Гармонизированные критерии Европейских стран ITSEC

Следуя по пути интеграции, Европейские страны (Франция, Германия, Англия и Голландия) в 1991 году приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC).

Европейские критерии расссматривают следующие составляющие информационной безопасности:

- конфиденциальность, то есть защиту от несанкционированного получения информации;

- целостность, то есть защиту от несанкционированного изменения информации;

- доступность, то есть защиту от несанкционированного отказа в информации или ресурсах.

В отличие от "Оранжевой книги" основным содержанием Европейских критериев является гарантированность безопасности.

Гарантированность затрагивает два аспекта - эффективность и корректность средств обеспечения безопасности.

При проверке эффективности анализируется адекватность набора функций безопасности угрозам объекту оценки, взаимная согласованность функций, простота их использования, а также возможные последствия использования известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма). Определяется три градации мощности - базовая, средняя и высокая. Согласно Критериям, мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностями. Мощность можно считать высокой, если есть уверенность, что механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности. Эффективность защиты признается неудовлетворительной, если выявляются слабые места в критически важных механизмах и эти слабости не устраняются до окончания процесса оценки. В таком случае объекту присваивается уровень гарантированности Е0. Защищенность системы или продукта не может быть выше мощности самого слабого из критически важных механизмов, поэтому в Критериях имеется в виду минимальная гарантированная мощность.

Под корректностью понимается правильность реализации функций и механизмов безопасности. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения. В Критериях определяется семь возможных уровней гарантированности корректности - от Е0 до Е6. Уровень Е0 обозначает отсутствие гарантированности. Уровни корректности от Е1 до Е6 выстроены по нарастанию требований к тщательности оценки. Так, на уровне Е1 анализируется лишь общая архитектура объекта - вся остальная уверенность является следствием функционального тестирования. На уровне Е3 к анализу привлекаются исходные тексты программ и схемы аппаратуры. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также модели политики безопасности.

Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности.

В целом распределение требований по уровням гарантированности в Европейских критериях соответствует аналогичному распределению для классов безопасности С1 - А1 из "Оранжевой книги".

Требования к политике безопасности и к наличию защитных механизмов не являются составной частью Критериев, хотя, чтобы облегчить формулировку цели оценки, Критерии содержат в качестве приложения описание десяти примерных классов функциональности. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) с учетом уровней гарантированности соответствуют классам безопасности "Оранжевой книги": F-С1,E1 -> C1; F-С2, E2 -> C2; F-В1,E3 -> B1; F-В2,E4 -> B2; F-В3,E5 -> B3; F-B3,E6 -> А1.

Имеется еще пять дополнительных классов.

Класс F-IN характеризуется повышенными требованиями к целостности данных и программ, что типично для систем управления базами данных. Эти требования конкретизируются через повышенные требования к идентификации и аутентификации пользователей, управлению доступом, регистрации и учету, аудиту.

Класс F-AV характеризуется повышенными требованиями к доступности, что существенно, например, для систем управления технологическими процессами. Эти требования конкретизируются через повышенные требования к надежности обслуживания (бесперебойной реализации критически важных функций) и восстановлению после отказов. Независимо от уровня загрузки должно также гарантироваться время реакции на определенные события и отсутствие тупиков.

Класс F-DI характеризуется повышенными требованиями к обеспечению целостности передаваемых данных путем использования имитостойких методов обнаружения и исправления ошибок. Знание алгоритма обнаружения искажений не должно давать возможность производить несанкционированную модификацию информации. Должны обнаруживаться и трактоваться как ошибки попытки изменения данных. Требования идентификации, аутентификации пользователей и аудита аналогичны классу F-IN, имеются дополнительные требования по регистрации и учету ошибок при обмене данными.

Класс F-DC характеризуется повышенными требованиями к обеспечению конфиденциальности при обмене данными путем использования криптографических устройств. При этом ключи шифрования должны быть надежно защищены от несанкционированного доступа.

Класс F-DX характеризуется повышенными требованиями к обеспечению конфиденциальности и целостности информации в сетевых конфигурациях путем сквозного шифрования передаваемых по каналам связи массивов данных и надежной идентификации (как ошибки) несанкционированного изменения передаваемых данных и данных регистрации. Требования по идентификации, аутентификации пользователей и аудиту аналогичны требованиям класса F-IN. В подсистеме регистрации и учета должны быть компоненты регистрации данных идентификации и аутентификации пользователей, идентификации ошибок при обмене данными, установления соединения, сообщенной пользователю информации, дата и время получения данных.

Основное содержание требований дополнительных классов безопасности ITSEC приведено в таблице 4.

Таблица 4. Требования дополнительных классов безопасности ITSEC