9.1. Проблеми створення стандартів із ЗІ
В основному роль стандартів із ЗІ така сама, як і в будь-якій іншій сфері. Кожна людина повинна мати можливість оцінювати і порівнювати все, що є навколо неї і чим вона користується. У цьому сенсі ІБ нічим не відрізняється від інших сфер нашої діяльності. Головне завдання стандартів ІБ - створити основу для взаємодії між виробниками, споживачами та експертами з кваліфікації продуктів інформаційних технологій. Кожна з цих груп має свої інтереси і свої погляди на проблему ІБ.
Споживачі, по-перше, зацікавлені в методиці, яка дозволяє обґрунтовано обрати продукт, що відповідає їх потребам і вирішує їх проблеми, для чого їм необхідна чітка шкала оцінки безпеки, і, по-друге, мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробнику. При цьому споживачів (що, до речі, цілком природно й обгрунтовано) цікавлять виключно характеристики і властивості кінцевого продукту, а не методи та засоби їх досягнення. Тут звернемо увагу на те, що саме з цієї точки зору ми цікавимось взагалі будь-якими товарами (тобто не обов'язково пов'язаними з ІБ). З цієї ж точки зору ідеальна шкала оцінки безпеки мала б виглядати приблизно так (звичайно, залежно від можливого для споживача рівня конфіденційності інформації):
Рівень 1. Система для обробки інформації з грифом не вище ніж «для службового користування».
Рівень 2. Система для обробки інформації з грифом не вище ніж «секретно» і т. д.
Відповідно і вимоги споживач міг би сформулювати приблизно в такій формі: «Я хотів би, щоб у мене все було захищене для обробки, наприклад, цілком таємної інформації». Нагадаємо, що коли ми щось купуємо, то, звичайно ж, хочемо, щоб воно було найліпшим, найдовго-вічнішим і т. ін. Однак цей неконструктивний підхід сам по собі не такий страшний, багато гірше інше - більшість споживачів не розуміє і не хоче розуміти, що за все треба платити (і не тільки грошима) і що вимоги безпеки обов'язково суперечать (не можуть не суперечити!) функціональним вимогам (наприклад, зручності роботи, швидкодії і т. п.), накладають обмеження на сумісність і, як правило, вимагають відмовитися від широко розповсюджених незахищених прикладних ПЗ.
Виробники, у свою чергу, мають потребу в стандартах для порівняння можливостей своїх продуктів і в застосуванні процедури сертифікації для об'єктивного оцінювання їх властивостей, а також у стандартизації певного набору вимог безпеки, що міг би обмежити фантазію замовника конкретного продукту і змусити його вибирати вимоги з цього продукту. Знову згадаємо будь-якого звичайного виробника -йому зовсім не хочеться робити все для всіх. З погляду виробника, вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т. д. Крім того, вимоги не повинні вступати в конфлікт з існуючими методами й алгоритмами обробки інформації, архітектурою КС і технологіями створення інформаційних продуктів. Цей підхід також не може бути визнаний домінуючим, тому що він не враховує потреби користувачів (адже в кінцевому рахунку саме для них все робиться) і намагається підігнати вимоги захисту під існуючі системи і технології, а це далеко не завжди можливо здійснити без збитку для безпеки.
Експерти з кваліфікації і фахівці із сертифікації розглядають стандарти як інструмент, що допомагає їм оцінити рівень безпеки, забезпечуваний продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір. Виробники в результаті кваліфікації рівня безпеки одержують об'єктивну оцінку можливостей свого продукту. Експерти з кваліфікації опиняються у двоїстому становищі. З одного боку, вони, як і виробники, зацікавлені в чітких і простих критеріях, над застосуванням яких до конкретного продукту не потрібно ламати голову (найкраще це могла б бути анкета з відповідями типу «так/ні»). З іншого боку, вони повинні дати обґрунтовану відповідь користувачам - задовольняє продукт їх потреби чи ні. Виходить, що саме експерти приймають на себе весь тягар відповідальності за безпеку продукту, що одержав кваліфікацію рівня безпеки і пройшов сертифікацію.
Таким чином, перед стандартами ІБ стоїть непросте завдання -примирити ці три точки зору і створити ефективний механізм взаємодії всіх сторін. Причому «обмеження» потреб хоча б однієї з них приведе до неможливості взаєморозуміння і взаємодії і, отже, не дасть вирішити загальне завдання - створення захищеної системи обробки інформації.
Якими узагальненими показниками можна було б охарактеризувати стандарти ІБ?
Як такі показники, що мають значення для всіх трьох сторін, зручно використовувати універсальність, гнучкість, гарантованість, реалі-зовуваність і актуальність [3].
Універсальність стандарту визначається множиною типів АС і галуззю інформаційних технологій, до яких можуть бути коректно використані його положення. Вона дуже важлива, оскільки зараз інформаційні технології бурхливо розвиваються, архітектура систем
постійно удосконалюється, сфера їх застосування розширюється. Такі стандарти повинні враховувати всі аспекти.
Під гнучкістю стандарту розуміється можливість і зручність його застосування до інформаційних технологій, що постійно розвиваються, і час його «застаріння». Гнучкість може бути досягнута виключно через фундаментальність вимог і критеріїв і їхню інваріантність стосовно механізмів реалізації і технологій створення ІТ-продуктів.
Гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу. Як показав досвід, для досягнення поставлених цілей експерти повинні мати можливість обґрунтовувати свої висновки, а розробники мати потребу в механізмах, за допомогою яких вони могли б підтвердити коректність своїх розробок і надати споживачам певні гарантії.
Реалізовуваність - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці з урахуванням витрат на цей процес. Реалізовуваність багато в чому пов'язана з універсальністю і гнучкістю, але відбиває суто практичні і технологічні аспекти реалізації положень і вимог стандарту.
Актуальність відбиває відповідність вимог і критеріїв стандарту множині загроз безпеці і новітніх методів і засобів, що використовуються ЗЛ. Ця характеристика, поряд з універсальністю, є однією з найважливіших, тому що здатність протистояти загрозам і прогнозувати їх розвиток фактично є вирішальним чинником при визначенні його придатності.
Необхідність таких стандартів була усвідомлена вже давно (звичайно, якщо зважати на розвиток інформаційних технологій), і в цьому напрямі досягнуто істотного прогресу, закріпленого у новому поколінні документів розробки 90-х років. Найбільш значимими стандартами ІБ є (у хронологічному порядку): «Критерії безпеки комп'ютерних систем Міністерства оборони СІЛА», «Європейські критерії безпеки інформаційних технологій», «Керівні документи Держтехкомісії Росії», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем», «Єдині критерії безпеки інформаційних технологій», «Українські критерії безпеки автоматизованих систем».
Далі ці документи розглядатимуться з погляду їх структури, вимог і критеріїв, а також оцінки ефективності їх практичного застосування. Тому огляд буде здійснюватися за схемою: мета розробки, основні положення, таксономія і ранжирування вимог і критеріїв.
Нагадаємо деякі найважливіші терміни і визначення, що трактуються практично однаково майже у всіх стандартах.
Політика безпеки (Security Policy). Сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки.
Модель безпеки (Security Model). Формальне представлення політики безпеки.
Дискреційне, або довільне, керування доступом (Discretionary Access Control). Керування доступом, здійснюване на підставі заданої адміністратором множини дозволених відносин доступу.
Мандатне, або нормативне керування доступом (Mandatory Access Control). Керування доступом, що грунтується на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад залежно від грифа таємності інформації і рівня допуску користувача.
Ядро безпеки (Trusted Computing Base (TCB)). Сукупність апаратних, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки.
Ідентифікація (Identification). Процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів).
Автентифікація (Authentication). Перевірка дійсності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів.
Адекватність (Assurance). Показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їх відповідностей поставленим завданням (у більшості випадків це завдання реалізації політики безпеки).
Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation). Аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки. Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації і завершується присвоєнням КС того чи іншого класу чи рівня безпеки.
Таксономія (Taxonomy). Наукова дисципліна, що займається систематизацією і класифікацією складноорганізованих об'єктів і явищ, які мають ієрархічну будову (від грецького taxis - лад, порядок і nomos - закон). На відміну від звичайної класифікації, що встановлює зв'язки і відношення між об'єктами (ієрархія будується знизу вгору), таксономія базується на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху вниз).
Прямий вплив (Trusted Path). Принцип організації інформаційної взаємодії (як правило, між користувачем і системою), який гарантує, що передана інформація не піддається перехопленню чи перекручуванню.
9.2. Огляд стандартів із захисту інформації
Критерії безпеки комп'ютерних систем Міністерства оборони США (Trusted Computer System Evaluation Criteria), що отримали назву «Оранжева книга» (за кольором обкладинки), були розроблені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які висуваються до апаратного, програм-
ного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення.
У цьому документі були вперше нормативно визначені такі поняття, як «політика безпеки», ТСВ і т. п. Відповідно до «Оранжевої книги» безпечна КС - це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що відповідно авторизовані користувачі або процеси, що діють від їх імені, отримують можливість читати, писати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.
В «Оранжевій книзі» запропоновано три категорії вимог щодо безпеки - політика безпеки, аудит та коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, дві інші - на якість самих засобів захисту:
політика безпеки; вимога 1 (політика безпеки) - система має підтримувати точно визначену політику безпеки, можливість доступу до об'єктів повинна визначатися на основі їх ідентифікації і набору правил керування доступом; вимога 2 (мітки) -кожен об'єкт повинен мати мітку, що використовується як атрибут контролю доступу;
аудит; вимога 3 (ідентифікація та автентифікація) - всі суб'єкти повинні мати унікальні ідентифікатори, контроль доступу здійснюється на основі ідентифікації та автентифікації суб'єкта та об'єкта доступу; вимога 4 (реєстрація й облік) - всі події, що мають відношення до безпеки, мають відстежуватися і реєструватися в захищеному протоколі;
коректність; вимога 5 (контроль коректності функціонування засобів захисту) - засоби захисту перебувають під контролем засобів перевірки коректності, засоби захисту незалежні від засобів контролю коректності; вимога 6 (безперервність захисту) -захист має бути постійним і безперервним у будь-якому режимі функціонування системи захисту і всієї системи в цілому.
Запропоновано також чотири групи критеріїв рівня захищеності. Мінімальний захист (група D) містить один клас (D); дискреційний захист (група С) містить два класи (СІ, С2); мандатний захист (група В) містить три класи (Bl, B2, ВЗ); верифікований захист (група А) містить один клас (А). Усі групи і класи в них характеризуються зростаючими вимогами безпеки для системи захисту.
У подальшому виявилося, що ряд положень документа застаріли і він був розвинутий (було створено понад чотири десятки допоміжних документів - «Райдужна серія»). Значення «Оранжевої книги» важко переоцінити - це була перша спроба створення єдиного стандарту
безпеки, і це був справжній прорив у галузі безпеки інформаційних технологій. Цей документ став точкою відліку для подальших досліджень і розробок. Основною його відмінністю є орієнтація на системи військового застосування, причому в основному на ОС.
Історично другими були розроблені «Критерії безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, далі «Європейські критерії»). Вони були розроблені Францією, Німеччиною, Нідерландами та Великобританією і вперше опубліковані в 1991 році.
«Європейські критерії» розглядають такі основні завдання інформаційної безпеки:
захист інформації від НСД з метою забезпечення конфіденційності;
забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації або знищення;
забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.
Для забезпечення вимог конфіденційності, цілісності і працездатності в системі необхідно реалізувати відповідний набір функцій безпеки, таких як ідентифікація й автентифікація, керування доступом, аудит і т. д. Ступінь впевненості у правильності їх вибору і надійності функціонування визначається за допомогою адекватності (assurance), яка включає в себе два аспекти: ефективність (відповідність засобів безпеки завданням безпеки) і коректність (правильність і надійність реалізації функцій безпеки). Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їх реалізації.
Ефективність визначається функціональними критеріями, які розглядаються на трьох рівнях деталізації: перший - цілі безпеки, другий -специфікації функцій захисту, третій - механізми захисту. Специфікації функцій захисту розглядаються з точки зору таких вимог:
ідентифікація й автентифікація;
керування доступом;
підзвітність;
аудит;
повторне використання об'єктів;
цілісність інформації;
надійність обслуговування;
безпечний обмін даними.
Набір функцій безпеки специфікується за допомогою визначених класів-шаблонів. Всього визначено десять класів (F-Cl, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX) за зростаючими вимогами.
«Європейські критерії» визначають також сім рівнів адекватності -від ЕО до Е6 (за зростанням вимог при аналізі ефективності та коректності засобів захисту).
Головне досягнення цього документа - введення поняття адекватності засобів захисту і визначення окремої шкали для адекватності. Крім того, були визначені основні властивості захищеної інформації -конфіденційність, цілісність.
У 1992 р. Держтехкомісія (ДТК) при президенті Російської Федерації опублікувала п'ять Керівних документів з питань захисту інформації від НСД:
1. Захист від несанкціонованого доступу до інформації. Терміни і
визначення.
Концепція захисту ЗОТ і АС від НСД до інформації.
Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги до захисту інформації.
Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації.
Тимчасове положення при організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.
Найцікавішими є другий, третій та четвертий документи.
Ідейною основою цих документів є другий документ, який містить систему поглядів ДТК на проблему інформаційної безпеки й основні принципи захисту комп'ютерних систем. З точки зору розробників даних документів, основне завдання засобів безпеки - це забезпечення захисту від НСД до інформації. Якщо засобам контролю і забезпеченню цілісності деяка увага і приділяється, то про підтримку працездатності систем обробки інформації взагалі не згадується.
Керівні документи ДТК розглядають дві групи критеріїв безпеки -показники захищеності ЗОТ від НСД і критерії захищеності АС обробки даних. Перша група дає змогу оцінити ступінь захищеності окремих компонентів АС, а друга - повнофункціональні системи обробки даних.
Встановлено сім класів захищеності ЗОТ від НСД до інформації. Найнижчий клас сьомий, найвищий - перший. Для кожного з класів визначено певні вимоги для ЗОТ.
Для оцінки рівня захищеності АС від НСД встановлено дев'ять класів. Клас підрозділяються на три групи, які відрізняються специфікою обробки інформації в АС. Група АС визначається на основі таких ознак:
наявність в АС інформації різного рівня конфіденційності;
рівень повноважень користувачів АС на доступ до конфіденційної інформації;
• режим обробки даних в АС (колективний або індивідуальний).Наведемо склад кожної групи за зростанням рівня захищеності.
Отже, третя група включає АС, у яких працює один користувач,
допущений до всієї інформації АС, що розміщена на носіях одного рівня конфіденційності. Група містить два класи - ЗБ і ЗА.
Друга група включає АС, у яких користувачі мають однакові повноваження доступу до інформації, яка обробляється на носіях різного рівня конфіденційності. Вона має два класи - 2Б і 2А.
Перша група включає багатокористувацькі АС, у яких водночас обробляється інформація різних рівнів конфіденційності. Користувачі мають різні права доступу. Група містить п'ять класів - ІД, ЇМ, ЇВ, 1Б, 1А.
Розробка стандарту з ІБ ДТК була дуже важливим новим кроком для тогочасного рівня розвитку інформаційних технологій Росії. Великий вплив на нього справила «Оранжева книга», оскільки і той і інший стандарти були орієнтовані на системи військового застосування. До недоліків даного стандарту слід віднести відсутність вимог до захисту від загроз працездатності, орієнтація тільки на захист від НСД, відсутність вимог до адекватності реалізації політики безпеки. Поняття політики безпеки трактується виключно як підтримка секретності і недопущення НСД, що принципово неправильно.
«Федеральні критерії безпеки інформаційних технологій» (Federal Criteria for Information Technology Security) розроблялись як одна із складових «Американського федерального стандарту з обробки інформації» (Federal for Information Processing Standard) і мали замінити «Оранжеву книгу». Розробниками стандарту виступили Національний інститут стандартів і технологій США (National Institute of Standards and Technology - NIST) та Агентство національної безпеки США (National Security Agency - NSA). Перша версія документа була опублікована в грудні 1992 р.
Цей документ розроблений на основі результатів численних досліджень у галузі забезпечення інформаційних технологій 80-х - початку 90-х років, а також на основі досвіду використання «Оранжевої книги». Документ являє собою основу для розробки і сертифікації компонентів інформаційних технологій з погляду забезпечення безпеки. Створення документа мало такі цілі:
Визначення універсального й відкритого для подальшого розвитку базового набору вимог безпеки до сучасних інформаційних технологій. Вимоги до безпеки і критерії оцінки рівня захищеності повинні відповідати сучасному рівню розвитку інформаційних технологій і враховувати його прогрес у майбутньому.
Удосконалення існуючих вимог і критеріїв безпеки. У зв'язку з розвитком інформаційних технологій назріла необхідність перегляду фундаментальних принципів безпеки з урахуванням появи нових сфер їх застосування як у державному, так і в приватному секторі.
Приведення у відповідність прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.
4. Нормативне закріплення основних принципів інформаційної безпеки. Стандарт є узагальненням основних принципів забезпечення безпеки інформаційних технологій, розроблених у 80-ті роки, і забезпечує наступність стосовно них з метою збереження досягнень у галузі захисту інформації.
Основними об'єктами вимог безпеки «Федеральних критеріїв» є продукти ІТ, під якими розуміється сукупність апаратних і/чи програмних засобів, яка являє собою готовий до використання засіб обробки інформації і постачається споживачеві. Як правило, ІТ-продукт експлуатується не автономно, а інтегрується в систему обробки інформації, що являє собою сукупність ІТ-продуктів, об'єднаних у функціонально повний комплекс, призначений для розв'язання прикладних задач. З погляду безпеки принципове розходження між ІТ-продуктом і системою обробки інформації визначається середовищем їх експлуатації. Продукт IT звичайно розробляється в розрахунку на те, що він буде використовуватися в багатьох системах обробки інформації, і, отже, розробник повинен орієнтуватися тільки на найзагальніші припущення про середовище експлуатації свого продукту, що включають умови застосування і загальні загрози. Навпаки, системи обробки інформації розробляються для розв'язання прикладних задач у розрахунку на вимоги кінцевих споживачів, що дозволяє враховувати специфіку впливів з боку конкретного середовища експлуатації.
«Федеральні критерії» містять положення, що стосуються тільки окремих продуктів IT, а саме - власних засобів забезпечення безпеки ІТ-продуктів, тобто механізмів захисту, вбудованих безпосередньо в ці продукти у вигляді відповідних програмних, апаратних чи спеціальних засобів. Для підвищення ефективності їх роботи можуть використовуватися зовнішні системи захисту і засоби забезпечення безпеки, до яких належать як технічні засоби, так і організаційні заходи, правові і юридичні норми. У кінцевому підсумку безпека ІТ-продукту визначається сукупністю власних засобів забезпечення безпеки і зовнішніх засобів, що є частиною середовища експлуатації.
Ключовим поняттям «Федеральних критеріїв» є поняття профілю захисту - нормативного документа, що регламентує всі аспекти безпеки ІТ-продукту у вигляді вимог до його проектування, технології розробки і кваліфікаційного аналізу.
«Федеральні критерії» представляють процес розробки інформації у вигляді трьох основних етапів:
Розробка й аналіз профілю захисту. Вимоги, викладені в профілі захисту, визначають функціональні можливості ІТ-продукту із забезпечення безпеки. Профіль безпеки аналізується на повноту, несуперечність і технічну коректність.
Розробка і кваліфікаційний аналіз ІТ-продукту.
Компонування і сертифікація системи обробки інформації в цілому.
«Федеральні критерії» регламентують тільки перший етап цієї схеми - розробку й аналіз профілю захисту, наступні етапи залишаються поза рамками цього стандарту.
«Федеральні критерії» є першим стандартом ІБ, у якому визначаються три незалежні групи вимог: функціональні вимоги до засобів захисту, вимоги до технології розробки і до процесу кваліфікаційного аналізу. Вперше запропоновано концепцію профілю захисту, що містить опис усіх вимог безпеки як до самого ІТ-продукту, так і до процесу його проектування, розробки, тестування і кваліфікаційного аналізу. В документі не використовувався єдиний підхід до оцінки рівня безпеки ІТ-продукту, а запропоновано незалежне ранжування вимог кожної групи.
«Канадські критерії безпеки комп'ютерних систем» (Canadian Trusted Computer Product Evaluation Criteria) були розроблені в Центрі безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) для використання як національного стандарту безпеки комп'ютерних систем. Першу версію стандарту було опубліковано в 1992 р.
При розробці «Канадських критеріїв» ставилися такі цілі:
Запропонувати єдину шкалу критеріїв оцінки безпеки КС для порівняння систем за ступенем забезпечення безпеки.
Створити основу для розробки специфікацій безпечних КС, яка могла б використовуватися розробниками при проектуванні систем як керівництво.
Запропонувати уніфікований підхід і стандартні засоби для опису характеристик безпечних КС.
Базовим поняттям стандарту є об'єкт, що може перебувати в трьох станах: об'єкт-користувач, об'єкт-процес, пасивний об'єкт.
Функціональні критерії розділяються на чотири групи: критерії конфіденційності, цілісності, працездатності й аудита. Кожна з цих груп (крім аудита) відбиває функціональні можливості системи відображати відповідний клас загроз. У кожній групі критеріїв визначено рівні безпеки, що відбивають можливості засобів захисту щодо вирішення завдань даного розділу. Ранжування за рівнями здійснюється на підставі потужності використовуваних методів захисту і класу відбиваних загроз. Рівні з великим номером забезпечують більш високий ступінь безпеки.
Адекватність реалізації визначається тим, наскільки точно і послідовно засоби, що забезпечують захист, реалізують прийняту в системі політику безпеки. Критерії адекватності відбивають рівень коректності реалізації політики безпеки й охоплюють усі стадії проектування, розробки й експлуатації комп'ютерної системи.
У такий спосіб «Канадські критерії» визначають ступінь безпеки комп'ютерної системи як сукупність функціональних можливостей використовуваних засобів захисту, що характеризується окремими показниками забезпечуваного рівня безпеки й одного узагальненого параметра - рівня адекватності реалізації політики безпеки.
«Канадські критерії» були першим стандартом ІБ, у якому на рівні структури документа функціональні вимоги до засобів захисту відділені від вимог адекватності і якості реалізації політики безпеки. Вперше багато уваги приділяється взаємній відповідності і взаємодії всіх систем забезпечення безпеки. Прогресивними також є вимоги доведення коректності реалізації функціональних вимог і їх формальної відповідності політиці і моделі безпеки.
«Єдині критерії безпеки інформаційних технологій» (Common Criteria for Information Technology Security Evaluation) є результатом спільних зусиль авторів європейських «Критеріїв безпеки інформаційних технологій», «Федеральних критеріїв безпеки інформаційних технологій» і «Канадських критеріїв безпеки комп'ютерних систем», спрямованих на об'єднання основних положень цих документів і створення єдиного міжнародного стандарту безпеки інформаційних технологій. Робота над цим наймасштабнішим в історії стандартів інформаційної безпеки проектом почалася в червні 1993 року з метою подолання концептуальних і технічних розбіжностей між указаними документами, їх узгодження і створення єдиного міжнародного стандарту. Перша версія «Єдиних критеріїв» була опублікована в січні 1996 р. Розробниками документа виступили США, Велика Британія, Канада, Франція і Нідерланди. Розробка цього стандарту мала такі основні цілі:
уніфікація національних стандартів у сфері оцінки безпеки IT;
підвищення рівня довіри до оцінки безпеки IT;
скорочення витрат на оцінку безпеки ІТ на основі взаємного визнання сертифікатів.
Нові критерії були покликані забезпечити взаємне визнання результатів стандартизованої оцінки безпеки на світовому ринку IT.
Розробка версії 1.0 критеріїв була завершена в січні 1996 року і схвалена ISO (Міжнародна організація зі стандартизації) у квітні 1996 року. Був проведений ряд експериментальних оцінок на основі версії 1.0, а також організоване широке обговорення документа.
У травні 1998 року була опублікована версія 2.0 документа і на її основі в червні 1999 року був прийнятий міжнародний стандарт ІСО/МЕК 15408. Офіційний текст стандарту видано 1 грудня 1999 року. Зміни, внесені в стандарт на завершальній стадії його прийняття, враховані у версії 2.1, ідентичній початковій основі.
Єдині критерії узагальнили зміст і досвід використання «Оранжевої книги», розвинули рівні гарантованості європейських критеріїв, втілили в реальні структури концепцію профілів захисту «Федеральних критеріїв США».
У єдиних критеріях здійснено класифікацію широкого набору функціональних вимог і вимог довіри до безпеки, визначено структури їх групування і принципи цільового використання.
Основними відмітними рисами стандарту є:
1. Насамперед, стандарт - це певна методологія і система формування вимог і оцінки безпеки IT. Системність простежується
починаючи від термінології і рівнів абстракції висування вимог і закінчуючи їх використанням при оцінці безпеки на всіх етапах життєвого циклу виробів IT.
Єдині критерії характеризуються найповнішою на сьогоднішній день сукупністю вимог до безпеки IT.
У єдиних критеріях проведено чіткий поділ вимог безпеки на функціональні вимоги і вимоги довіри до безпеки. Функціональні вимоги стосуються сервісів безпеки (ідентифікації, автентифікації, керування доступом, аудита і т. д.), а вимоги довіри -технології розробки, тестування, аналізу вразливостей, експлуатаційної документації, постачання, супроводу, тобто всіх етапів життєвого циклу виробів IT.
Єдині критерії включають шкалу довіри до безпеки (оцінні рівні довіри до безпеки), що може використовуватися для формування різних рівнів впевненості в безпеці продуктів IT.
Систематизація і класифікація вимог за ієрархією «клас»-«сімей-ство»-«компоненти»-«елемент» з унікальними ідентифікаторами вимог забезпечує зручність їх використання.
Компоненти вимог у сімействах і класах ранжовані за ступенем повноти і жорсткості, а також згруповані в пакети вимог.
Гнучкість у підході до формування вимог безпеки для різних типів виробів IT і умов їх застосування забезпечується можливістю цілеспрямованого формування необхідних наборів вимог у вигляді певних стандартизованих структур (профілів захисту і завдань безпеки).
Єдині критерії є відкритими для наступного нарощування сукупності вимог.
Як показують оцінки фахівців у сфері інформаційної безпеки, за рівнем систематизації, повноти і можливості деталізації вимог, універсальності і гнучкості в застосуванні стандарт являє собою найбільш розроблений із існуючих у даний час стандартів. Причому, що дуже важливо, внаслідок особливостей побудови він має практично необмежені можливості для розвитку, являє собою не функціональний стандарт, а методологію завдання, оцінки і каталог вимог безпеки IT, що може нарощуватися й уточнюватися.
Основними документами, що описують усі аспекти безпеки ІТ-продукту з погляду користувачів і розробників, є відповідно профіль захисту і проект захисту.
Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів і не уточнює методів і засобів їх реалізації. Це дуже докладний документ, що містить такі розділи: вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, додаткові відомості, обґрунтування завдань захисту і вимог безпеки.
Проект захисту містить вимоги і завдання ІТ-продукту, а також описує рівень функціональних можливостей реалізованих у ньому
засобів захисту, їх обґрунтування і підтвердження ступеня їхньої адекватності. Проект захисту, з одного боку, є точкою відліку для розробника системи, а з іншого - являє собою еталон системи в ході кваліфікаційного аналізу. Документ містить такі розділи: вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, загальні специфікації ІТ-продукту, заявка на відповідність профілю захисту, обгрунтування.
Профіль і проект захисту вичерпно регламентують взаємодію споживачів, виробників і експертів із кваліфікації в процесі створення ІТ-продукту. Фактично ці документи визначають технологію розробки захищених систем. Найважливішим елементом цієї технології є вимоги безпеки.
«Єдині критерії» розділяють вимоги безпеки на дві категорії: функціональні вимоги і вимоги адекватності.
Функціональні вимоги регламентують функціонування компонентів ІТ-продукту, що забезпечують безпеку, і визначають можливості засобів захисту. Функціональні вимоги представляються у вигляді складної, але добре опрацьованої формальної ієрархічної структури, що складається з класів, розбитих на розділи.
Адекватність являє собою характеристику ІТ-продукту, що показує, наскільки ефективно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту. Вимоги адекватності жорстко структуровані і регламентують усі етапи проектування, створення й експлуатації ІТ-продукту з погляду надійності роботи засобів захисту і їхньої адекватності функціональним вимогам, завданням захисту і загрозам безпеки. Є сім стандартних рівнів адекватності, причому рівень вимог адекватності зростає від першого рівня до сьомого. Кожен рівень характеризується набором вимог адекватності, що регламентують застосування різних методів і технологій розробки, тестування, контролю і верифікації ІТ-продукту:
Рівень 1. Функціональне тестування.
Рівень 2. Структурне тестування.
Рівень 3. Методичне тестування і перевірка.
Рівень 4. Методична розробка, тестування й аналіз.
Рівень 5. Напівформальні методи розробки і тестування.
Рівень 6. Напівформальні методи верифікації розробки і тестування.
Рівень 7. Формальні методи верифікації розробки і тестування.
Таким чином, вимоги «Єдиних критеріїв» охоплюють практично всі аспекти безпеки ІТ-продуктів і технології їх створення, а також містять усі вихідні матеріали, необхідні споживачам і розробникам для формування профілів і проектів захисту. Крім того, стандарт є практично всеосяжною енциклопедією інформаційної безпеки, тому може використовуватися як довідник з безпеки інформаційних технологій.
Цей стандарт ознаменував собою новий рівень стандартизації інформаційних технологій, піднявши його на міждержавний рівень. За цим
уже бачиться реальна перспектива створення єдиного безпечного інформаційного простору, у якому сертифікація систем безпеки обробки інформації буде здійснюватися на глобальному рівні, що надасть можливості для інтеграції національних інформаційних систем, а це, у свою чергу, відкриє зовсім нові сфери застосування інформаційних технологій.
9.3. Державний стандарт (Критерії) України із ЗІ
У 1997 р. Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України була розроблена перша версія системи нормативних документів із технічного захисту інформації в комп'ютерних системах від НСД. Ця система включає чотири документи:
Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.
Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Розглянемо більш детально кожен з наведених документів.
Нормативний документ технічного захисту інформації (НД ТЗІ) «Загальні положення...» визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, що регламентують питання:
визначення вимог щодо захисту КС від несанкціонованого доступу;
створення захищених КС і засобш їх захисту від несанкціонованого доступу;
оцінки захищеності КС і їх придатності для вирішення завдань споживача.
Документ призначено для постачальників (розробників), споживачів (замовників, користувачів) КС, які використовуються для обробки (у тому числі збирання, збереження, передачі і т. п.) критичної інформації (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.
Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб являють собою певну цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю сутністю впливів, які можуть призвести до зниження цінності інформаційних ресурсів.
Захист інформації, що обробляється в АС, полягає у створенні і підтримці в дієздатному стані системи заходів, як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що запобігають або ускладнюють можливість реалізації загроз, а також знижують потенційні збитки. Інакше кажучи, захист інформації спрямовано на забезпечення безпеки оброблюваної інформації й АС у цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації й АС, що її обробляє. Система зазначених заходів, що забезпечує захист інформації в АС, називається комплексною системою захисту інформації (КСЗІ).
Істотна частина проблем забезпечення захисту інформації в АС може бути вирішена організаційними заходами. Проте з розвитком інформаційних технологій спостерігається тенденція зростання потреби застосування технічних заходів і засобів захисту.
АС являє собою організаційно-технічну систему, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію. Прийнято розрізняти два основні напрями ТЗІ в АС - це захист АС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень).
Цей документ і комплект НД, що базується на ньому, присвячений питанням організації захисту від НСД і побудови засобів захисту від НСД, що функціонують у складі обчислювальної системи АС. Організаційні і фізичні заходи захисту, включаючи захист від фізичного НСД до компонентів ОС, як і захист від витоку технічними каналами, не є предметом розгляду. Незважаючи на це, при викладі увага приділяється також і деяким нетехнічним аспектам, але тільки там, де це впливає на оцінку технічної захищеності.
З точки зору методології в проблемі захисту інформації від НСД слід виділити два напрями:
забезпечення й оцінка захищеності інформації в АС;
реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки та ін.), поза конкретним середовищем експлуатації.
Кінцевою метою всіх заходів щодо захисту інформації є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних етапах обробки інформації й в усіх режимах функціонування. Життєвий цикл АС включає розробку, впровадження, експлуатацію та виведення з експлуатації.
У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить
державну таємницю), то для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої КСЗІ встановленим нормам.
Якщо порядок обробки і захисту інформації не регламентується законодавством, експертиза може виконуватись у необов'язковому порядку за поданням замовника (власника АС або інформації).
У процесі експертизи оцінюється КСЗІ АС у цілому. У тому числі виконується й оцінка реалізованих у КС засобів захисту. Засоби захисту від НСД, реалізовані в комп'ютерній системі, слід розглядати як підсистему захисту від НСД у складі КСЗІ. Характеристики фізичного середовища, персоналу, оброблюваної інформації, організаційної підсистеми істотно впливають на вимоги до функцій захисту, що реалізуються КС.
Обчислювальна система автоматизованої системи являє собою сукупність апаратних засобів, програмних засобів (у тому числі програм ПЗП), призначених для обробки інформації. Кожний з компонентів ОС може розроблятись і надходити на ринок як незалежний продукт. Кожний з цих компонентів може реалізовувати певні функції захисту інформації, оцінка ...