Рисунок 1. Концептуальная схема оценки безопасности ИТ на основе Общих критериев
Информация в системе, поддержанная информационной технологией, является критическим ресурсом, который позволяет использующим его организациям выполнять свои функции. При этом система будет выполнять эти функции эффективно только при осуществлении надлежащего контроля за информацией, чтобы гарантировать, что она защищена от опасностей типа нежелательного или несанкционированного распространения, изменения или потери. Безопасность ИТ предназначена, чтобы предотвратить или уменьшить эти и подобные опасности.
Анализ возможных угроз и анализ рисков помогает выбору мер безопасности, которые должны быть осуществлены, чтобы уменьшить риск до приемлемого уровня. Эти меры безопасности можно обеспечить через соответствующие комбинации ИТ, реализующих функции системы, и/или через внешние меры.
Общие критерии позволяют сравнивать результаты независимых оценок безопасности ИТ. Чтобы достигнуть большей сравнимости между результатами оценок, оценки должны быть выполнены в пределах структуры авторитетной схемы оценки, которая устанавливает стандарты и контролирует качество оценок. Такие схемы оценки в настоящее время существуют в нескольких странах и основаны на различных (хотя и сопоставимых) критериях оценки.
Общие критерии разработаны с учетом совместимости с этими существующими критериями, чтобы таким образом сохранить преемственность оценок безопасности.
Общие критерии предназначены для задания требований и оценки безопасности ИТ и включают функциональные требования и требования гарантии оценки, сопровождаемые информационным материалом. Цель последнего состоит в том, чтобы обеспечить руководство для использования ОК и сделать материал доступным для более широкой аудитории.
Общие критерии являются результатом усилий ряда организаций по разработке критериев оценки безопасности ИТ. В 80-х годах Критерии оценки безопасности компьютерных систем (TCSEC) были разработаны и развиты в США. В последующем десятилетии различные страны продолжили развитие критериев оценки на основе концепций TCSEC, сделав их более гибкими и приспособленными к развитию ИТ.
В Европе Критерии оценки безопасности информационных технологий (ITSEC) версия 1.2 были изданы в 1991 году Европейской комиссией в результате совместных усилий Франции, Германии, Голландии и Англии.
В Канаде Критерии оценки компьютерных систем (CTCPEC) версия 3.1 [14] были изданы в 1993 году как комбинация подходов TCSEC и ITSEC.
В США проект Федеральных критериев для оценки безопасности информационных технологий (FC) версия 1 [15] был также издан в 1993 году как второй шаг к объединению Американской и Европейской концепций для критериев оценки.
В 1990 году Международная организация по стандартизации (ИСО) начала работу по разработке международных стандартов по критериям оценки безопасности ИТ для общего использования. Новые критерии должны были быть адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в глобальном масштабе. Эта задача была возложена на рабочую группу 3 (WG 3) из подкомиссии 27 (SC 27) ИСО.
В июне 1993 года авторы ITSEC, TCSEC, FC, CTCPEC объединили свои усилия и начали разработку проекта Общих критериев оценки безопасности информационных технологий (CCEB). Цель проекта состояла в том, чтобы исключить концептуальные и технические различия, имеющиеся в исходных критериях, и представить результаты в ИСО как проект международного стандарта.
В разработке Общих критериев участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
В январе 1996 года была выпущена версия 1.0 Общих критериев [16] , которая и положена в основу настоящего обзора. В 1997 году были выпущены дополнительные материалы, выпуск версии 2.0 планируется в мае 1998 года.
Оценка безопасности ИТ — это методология исследования свойств безопасности изделия или системы информационных технологий, называемых в ОК объектами оценки.
При этом могут быть идентифицированы три группы пользователей с общим интересом к этим оценкам: потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки. Общие критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей.
Потребители могут использовать оценку, чтобы решить, выполняет ли оцененное изделие или система требования по безопасности. ОК играют важную роль при задании потребителем функциональных требований к безопасности ИТ. ОК содержат также требования гарантии оценки, поскольку это — одна из главных целей. Потребители могут использовать оценку, чтобы сравнивать различные изделия или системы. ОК дают потребителям, особенно группам потребителей с общим интересом, возможность использования предопределенной структуры требований, названной Профилем Защиты, чтобы выразить их специальные требования к объекту оценки для обеспечения безопасности ИТ.
ОК помогают Разработчикам при подготовке к оценке и оценке их изделий или систем. Разработчики могут идентифицировать те требования, которые будут удовлетворены их изделием или системой, стремясь к тому, чтобы объект оценки соответствовал функциональным требованиям безопасности и требованиям гарантии оценки. Эти требования содержатся в зависимо выполняемой структуре, названной Заданием по Безопасности. Разработчики могут использовать ОК, чтобы определить свои обязанности и действия при оценке объекта. ОК описывают действия, которые разработчик должен выполнить, и определяют содержание результатов оценки.
ОК содержат критерии, которые нужно использовать Оценщикам при формировании заключений относительно соответствия объектов оценки требованиям безопасности. ОК описывают набор общих действий, которые оценщик должен выполнить, но не определяют процедуры, которые нужно использовать при выполнении этих действий. Документ с методиками оценки должен дополнить ОК в этой области.
ОК могут быть полезны в качестве рекомендаций и для других групп пользователей, интересующихся или отвечающих за безопасность ИТ, например: служащим охраны, отвечающим за организационные вопросы безопасности ИТ; внутренним и внешним ревизорам, отвечающим за адекватность оценки мер безопасности системы; идеологам безопасности и проектировщикам, отвечающим за спецификацию мер безопасности системы или изделия ИТ; ответственным за принятие ИТ в эксплуатацию в специфических условиях окружения; Заказчикам, ответственным за управление и корректность программы оценки безопасности ИТ.
ОК представлены как совокупность самостоятельных, но взаимосвязанных частей.
Разд. Представление и общая модель — определяет общую концепцию и принципы оценки безопасности ИТ и представляет общую модель оценки. Разд. Представление и общая модель представляет также конструкции для формирования целей безопасности ИТ, для выбора и определения требований безопасности ИТ и для описания спецификаций высокого уровня для изделий и систем. Кроме того, в ней приведены категории пользователей с указанием на различные части ОК, где представлены их интересы к критериям оценки безопасности.
Разд. Требования к функциям безопасности — устанавливает набор функциональных компонентов как стандартный путь выражения функциональных требований к объектам оценки. Каталоги Разд. Требования к функциям безопасности — содержат наборы функциональных компонентов, сгруппированные в семейства и классы.
Разд. Требования гарантии безопасности — включает компоненты требований гарантии оценки, сгруппированные в семейства и классы, а также уровни гарантии оценки, которые определяют ранжирование по степени удовлетворения требований. Разд. Требования гарантии безопасности определяет также критерии оценки для Профилей Защиты и Заданий по Безопасности.
Разд. Предопределенные профили защиты — содержит примеры профилей защиты, включающие функциональные требования безопасности и требования гарантии оценки, которые были идентифицированы в исходных критериях (ITSEC, CTCPEC, FC, TCSEC), а также требования, не представленные в исходных критериях. Разд. Предопределенные профили защиты , в конечном счете, станет каталогом профилей защиты, которые прошли процесс регистрации.
Разд. Заключение (планируется) — определит процедуры, необходимые для регистрации профилей защиты и их поддержки в международном регистре.
ОК поддерживают выбор и оценку безопасности объекта ИТ. ОК полезны при разработке изделий или систем ИТ с функциями безопасности и при приобретении коммерческих изделий и систем с такими функциями. ОК дают основу для оценки объекта, чтобы установить уровень доверия к безопасности ИТ.
К таким объектам относятся, например, операционные системы, сети компьютеров, распределенные системы, прикладные программы.
Аспекты безопасности ИТ включают защиту информации от несанкционированного раскрытия, модификации или потери возможности использования при воздействии угроз, являющихся результатом преднамеренных или непреднамеренных действий человека. Защищенность от этих трех типов угроз обычно называют конфиденциальностью, целостностью и доступностью.
ОК могут быть также применимы и к другим аспектам безопасности ИТ.
ОК применимы при оценке безопасности ИТ, включая как аппаратные средства, так и программное обеспечение.
Некоторые аспекты безопасности ИТ находятся вне рамок ОК. К ним относятся следующие:
В соответствии с концепцией ОК требования безопасности объекта оценки подразделяются на две категории: функциональные требования и требования гарантированности.
В функциональных требованиях ОК описаны те функции объекта оценки, которые обеспечивают безопасность ИТ. Например, функциональные требования включают требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования (аудита) и др.
Требования гарантированности отражают качества объекта оценки, дающие основание для уверенности в том, что требуемые меры безопасности объекта реализованы правильно и эффективны. Гарантированность получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки и требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.
В ОК функциональные требования и требования гарантированности представлены в одном и том же общем стиле и используют одну и ту же организацию и терминологию.
Термин класс используется для наиболее общей группировки требований безопасности. Все члены класса разделяют общее намерение при отличии в охвате целей безопасности.
Члены класса названы семействами . Семейство — группировка наборов требований безопасности, которые обеспечивают выполнение определенной части целей безопасности, но могут отличаться в акценте или жесткости.
Члены семейства названы компонентами . Компонент описывает определенный набор требований безопасности - наименьший выбираемый набор требований безопасности для включения в структуры, определенные в ОК.
Компоненты построены из элементов . Элемент — самый нижний и неделимый уровень требований безопасности, на котором производится оценка их удовлетворения.
Организация требований безопасности в ОК по иерархии класс — семейство — компонент — элемент помогает потребителю правильно определить компоненты, как только будут идентифицированы угрозы безопасности объекта оценки.
Компоненты в семействе могут находиться в иерархической связи , когда необходимо наращивание требований для выполнения одной из целей безопасности, или нет, когда имеет место качественно новое требование.
Между компонентами могут существовать зависимости . Зависимости возникают, когда компонент сам недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать между функциональными компонентами, компонентами гарантированности и между теми и другими. Чтобы гарантировать законченность требований к объекту оценки, зависимости должны быть учтены при включении компонентов в Профиль защиты и Задание по Безопасности. Компоненты могут быть преобразованы с помощью разрешенных действий , чтобы обеспечить выполнение определенной политики безопасности или противостоять определенной угрозе. Не все действия допустимы на всех компонентах. Каждый компонент идентифицирует и определяет разрешенные действия или обстоятельства, при которых действие может применяться к компоненту, и результаты применения действия. К разрешенным действиям относятся: назначение, выбор и обработка.
Назначение разрешает заполнить спецификацию идентифицированного параметра при использовании компонента. Параметр может быть признаком или правилом, которое конкретизирует требование к определенной величине или диапазону величин. Например, элемент функционального компонента может заявлять, что данное действие должно быть выполнено неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.
Выбор — это действие выбора одного или большего количества пунктов из списка, чтобы конкретизировать возможности элемента.
Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.
ОК определяют также набор структур , которые объединяют компоненты требований безопасности.
Промежуточная комбинация компонентов названа пакетом . Пакет включает набор требований, которые обеспечивают выполнение поднабора целей безопасности. Пакет предназначен для многократного использования и определяет требования, которые являются необходимыми для достижения идентифицированных целей. Пакет может использоваться для формирования Профилей Защиты и Заданий по Безопасности.
Уровни гарантии оценки - предопределенные пакеты требований гарантии. Уровень гарантированности — это набор базовых требований гарантии для оценки. Каждый из уровней содержит полный набор требований гарантии и определяет масштаб гарантии в ОК.
Профиль Защиты содержит набор функциональных требований и компонентов требований гарантированности, включенных в соответствующий уровень гарантии оценки. Профиль защиты предназначен для многократного использования и определяет совокупность требований безопасности к объекту оценки, которые являются необходимыми и эффективными для достижения поставленных целей.
Задание по Безопасности содержит набор требований безопасности, которые могут быть представлены ссылкой на Профиль Защиты, непосредственно на требования ОК или сформулированы в явном виде. Задание по Безопасности выражает требования безопасности для конкретного объекта оценки. Задание по Безопасности включает также спецификацию объекта оценки в виде функций безопасности, которые должны обеспечить выполнение требований безопасности, и мер гарантии, которые необходимы, чтобы удовлетворить заданные требования гарантированности. Каждая функция безопасности должна обеспечивать выполнение по крайней мере одного требования безопасности. Функции безопасности должны быть определены на уровне детализации, необходимом для понимания назначения и поведения функции. Все ссылки на механизмы безопасности и методы, включенные в ЗБ, должны наглядно показывать, какие механизмы или методы используются при выполнении данной функции. Меры гарантии должны соответствовать требованиям гарантированности таким образом, чтобы было видно, какие меры удовлетворяют какие требования. Соответствующее определение мер гарантированности может быть сделано применительно к планам обеспечения качества, этапам жизненного цикла или планам управления.
Задание по Безопасности — основа для соглашения между Разработчиками объекта оценки, Потребителями и Оценщиками относительно безопасности объекта оценки.
При выражении функций безопасности и гарантий в Профилях Защиты и Заданиях по Безопасности необходимо учитывать следующие ограничения.
Профиль Защиты определен как набор требований, который состоит только из компонентов или пакетов функциональных требований, приведенных в Разд. Требования к функциям безопасности , и одного из уровней гарантии, при необходимости усиленного дополнительными компонентами гарантии из Разд. Требования гарантии безопасности ОК.
В Задании по Безопасности предусматривается возможность включения функциональных требований, не содержащихся в Разд. Требования к функциям безопасности ОК, и требований гарантированности, не содержащихся в Разд. Требования гарантии безопасности . Однако, при включении новых компонентов в ЗБ необходимо учитывать следующее:
Результатом оценки должен быть общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.
После оценки изделия ИТ, предназначенного для широкого использования, результаты оценки могут быть включены в каталог оцененных изделий, чтобы они стали доступными более широкому кругу потребителей.
Концептуальная схема оценки безопасности ИТ на основе ОК представлена на Рис. 1 .
|
|
|
| Перечень сокращений | Содержание | Требования к функциям безопасности |
| Copyright ╘ 1993-2000, Jet Infosystems |