2589

15. ГОСУДАРСТВЕННЫЙ СТАНДАРТ ГОСТ Р ИСО/МЭК 15/408 "КРИТЕРИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ"

Ситуация на рынке информационных технологий сегодня на рынке сложилась так что практически 90% их является разработками иностранных фирм. При этом программные продукты включают средства и системы защиты, соответствующие требованиям иностранных фирм. Отказ от использования этой продукции по причине недоверия нанес бы значительный ущерб экономике страны, ее промышленности, финансовой сфере и т.д. из-за значительного отставания развития отечественных информационных технологий от мирового уровня. Решение проблемы возможно тремя путями:

1)необходимо договориться о признании зарубежных стандартов и сертификатов внутри страны;

2)разработать свои стандарты, гармонизированные

смеждународными стандартами;

3)обеспечить требуемый уровень доверия в средствам и системам защиты за счет должной модификации действующих стандартов.

В зависимости от области применения информационных технологий приемлем тот или иной из указанных путей, однако во всех случаях согласованная нормативная база критериев оценки эффективности защиты информации. Разработка такой базы началась еще в начале 90-х годов и завершилась в мае 1998 г. специалистами и организациями целого ряда стран (США, Канады, Великобритании, Германии, Нидерландов, и Франции) и принята в 1999 г. Международным комитетом по стандартизации в качестве международного стандарта ИСО/ МЭК 15408-99 "Информационные технологии. Методы и средства обеспече-

280

ния безопасности. Критерии", версия 2.1 (в подобного рода документах принята следующая спецификация: для обозначения самой организации, то есть международного комитета по стандартизации, пишут МОС, при ссылках на оригинал документа этой организации пишут – ISO, при ссылках на переводы пишут ИСО). Этот документ получил в обиходе краткое наименование "Общие критерии" (ОК). ОК представляют собой метастандарт, который устанавливает единый состав и структуру функций безопасности и требований по обоснованию гарантий безопасности (требований уверенности, требований адекватности – в последних переводах). Этот стандарт на основе аутентичного перевода принят сегодня как национальный стандарт ГОСТ Р 15408-2002.

Этот документ разработан на основе достижений многочисленных исследований в области безопасности информационных технологий 90-х годов и на результатах анализа опыта применения положенных в его основу стандартов: так называемой "Оранжевой книги", "Федеральных критериев", "Канадских критериев" и др. ОК оперируют с предложенным в Федеральных критериях понятиями – продукт информационной технологии и профиль защиты.

ОК разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов: производителей и потребителей продуктов информационных технологий, а также экспертов по квалификации уровня их безопасности. Потребители рассматривают квалификацию уровня безопасности ИТ-продукта как метод определения соответствия ИТ-продукта их запросам. Обычно эти запросы составляются на основе результатов проведенного анализа рисков и выбранной политики безопасности. ОК играют существенную роль, влияют на формирование этих запросов, так как содержат механизмы, позволяющие сформу-

281

лировать эти запросы в виде стандартизованных требований. Это позволяет потребителям принять обоснованное решение о возможности использования тех или иных продуктов. Кроме того, ОК предоставляют потребителям механизм Профилей защиты, с помощью которых они могут выразить специфические для них требования, не заботясь о механизмах их реализации.

Производителям этот документ дает возможность на основании анализа запросов потребителей определить набор требований, которым должен удовлетворять разрабатываемый ими продукт. Производители используют предлагаемую ОК технологию для обоснования своих претензий на то, что поставляемый ими ИТ-продукт успешно противостоит угрозам безопасности, на основании того, что он удовлетворяет выдвинутым функциональным требованиям и их реализации осуществлена с достаточным уровнем адекватности (гарантии). Для осуществления этой технологии ОК предлагают производителям специальный механизм, названный Проект защиты, дополняющий Профиль защиты и позволяющий соединить описание требований, на которые ориентировался разработчик, и спецификации механизмов реализации этих требований.

Кроме того, производители могут использовать ОК для определения границ своей ответственности, а также условий, которые необходимо выполнить для успешного прохождения квалификационного анализа и сертификации созданного ими продукта.

Наконец, эксперты по квалификации используют этот документ в качестве основных критериев определения соответствия средств защиты ИТ-продукта требованиям, предъявляемым к нему потребителями, и угрозам, действующим в среде его эксплуатации. ОК описывают только общую схему проведения квалификационного анализа и

282

сертификации, но не регламентируют процедуру их осуществления. Вопросам методологии квалификационного анализа и сертификации посвящен отдельный документ - "Общая методология оценки безопасности информационных технологий", выпущенный национальным институтом стандартизации и технологий и агентством национальной безопасности США, а также аналогичными организациями Великобритании, Канады, Франции, германии и Нидер-

ландов (Common Evaluation Methodology for Information Technology Security).

Причинно-следственные связи, установленные между базовыми понятиями ОК приведены на рис.1. Потребители ИТпродуктов озабочены наличием угроз безопасности информации, приводящих к определенным рискам для обрабатываемой информации. Для противодействия этим угрозам ИТ-продукты должны включать в свой состав средства защиты, противодействующие этим угрозам, и направленные на устранение уязвимостей, однако ошибки в средствах защиты в свою очередь могут приводить к появлению уязвимостей. Сертификация средств защиты позволяет подтвердить их адекватность угрозам и рискам.

Необходимо подчеркнуть, что ОК предлагают достаточно сложную и бюрократическую концепцию процесса разработки и квалификационного анализа ИТ-продукта, требующая от потребителей и производителей огромного количества работы по составлению и оформлению весьма объемных и подробных нормативных документов. Коротко рассмотрим основные положения и разделы ОК. Но сначала введем несколько базовых понятий.

Задача защиты – базовое понятие ОК, выражающее потребность потребителей ИТ-продукта в противостоянии

283

заданному множеству угроз или в необходимости реализации заданной политики безопасности.

Профиль защиты – специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований гарантии (уверенности, адекватности) и их обоснования.

Проект защиты – специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований уверенности (адекватности, гарантий), общих спецификаций средств защиты и их обоснования.

ОК определяют множество типовых требований, которые в совокупности с механизмом Профилей защиты позволяет потребителям создавать частные наборы требований, отвечающие их нуждам. Разработчики могут использовать Профиль защиты как основу для создания спецификаций своих продуктов. Профиль защиты и спецификации средств защиты составляют Проект защиты, который и представляет ИТ-продукт в ходе квалификационного анализа. Для проведения квалификационного анализа разработчик продукта должен представить следующие материалы:

-Профиль защиты, описывающий назначение ИТпродукта и характеризующий среду его эксплуатации, а также устанавливающий задачи защиты и требования, которым должен отвечать продукт;

-Проект защиты, включающий спецификации средств защиты, а также обоснование соответствия ИТпродукта задачам защиты из Профиля защиты и указанным

внем требованиям "Общих критериев";

-различные обоснования и подтверждения свойств и возможностей ИТ-продукта, полученные разработчиком;

-сам ИТ-продукт;

284

- дополнительные сведения, полученные путем проведения различных независимых экспертиз.

Процесс квалификационного анализа включает три стадии:

1.Анализ Профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности использования в качестве набора требований для анализируемого продукта.

2.Анализ Проекта защиты на предмет его соответствия требованиям Профиля защиты, а также полноты, непротиворечивости, реализуемости и возможности использования в качестве эталона при анализе ИТ-продукта;

3.Анализ ИТ-продукта на предмет соответствия Проекту защиты.

Результатом квалификационного анализа является заключение о том, что проанализированный ИТ-продукт соответствует представленному Проекту защиты.

Рассмотрим структуру Профиля защиты (рис.31). Введение одержит информацию, необходимую для

поиска Профиля защиты в библиотеке профилей и включает в себя идентификатор профиля (уникальное имя Профиля для его поиска и ссылок на него) и обзор содержаниякраткую аннотацию, позволяющую сделать вывод о соответствии данного Профиля запросам потребителя.

Описание ИТ-продукта содержит его краткую характеристику, функциональное назначение, принципы работы, методы использования и т.д. Эта информация не подлежит анализу и сертификации, но представляется экспертам для пояснения работы ИТ-продукта.

285

продукта, а также необходимость проведения анализа слабых мест защиты.

Следует подчеркнуть, что собственно нормативной базы с требованиям по защите различных информационных систем, как это имеет место в руководящих документах Гостехкомиссии России, "Общие критерии" не содержат. В них также не отражены вопросы защиты информации от утечки по техническим каналам, криптографической защиты и защиты от электромагнитных воздействий. Нет в них и методического обеспечения количественной оценки эффективности защиты.

Во второй части приводится каталог функциональных компонентов для задания в стандартизованном виде функциональных требований для информационных продуктов и систем. Набор функциональных компонентов систематизирован в виде описательных семейств и классов. Эти компоненты должны использоваться для формирования функциональных требований. Всего в "Общих критериях" имеется 11 функциональных классов (табл.15):

1.Аудит безопасности. Аудирование безопасности включает в себя распознавание, регистрацию, хранение и анализ информации, относящейся к системе безопасности.

2.Связь. Обеспечивает гарантию, что передающий информацию не сможет отказаться от посланного сообщения, а принимающий – от его получения.

3.Криптографическая поддержка. Класс содержит семейства, определяющие требования по управлению криптографическими ключами и операциями.

4.Защита данных пользователя. Класс содержит семейства, определяющие требования к функциям безопасности системы и политикам безопасности, относящимся к защите данных пользователя.

288

5.Идентификация и аутентификация. Требования данного класса имеют дело с определением и верификацией подлинности пользователей, определением их полномочий взаимодействовать с системой, а также с правильной привязкой атрибутов безопасности с каждым пользователем.

6.Управление безопасностью. Класс содержит семейства, определяющие требования по управлению атрибутами и данными функциями безопасности, а также по управлению ролями безопасности.

7.Секретность или конфиденциальность работы в системе. Реализация требований данного класса обеспечит защиту подлинности пользователя от раскрытия личности

излоупотреблений его полномочиями другими пользователями.

8.Защита функций безопасности объекта оценки или надежность средств защиты. Содержит семейства функциональных требований, которые относятся к целостности и управлению механизмами, обеспечивающими функции безопасности.

9.Контроль за использованием ресурсов. Класс обеспечивает требования, которые поддерживают доступность требуемых ресурсов, а также обеспечивают защиту в случае блокировки функциональных возможностей, вызванных отказами системы.

10.Контроль доступа к системе. Класс определяет функциональные требования по идентификации и аутентификации для контроля над установленным сеансом пользователя.

11.Прямое взаимодействие или надежный путь/ канал. Класс обеспечивает требования: - для надежного коммуникационного пути между пользователем и функциями

289