Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)

В России Центром безопасности информации (ЦБИ), Центром «Атомзащитаинформ», ЦНИИАТОМИНФОРМ, ВНИИстандарт при участии экспертов Международной рабочей группы по «Общим критериям» был подготовлен проект ГОСТ Р ИСО/МЭК 15408, содержащий полный аутентичный текст международного стандарта. Стандарт ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» принят постановлением Госстандарта России от 4 апреля 2002 г. ¹ 133-ст с датой введения в действие 1 января 2004 г.

Для практической апробации «Общих критериев» и нормативно-ме- тодических документов, разработанных в их поддержку, до ввода в действие ГОСТ Р ИСО/МЭК 15408 принят и введен в действие с 19 июня 2002 г. руководящий документ Гостехкомиссии России, полностью соответствующий указанному ГОСТу.

3.4.2. Назначение стандарта

Назначение стандарта определяется следующими положениями:

1.Стандарт определяет критерии, которые предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем информационных технологий.

2.«Общие критерии» используются в качестве руководства как при разработке продуктов или систем информационных технологий с функциями безопасности, так и при приобретении продуктов и систем информационных технологий.

3.«Общие критерии» направлены на защиту информации от несанкционированного раскрытия, модификации или потери возможности ее использования, то есть на обеспечение таких категорий защиты информации, как конфиденциальность, целостность и доступность.

4.Стандарт направлен на угрозы, возникающие в результате действий человека, но применим и для некоторых угроз, не связанных с человеческим фактором.

5.Стандарт применим к мерам безопасности информационных технологий, реализуемым аппаратными, программно-аппаратными и программными средствами

Вне области действия «Общих критериев» лежат следующие вопросы:

1.«Общие критерии» не содержат критериев оценки безопасности, касающихся административных мер безопасности, непосредственно не относящихся к мерам безопасности информационных технологий.

101

2.В стандарте прямо не затрагивается оценка специальных физи- ческих аспектов безопасности информационных технологий, например контроля электромагнитных излучений.

3.В стандарте не рассматриваются методология оценки, админист- ративно-правовая структура, в которой проводится оценка, однако предполагается, что такие методология и структура должны существовать.

4.Вне области действия «Общих критериев» лежит процедура использования результатов оценки при аттестации продуктов и систем информационных технологий.

5.В стандарт не включены критерии для оценки специфических качеств криптоалгоритмов.

В качестве лиц, для которых предназначается стандарт, выделяют следующие категории. Потребители информационных технологий

могут использовать «Общие критерии» для методической поддержки выбора требований безопасности информационных технологий. Разработчики — для подготовки разрабатываемых систем к оценке. Оценщики могут использовать «Общие критерии» при оценке информационных продуктов и систем.

3.4.3. Структура стандарта

Документ «Общие критерии» состоит из трех частей.

Часть 1. «Введение и общая модель». Содержит определения понятий, используемых стандартом, и устанавливает общие положения стандарта.

Часть 2. «Функциональные требования безопасности». Представляет собой каталог всех функциональных компонентов информационных продуктов и систем.

Часть 3. «Требования доверия к безопасности». Содержит критерии оценки профилей защиты и заданий по безопасности, оценочные уровни доверия.

3.4.4. Понятия стандарта и их взаимосвязь

Основные понятия стандарта подразделяются на две группы: понятия безопасности, относящиеся непосредственно к информационной безопасности, и понятия оценки, касающиеся процедур оценки

безопасности информационных технологий.

Понятия безопасности

Центральным понятием «Общих критериев» является объект оценки (ОО), который определяется как подлежащий оценке продукт ИТ или система ИТ с руководствами администратора и пользователя.

102

Продукт ИТ — это совокупность программных, программно-ап- паратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности как для непосредственного использования, так и для включения в системы ИТ.

Система ИТ — конкретная реализация информационной технологии с определенным назначением и условиями эксплуатации, предназначенная для решения задач автоматизации в определенной области применения.

С понятием объекта оценки непосредственно связаны понятия функции безопасности и функций безопасности объекта оценки.

Функция безопасности (ФБ) — это часть или части объекта оценки, обеспечивающие выполнение подмножества взаимосвязанных правил политики безопасности объекта оценки. В российских нормативных документах для аналогичного понятия используют термин средство защиты.

Функции безопасности объекта оценки (ФБО) — это совокупность всех аппаратных, программных и программно-аппаратных средств объекта оценки, обеспечивающих адекватное осуществление политики безопасности объекта оценки. В российской терминологии этому понятию соответствует термин комплекс средств защиты.

Ðèñ. 3.2. Понятия безопасности «Общих критериев» и их взаимосвязь

103

Политикой безопасности объекта оценки (ОО) называется совокупность правил, регулирующих управление активами, их защиту и распределение в пределах объекта оценки.

Также стандарт использует понятие политики безопасности организации — одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

Безопасность информационных технологий «Общие критерии» рассматривают с точки зрения предотвращения и уменьшения опасностей нежелательного распространения, изменения или потери информации. Взаимосвязь понятий безопасности ИТ представляет собой так называемую «общую модель» «Общих критериев» (ОК), она приведена на рис. 3.2.

Дадим определения основных понятий безопасности, которые используются в общей модели ОК.

Активы — информация или ресурсы, подлежащие защите контрмерами объекта оценки.

Владельцы — лица, организации, для которых активы имеют ценность.

Источники угроз (нарушители) — лица, организации, стремящиеся вопреки интересам владельцев нанести ущерб активам путем несанкционированного раскрытия, модификации, лишения доступа к активам.

Угрозы — потенциально возможные негативные воздействия на объект оценки.

Уязвимости — точки воздействия угроз.

Ðèñê — возможность нанесения ущерба в результате реализации угрозы.

Контрмеры — меры, осуществляемые для уменьшения уязви-

мостей.

Понятия оценки

В виде аналогичной модели представляются понятия, используемые при оценке объекта (рис. 3.3).

Поясним некоторые определения рис. 3.3, которые не были даны ранее.

Доверием называется основание для уверенности в том, что сущность отвечает своим целям безопасности. В свою очередь, целью безопасности называется изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям.

104

Ðèñ. 3.3. Понятия оценки «Общих критериев» и их взаимосвязь

3.4.5. Подход стандарта к информационной безопасности

Основным принципом «Общих критериев» является предположение о том, что уверенность в безопасности ИТ может быть достигнута в результате действий, которые могут быть предприняты в процессе разработки, оценки и эксплуатации ОО.

Оценка может проводиться как параллельно с разработкой ОО, так и следом за ней в соответствии с этапами, изображенными на рис. 3.4. Кроме того, в процессе эксплуатации ОО могут проявиться не обнаруженные до этого ошибки и уязвимости. Также может измениться среда функционирования ОО. Вследствие этого может потребоваться внесение разработчиками исправлений в ОО или переопределение требований безопасности, что приведет к необходимости переоценки ОО, которая также проводится по схеме, представленной на рис. 3.4.

105

Ðèñ. 3.4. Этапы оценки

В соответствии со схемой рис. 3.4 исходными материалами для оценки являются:

—свидетельства, характеризующие ОО в качестве основы оцен-

êè ÎÎ;

—ОО, безопасность которого необходимо оценить;

—критерии, методология и система оценки.

Результатом оценки является подтверждение удовлетворения объектом оценки требований безопасности.

Обозначенная на схеме пунктиром обратная связь означает возможность проведения переоценки ОО на любом этапе.

3.4.6. Последовательное формирование требований и спецификаций

В соответствии со стандартом «Общие критерии» требования безопасности объекта оценки формируются в четыре этапа. Общая схема формирования требований приведена на рис. 3.5.

Первый этап называется «Описание среды безопасности». Среда безопасности является исходной информацией для формирования требований безопасности ОО. Среда безопасности описывает контекст возможного применения ОО, и при ее описании должны учитываться:

106

Ðèñ. 3.5. Формирование требований к безопасности объекта оценки

107

1)физическая среда — все аспекты внешней среды ОО, касающиеся его безопасности (например, условия физического расположения ОО и условия, относящиеся к персоналу);

2)активы, нуждающиеся в защите — информация и ресурсы,

подлежащие защите контрмерами ОО;

3)назначение ОО — тип продукта ИТ или системы ИТ и сфера их применения.

Установление среды безопасности должно завершаться описанием следующих ее параметров:

1)предположения, которым бы удовлетворяла среда ОО, чтобы

ÎÎсчитался безопасным;

2)угрозы безопасности, которые могут быть реализованы по отношению к ОО. Модель угроз должна содержать: источник угрозы; способ реализации угрозы; уязвимости ОО, которые могут использоваться для реализации угрозы; активы, подверженные воздействию угрозы;

3)политика безопасности организации — меры и правила,

обеспечивающие защиту ОО.

Íà втором этапе формирования требований к безопасности ОО устанавливаются цели безопасности, направленные на противодействие выявленным угрозам и соответствующие выработанной политике безопасности.

Íà третьем этапе вырабатываются требования безопасности. Они представляют собой результат преобразования целей безопасности в совокупность требований безопасности для ОО и требований безопасности для его среды, которые обеспечивали бы соответствие ОО установленным для него целям безопасности. В качестве исходных данных на этом этапе используется каталог требований ОК.

Требования безопасности включают два вида требований:

1.Функциональные требования — требования к тем функциям ОО, которые непосредственно предназначены для обеспечения безопасности ОО. Каталог функциональных требований содержится в ча- сти 2 «Общих критериев».

2.Требования доверия к безопасности, выполнение которых

дает основание для уверенности в том, что ОО обеспечивает достижение поставленных перед ним целей безопасности. Требования доверия включают в себя требования к действиям разработчика ОО, к предоставлению соответствующих свидетельств обеспечения безопасности, к действиям при оценке ОО. Каталог требований доверия к безопасности содержится в части 3 «Общих критериев».

108

Íà четвертом этапе формирования требований к безопасности ОО устанавливается краткая спецификация ОО, в которой определяются функции и меры, обеспечивающие выполнение требований к безопасности.

3.4.7. Представление требований к безопасности

После того как требования к безопасности (ТБ) ОО сформированы, в соответствии со стандартом, они должны быть представлены в виде пакета, профиля защиты и задания по безопасности.

Пакет представляет собой промежуточную комбинацию компонентов ТБ, которые удовлетворяют определенному подмножеству целей безопасности. Пакет предназначен для неоднократного использования и содержит требования, для которых установлено, что они являются пригодными и эффективными для достижения определенных целей.

Профиль защиты (ПЗ) — это типовой набор ТБ, обязательно включающий оценочный уровень доверия, которому должна удовлетворять совокупность ОО, соответствующих определенным целям безопасности. Профиль защиты также предназначен для неоднократного использования.

Ðèñ. 3.6. Представление требований безопасности объекта оценки

109

Задание по безопасности (ЗБ) — совокупность требований для конкретного ОО, которые обеспечивают достижение установленных целей безопасности. ЗБ представляет собой набор требований безопасности, которые могут быть определены ссылкой на ПЗ, ссылкой на отдельные требования «Общих критериев» или содержать требования в явном виде. Кроме требований безопасности, в ЗБ включается краткая спецификация ОО.

Последовательность представления требований к безопасности приведена на рис. 3.6.

3.4.8. Структура требований безопасности и требований доверия

Функциональные требования безопасности ОО (часть 2 «Общих критериев») и требования доверия к безопасности ОО (часть 3 «Общих критериев») организованы в соответствии с иерархией: класс — семейство — компонент (рис. 3.7).

Класс применяется для наиболее общего группирования требований. Все составляющие класса имеют общую направленность, но раз-

110