всего в разделе "Требования к функциям безопасности" версии 1.0 ОК 9 классов, 76 семейств, 184 компонента и 380 элементов.

Класс FAU (аудит безопасности) состоит из 12 семейств, содержащих требования к распознаванию, регистрации, хранению и анализу информации, связанной с действиями, затрагивающими безопасность объекта оценки.

Класс FCO (связь) включает 2 семейства, связанных с аутентификацией сторон, участвующих в обмене данными.

Класс FDP (защита данных пользователя) подразделяется на пять групп семейств, которые относятся к защите данных пользователя в пределах объекта оценки в процессе ввода, вывода и хранения информации.

Класс FIA (идентификация и аутентификация) включает 9 семейств. Эффективность выполнения требований других классов зависит от правильной идентификации и аутентификации пользователей.

Класс FPR (секретность) включает 4 семейства и содержит требования к секретности, обеспечивающие защиту пользователя от раскрытия и несанкционированного использования его идентификаторов другими пользователями.

Класс FPT (защита функций безопасности) включает 22 семейства функциональных требований, которые касаются целостности и контроля данных ФБ и механизмов, обеспечивающих ФБ.

Класс FRU (использование ресурса) включает 3 семейства, которые определяют готовность требуемых ресурсов к обработке и/или хранению информации.

Класс FTA (доступ к ОО) включает 7 семейств, которые определяют функциональные требования, сверх требований идентификации и аутентификации, для управления сеансами работы пользователя.

Класс FTP (надежный маршрут/канал) включает 2 семейства, которые содержат требования к обеспечению надежного маршрута связи между пользователями и ФБ и надежного канала связи между ФБ.

7.4 ТРЕБОВАНИЯ ГАРАНТИИ БЕЗОПАСНОСТИ

Всего в разделе "Требования гарантии безопасности" версии 1.0 ОК 7 классов, 25 семейств, 72 компонента.

Класс ACM (управление конфигурацией) состоит из трех семейств и определяет требования контроля версий в процессе разработки и модификации ОО. Управление конфигурацией гарантирует готовность ОО и документации к распространению.

Класс ADO (поставка и эксплуатация) состоит из двух семейств и определяет требования к мерам и процедурам, связанным с безопасной поставкой, установкой и эксплуатацией ОО.

Класс ADV (разработка) состоит из шести семейств и определяет требования для пошаговой проработки ФБ от общей спецификации ОО в ЗБ до реализации.

Классс AGD (руководства) состоит из двух семейств и определяет требования к полноте и законченности эксплуатационной документации, представленной разработчиком. Эта документация, которая содержит два вида информации (для пользователей и для администраторов), является важным фактором безопасной эксплуатации ОО.

Класс ALC (поддержка жизненного цикла) состоит из четырех семейств и определяет требования к модели жизненного цикла для всех этапов разработки ОО, включая политику и процедуры устранения недостатков, правильное использование инструментальных средств и методов, а также меры безопасности по защите среды разработки.

Класс ATE (тестирование) состоит из четырех семейств и формулирует требования к объему, глубине и виду тестирования ОО, которые позволяют сделать вывод о выполнении функциональных требований безопасности.

Класс AVA (оценка уязвимостей) состоит из четырех семейств и определяет требования, направленные на идентификацию уязвимых мест и тайных каналов, которые возникают при проектировании, функционировании, неправильном использовании или неправильной конфигурации ОО.

Для некоторых функций безопасности предусмотрено требование к силе. Например, механизм пароля не может полностью предотвратить раскрытие, но его сила может быть увеличена путем увеличения длины пароля или уменьшения интервала изменений (замены) пароля.

Оценка силы функции безопасности ОО выполняется на уровне механизма безопасности, а результат определяет относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам.

Сила функции оценивается как "базовая", если анализ показывает, что механизм обеспечивает адекватную защиту против непреднамеренного или случайного нарушения безопасности ОО нападавшим, обладающим низким потенциалом нападения.

Сила функции оценивается как "средняя", если анализ показывает, что механизм обеспечивает адекватную защиту против прямого или намеренного нарушения безопасности ОО нападавшим, обладающим средним потенциалом нападения.

Сила функции оценивается как "высокая", если анализ показывает, что механизм обеспечивает адекватную защиту против преднамеренно запланированного или организованного нарушения безопасности ОО нападавшим, обладающим высоким потенциалом нападения.

Потенциал нападения определяется путем экспертизы возможностей, ресурсов и побуждений нападавшего.

В ОК определено семь уровней гарантии оценки (УГО). Увеличение гарантированности обеспечивается увеличением строгости и/или глубины оценки путем включения соответствующих компонентов гарантии (не более одного компонента из каждого семейства гарантии) с учетом зависимостей.

Ниже дана характеристика УГО, где различия между уровнями гарантии подчеркнуты путем выделения жирным шрифтом новых требований.

Уровень Гарантии Оценки 1 (УГО1) - функционально проверенный проект. УГО1 - самый низкий уровень гарантии, для которого оценка является значащей и экономически оправданной. УГО1 предназначен для обнаружения очевидных ошибок при минимальных издержках. Компоненты УГО1 обеспечивают минимальный уровень гарантии путем анализа функциональной и интерфейсной спецификаций ОО и результатов независимого тестирования каждой из функций безопасности.

Уровень Гарантии Оценки 2 (УГО2) - структурно проверенный проект. УГО2 применим, когда разработчики или пользователи требуют умеренно низкий уровень независимо гарантированной безопасности при отсутствии полного отчета о разработке. Компоненты УГО2 обеспечивают гарантию путем анализа функций безопасности и проекта высокого уровня подсистем ОО. Анализ поддержан независимым тестированием каждой из функций безопасности, актом испытаний разработчиком "черного ящика" и свидетельством поиска разработчиком явных уязвимых мест.

Уровень Гарантии Оценки 3 (УГО3) - методически проверенный и протестированный проект. УГО3 позволяет добросовестному разработчику получить максимальную гарантию безопасности на стадии разработки проекта без существенного изменения обычных методов разработки. Поэтому УГО3 применим, когда разработчики или пользователи требуют умеренного уровня независимо гарантированной безопасности и полного исследования продукта и процесса разработки без существенных технических затрат.

Компоненты УГО3 обеспечивают гарантию путем анализа функций безопасности и проекта высокого уровня подсистем ОО. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "серого ящика", независимым подтверждением выборочных результатов испытания разработчиком и свидетельством поиска разработчиком явных уязвимых мест. УГО3 обеспечивает также дополнительную гарантию путем включения средств контроля среды разработки и управления конфигурацией ОО.

Уровень Гарантии Оценки 4 (УГО4) - методически проработанный и проверенный проект. УГО4 позволяет разработчику получить максимальную гарантию безопасности при проектировании, основанном на хороших коммерческих методах разработки. УГО4 - самый высокий уровень, который, вероятно, будет экономически целесообразен для ориентировки на существующие типы продуктов. Поэтому УГО4 применим, когда разработчики или пользователи требуют умеренно-высокий уровень независимо гарантированной безопасности в обычных продуктах ИТ и готовы нести определенные технические затраты для дополнительной безопасности.

Компоненты УГО4 обеспечивает гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и поднабора реализации. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "серого ящика", независимым подтверждением выборочных результатов испытания разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском явных уязвимых мест. УГО4 также обеспечивает гарантию путем использования средств контроля среды разработки и дополнительных средств управления конфигурацией ОО, включая средства автоматизации этого процесса.

Уровень Гарантии Оценки 5 (УГО5) - полуформально разработанный и проверенный проект.

УГО5 позволяет разработчику получить максимальную гарантию безопасности при проектировании, основанном на строгих коммерческих методах разработки, поддержанных умеренным использованием специальных технических методов обеспечения безопасности. Поэтому УГО5 применим, когда разработчики или пользователи требуют высокого уровня независимо гарантированной безопасности и строгого подхода к разработке без существенных дополнительных затрат, относящихся к специалистам по техническим методам обеспечения безопасности. Компоненты УГО5 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и всей реализации. Дополнительная гарантия получена за счет формальной модели и полуформального представления функциональной спецификации и проекта высокого уровня и полуформальной демонстрации соответствия между ними. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "серого ящика", независимым подтверждением выборочных результатов испытания разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском уязвимых мест, гарантирующим относительное сопротивление нападению проникновения. Анализ также включает поиск тайных каналов и поддержан требованием модульной структуры проекта ОО. УГО5 также обеспечивает гарантию с помощью средств контроля среды разработки и всестороннего управления конфигурацией ОО, включая автоматизацию.

Уровень Гарантии Оценки 6 (УГО6) - полуформально верифицированный и проверенный проект. УГО6 позволяет разработчикам получать высокую гарантию за счет применения технических методов обеспечения безопасности в условиях сложного окружения. Поэтому УГО6 применим при разработке специальных изделий для использования в ситуациях высокого риска, где ценность защищаемых активов оправдывает дополнительные затраты. Компоненты УГО6 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и структурированного представления реализации. Дополнительная гарантия получается за счет формальной модели, полуформального представления функциональной спецификации, проекта высокого уровня и проекта низкого уровня, а также полуформальной демонстрации соответствия между ними. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "серого ящика", независимым подтверждением выборочных результатов испытания разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском уязвимых мест, гарантирующим высокое сопротивление нападению проникновения. Анализ также включает систематический поиск тайных каналов и поддержан требованием модульной и иерархической структуры проекта ОО. УГО6 также обеспечивает гарантию за счет структурированного процесса разработки, средств контроля среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию.

Уровень Гарантии Оценки 7 (УГО7) - формально верифицированный и проверенный проект. УГО7 представляет верхний достижимый предел гарантии оценки для фактически полезных продуктов и рассматривается только для экспериментального применения ко всем продуктам, кроме концептуально простых. Поэтому УГО7 применим при разработке специальных продуктов для применения в ситуациях чрезвычайно высокого риска и/или где высокая ценность активов оправдывает более высокие затраты. Практическое применение УГО7 в настоящее время ограничено продуктами с сосредоточенными функциональными возможностями обеспечения безопасности, поддающимися формальному анализу. Компоненты УГО7 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и структурированного представления выполнения. Дополнительная гарантия обеспечивается за счет формальной модели, формального представления функциональной спецификации и проекта высокого уровня, полуформального представления проекта низкого уровня, формальной и полуформальной демонстрации соответствия между ними. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "белого ящика", независимым подтверждением всех результатов испытаний разработчиком, свидетельством поиска разработчиком явных уязвимостей и независимым поиском уязвимых мест, гарантирующим высокое сопротивление нападению проникновения. Анализ также включает систематический поиск тайных каналов и поддержан требованием модульной, иерархической и простой структуры проекта ОО. УГО7 также обеспечивает гарантию за счет структурированного процесса разработки, средств контроля среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию.

7.5 ПРЕДОПРЕДЕЛЕННЫЕ ПРОФИЛИ ЗАЩИТЫ

Профиль защиты включает следующие основные разделы:

a) Безопасность окружения. Окружение описывается в терминах ожидаемых угроз, предписанной политики безопасности и условий использования ОО.

б) Цели безопасности. Формулировка задач обеспечения безопасности, являющихся базисом для определения требований к ОО.

в) Функциональные требования.

г) Требуемый уровень гарантии безопасности.

Профиль Защиты ОК по сути является аналогом классов "Оранжевой книги"и классов защищенности РД Гостехкомиссии РФ, но базируется на значительно более полной и систематизированной совокупности компонентов требований безопасности.

Часть 4 версии 1.0 ОК содержит три Профиля защиты. Два из них были созданы на основе более ранних критериев, еще один разработан для продуктов ИТ, которые являются относительно новым для процесса оценки безопасности.

Профили, представленные в версии 1.0 ОК, были разработаны авторами ОК как часть процесса проверки достоверности реализации ОК и специальных требований безопасности, содержащихся в ОК. Пока такие оценки не завершены и профили не зарегистрированы для общего использования, они должны трактоваться как предварительные или временные, а их представление в ОК как образец.

Профили "Коммерческая защита 1" (КЗ1) и "Коммерческая защита 3" (КЗ3) представляют дальнейшее развитие профилей Федеральных критериев США [15], выполненное с использованием терминологии и конструкций ОК. Профиль КЗ1 ОК предназначен для замены профиля Федеральных критериев CS1 (и, следовательно, класса C2 TCSEC), но не идентичен этим наборам требований. Профиль КЗ3 ОК предназначен для выполнения тех же потребностей потребителя, что и профиль Федеральных критериев CS3.

Профиль ОК "Межсетевой экран" (firewall) - первый член семейства профилей, связанных с межсетевыми экранами (брандмауэрами), предназначенный для испытаний продуктов, которые интересны для проблематики безопасности ИТ, но не нашли отражения в предыдущих критериях оценки.

Примечание. Подобное семейство профилей защищенности межсетевых экранов представлено в Руководящем документе Гостехкомиссии РФ [6].

Количество стандартизованных Профилей защиты в ОК потенциально не ограничено, однако все они должны отвечать соответствующим требованиям и, прежде чем быть включенными в международный регистр, пройти процедуры регистрации, которые будут определены в ОК.