Огляд стандартів з захисту інформації Критерії безпеки комп'ютерних систем міністерства оборони США («Trusted Computer Sytem Evaluation Criteria»), що отримали назву «Оранжева книга» (за кольором обкладинки), були розроблені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які пред'являються до апаратного, програмного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення.
У цьому документі були вперше нормативно визначені такі поняття, як «політика безпеки», ТСВ і т.д. Відповідно до «Оранжевої книги» безпечна КС – це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що авторизовані відповідним чином користувачі або процеси, що діють від їх імені, отримують можливість читати, писати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.
У «Оранжевій книзі» запропоновано три категорії вимог щодо безпеки – політика безпеки, аудит та коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, два інших – на якість самих засобів захисту:
· політика безпеки; вимога 1 (політика безпеки) – система має підтримувати точно визначену політику безпеки, можливість доступу до об'єктів повинна визначатися на основі їх ідентифікації і набору правил керування доступом; вимога 2 (мітки) – кожен об'єкт повинний мати мітку, яка використовується в якості атрибуту контролю доступу;
· аудит; вимога 3 (ідентифікація та автентифікація) – всі суб'єкти повинні мати унікальні ідентифікатори, контроль доступу здійснюється на основі ідентифікації та автентифікації суб'єкта й об'єкта доступу; вимога 4 (реєстрація й облік) – всі події, що мають відношення до безпеки, мають відстежуватися і реєструватися в захищеному протоколі;
· коректність; вимога 5 (контроль коректності функціонування засобів захисту) – засоби захисту знаходяться під контролем засобів перевірки коректності, засоби захисту незалежні від засобів контролю коректності; вимога 6 (безперервність захисту) – захист повинний бути постійним і безперервним в будь-якому режимі функціонування системи захисту і всієї системи в цілому.
Запропоновано також чотири групи критеріїв рівня захищеності. Мінімальний захист (група D), містить один клас (D); дискреційний захист (група С), містить два класи (С1, С2); мандатний захист (група В), містить три класи (В1, В2, В3); верифікований захист (група А), містить один клас (А). Усі групи і класи в них характеризуються зростаючим вимогами безпеки для системи захисту.
У подальшому виявилося, що ряд положень документа застарів і він був розвинутий (було створено більш чотирьох десятків допоміжних документів – «Райдужна серія»). Значення «Оранжевої книги» важко переоцінити – це була перша спроба, фактично прорив, створення єдиного стандарту безпеки і це був справжній прорив в області безпеки інформаційних технологій. Цей документ став відправною точкою для подальших досліджень і розробок. Основною його відмінністю є орієнтація на системи військового застосування, причому в основному на ОС.
Історично другими були розроблені «Критерії безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, далі «Європейські критерії»). Вони були розроблені Францією, Німеччиною, Нідерландами та Великобританією і вперше опубліковані в 1991 році.
«Європейські критерії» розглядають наступні основні задачі інформаційної безпеки:
· захист інформації від НСД з метою забезпечення конфіденційності;
· забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації або знищення;
· забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.
Для забезпечення вимог конфіденційності, цілісності і працездатності в системі необхідно реалізувати відповідний набір функцій безпеки, таких як ідентифікація й автентифікація, керування доступом, аудит і т.д. Ступінь впевненості в правильності їх вибору і надійності функціонування визначається за допомогою адекватності (assurance), яка включає до собі два аспекти: ефективність (відповідність засобів безпеки задачам безпеки) і коректність (правильність і надійність реалізації функцій безпеки). Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їх реалізації.
Ефективність визначається функціональними критеріями, які розглядаються на трьох рівнях деталізації: перший – цілі безпеки, другий – специфікації функцій захисту, третій – механізми захисту. Специфікації функцій захисту розглядаються з точки зору наступних вимог:
· ідентифікація й автентифікація;
· керування доступом;
· підзвітність;
· аудит;
· повторне використання об'єктів;
· цілісність інформації;
· надійність обслуговування;
· безпечний обмін даними.
Набір функцій безпеки специфікується за допомогою визначених класів-шаблонів. Всього визначено десять класів (F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX) за зростаючими вимогами.
«Європейські критерії» визначають також сім рівнів адекватності – від Е0 до Е6 (за зростанням вимог при аналізі ефективності та коректності засобів захисту).
Головне досягнення цього документа – введення поняття адекватності засобів захисту і визначення окремої шкали для адекватності. Крім того, були визначені основні властивості захищеної інформації – конфіденційність, цілісність.
У 1992 році Держтехкомісія (ДТК) при Президенті Російської федерації опублікувала п'ять Керуючих документів з питань захисту інформації від НСД:
1. Захист від несанкціонованого доступу до інформації. Терміни і визначення.
2. Концепція захисту ЗОТ і АС від НСД до інформації.
3. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги по захисту інформації.
4. Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації.
5. Тимчасове положення при організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.
Найбільшу цікавість представляють другий, третій та четвертий документи.
Ідейною основою цих документів є другий документ, який містить систему поглядів ДТК на проблему інформаційної безпеки й основні принципи захисту комп'ютерних систем. З точки зору розробників даних документів основна задача засобів безпеки – це забезпечення захисту від НСД до інформації. Якщо засобам контролю і забезпеченню цілісності деяка увага і приділяється, то про підтримку працездатності систем обробки інформації взагалі не згадується.
Керуючі документи ДТК розглядають дві групи критеріїв безпеки – показники захищеності ЗОТ від НСД і критерії захищеності АС обробки даних. Перша група дозволяє оцінити ступінь захищеності окремих компонентів АС, а друга – повнофункціональні системи обробки даних.
Встановлено сім класів захищеності ЗОТ від НСД до інформації. Найнижчий клас сьомий, найвищий – перший. Для кожного з класів визначено певні вимоги для ЗОТ.
Для оцінки рівня захищеності АС від НСД встановлено дев'ять класів. Клас підрозділяються на три групи, які відрізняються специфікою обробки інформації в АС. Група АС визначається на основі наступних ознак:
· наявність в АС інформації різного рівня конфіденційності;
· рівень повноважень користувачів АС на доступ до конфіденційної інформації;
· режим обробки даних в АС (колективний або індивідуальний).
Наведемо склад кожної групи за зростанням рівня захищеності. Отже, третя група включає АС, у яких працює один користувач допущень до всієї інформації АС, що розміщена на носіях один рівня конфіденційності. Група містить два класи – 3Б і 3А.
Друга група включає АС, у яких користувачі мають однакові повноваження доступу до інформації, яка обробляється на носіях різного рівня конфіденційності. Вона має два класи – 2Б і 2А.
Перша група включає багатокористувацькі АС, у яких водночас обробляється інформація різних рівнів конфіденційності. Користувачі мають різні права доступу. Група містить п'ять класів – 1Д, 1М, 1В, 1Б, 1А.
Розробка стандарту із ІБ ДТК було дуже важливим новим кроком для тогочасного рівня розвитку інформаційних технологій Росії. Великий вплив на нього зробила «Оранжева книга», оскільки і той і другий стандарти були орієнтовані на системи військового застосування. До недоліків даного стандарту слід віднести відсутність вимог до захисту від загроз працездатності, орієнтація тільки на захист від НСД, відсутність вимог до адекватності реалізації політики безпеки. Поняття політики безпеки трактується виключно як підтримка секретності і відсутність НСД, що принципово неправильно.
«Федеральні критерії безпеки інформаційних технологій» («Federal Criteria for Information Technology Security») розроблялись як одна зі складових «Американського федерального стандарту по обробці інформації» («Federal for Information Processing Standard») і мала замінити «Оранжеву книгу». Розробниками стандарту виступили Національний інститут стандартів і технологій США (National of Snandards and Technology – NIST) та Агенство національної безпеки США (National Security Agency – NSA). Перша версія документа була опублікована в грудні 1992 року.
Цей документ розроблений на основі результатів численних досліджень в області забезпечення інформаційних технологій 80-х - початку 90-х років, а також на основі досвіду використання «Оранжевої книги». Документ являє собою основу для розробки і сертифікації компонентів інформаційних технологій з погляду забезпечення безпеки. Створення документа переслідувало наступні цілі:
1. Визначення універсального й відкритого для подальшого розвитку базового набору вимог безпеки до сучасних інформаційних технологій. Вимоги до безпеки і критерії оцінки рівня захищеності повинні відповідати сучасному рівню розвитку інформаційних технологій і враховувати його прогрес у майбутньому.
2. Удосконалювання існуючих вимог і критеріїв безпеки. У зв'язку з розвитком інформаційних технологій назріла необхідність перегляду фундаментальних принципів безпеки з урахуванням появи нових областей їхнього застосування як у державному так і в приватному секторах.
3. Приведення у відповідність прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.
4. Нормативне закріплення основних принципів інформаційної безпеки. Стандарт є узагальненням основних принципів забезпечення безпеки інформаційних технологій, розроблених у 80-і роки, і забезпечує наступність стосовно них з метою збереження досягнень в області захисту інформації.
Основними об'єктами вимог безпеки «Федеральних критеріїв» є продукти ІТ, під якими розуміється сукупність апаратних і/чи програмних засобів, яка являє собою готовий до використання засіб обробки інформації і поставляється споживачу. Як правило, ІТ-продукт експлуатується не автономно, а інтегрується в систему обробки інформації, що представляє собою сукупність ІТ-продуктів, об'єднаних у функціонально повний комплекс, призначений для рішення прикладних задач. З погляду безпеки принципове розходження між ІТ-продуктом і системою обробки інформації визначається середовищем їхньої експлуатації. Продукт ІТ звичайно розробляється в розрахунку на те, що він буде використовуватися в багатьох системах обробки інформації, і, отже, розроблювач повинний орієнтуватися тільки на самі загальні припущення про середовище експлуатації свого продукту, що включають умови застосування і загальні загрози. Навпроти, системи обробки інформації розробляється для рішення прикладних задач у розрахунку на вимоги кінцевих споживачів, що дозволяє враховувати специфіку впливів з боку конкретного середовища експлуатації.
«Федеральні критерії» містять положення, що відносяться тільки до окремих продуктів ІТ. Положення стосуються тільки власних засобів забезпечення безпеки ІТ-продуктів, тобто механізмів захисту, убудованих безпосередньо в ці продукти у виді відповідних програмних, апаратних чи спеціальних засобів. Для підвищення ефективності їх роботи можуть використовуватися зовнішні системи захисту і засоби забезпечення безпеки, до яких відносяться як технічні засоби, так і організаційні заходи, правові і юридичні норми. У кінцевому рахунку, безпека ІТ-продукту визначається сукупністю власних засобів забезпечення безпеки і зовнішніх засобів, що є частиною середовища експлуатації.
Ключовим поняттям «Федеральних критеріїв» є поняття профілю захисту – нормативного документа, що регламентує всі аспекти безпеки ІТ-продукту у виді вимог до його проектування, технології розробки і кваліфікаційного аналізу.
«Федеральні критерії» представляють процес розробки інформації у виді трьох основних етапів:
1. Розробка й аналіз профілю захисту. Вимоги, викладені в профілі захисту, визначають функціональні можливості ІТ-продукта по забезпеченню безпеки. Профіль безпеки аналізується на повноту, несуперечність і технічну коректність.
2. Розробка і кваліфікаційний аналіз ІТ-продукта.
3. Компонування і сертифікація система обробки інформації в цілому.
«Федеральні критерії» регламентують тільки перший етап цієї схеми – розробку й аналіз профілю захисту, наступні етапи залишаються поза рамками цього стандарту.
«Федеральні критерії» є першим стандартом ІБ, у якому визначаються три незалежні групи вимог: функціональні вимоги до засобів захисту, вимоги до технології розробки і до процесу кваліфікаційного аналізу. Вперше запропонована концепція профілю захисту, що містить опис усіх вимог безпеки як до самому ІТ-продукту, так і до процесу його проектування, розробки, тестування і кваліфікаційного аналізу. В документі не використовувався підхід до єдиної оцінки рівня безпеки ІТ-продукта, а запропоновано незалежне ранжування вимог кожної групи.
«Канадські критерії безпеки комп'ютерних систем» («Canadian Trusted Computer Product EvaluationCriteria») були розроблені в Центрі безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) для використання в якості національного стандарту безпеки комп'ютерних систем. Першу версію стандарту було опубліковано в 1992 році.
При розробці «Канадських критеріїв» переслідувалися наступні цілі:
1. Запропонувати єдину шкалу критеріїв оцінки безпеки КС для порівняння систем по ступені забезпечення безпеки.
2. Створити основу для розробки специфікацій безпечних КС, яка могла б використовуватися розроблювачами при проектуванні систем як керівництво.
3. Запропонувати уніфікований підхід і стандартні засоби для опису характеристик безпечних КС.
Базовим поняттям стандарту є об'єкт, що може знаходитися в трьох станах: об'єкт-користувач, об'єкт-процес, пасивний об'єкт.
Функціональні критерії розділяються на чотири групи: критерії конфіденційності, цілісності, працездатності й аудита. Кожна з цих груп (крім аудита) відбиває функціональні можливості системи по відображенню відповідного класу загроз. В кожній групи критеріїв визначені рівні безпеки, що відбивають можливості засобів захисту за рішенням задач даного розділу. Ранжування за рівнями здійснюється на підставі потужності використовуваних методів захисту і класу відбиваних загроз. Рівні з великим номером забезпечують більш високий ступінь безпеки.
Адекватність реалізації визначається тим, наскільки точно і послідовно засоби, що забезпечують захист, реалізують прийняту в системі політику безпеки. Критерії адекватності відбивають рівень коректності реалізації політики безпеки й охоплюють усі стадії проектування, розробки й експлуатації комп'ютерної системи.
У такий спосіб «Канадські критерії» визначають ступінь безпеки комп'ютерної системи як сукупність функціональних можливостей використовуваних засобів захисту, що характеризується приватними показниками забезпечуваного рівня безпеки, і одного узагальненого параметра - рівня адекватності реалізації політики безпеки.
«Канадські критерії» з'явилися першим стандартом ІБ, у якому на рівні структури документа функціональні вимоги до засобів захисту відділені від вимог адекватності і якості реалізації політики безпеки. Вперше багато уваги приділяється взаємній відповідності і взаємодії всіх систем забезпечення безпеки. Прогресивними також є вимоги доказу коректності реалізації функціональних вимог і їх формальної відповідності політиці і моделі безпеки.
Контрольні запитання
1. Для чого необхідні стандарти з інформаційної безпеки?
2. Які погляди на проблеми інформаційної безпеки мають споживачі засобів захисту, виробники та експерти по кваліфікації?
3. Якими узагальненими показниками можна охарактеризувати стандарти з інформаційної безпеки?
4. В чому полягає значення розробки «Оранжевої книги»?
5. Сформулюйте основні вимоги безпеки з «Оранжевої книги»?
6. Сформулюйте основні вимоги безпеки з «Європейських критеріїв».
7. Сформулюйте основні вимоги безпеки з документів Держтехкомісії Російської федерації.
8. Сформулюйте основні вимоги безпеки з «Федеральних критеріїв безпеки інформаційних технологій» США.
9. Сформулюйте основні вимоги безпеки з «Канадських критеріїв безпеки комп’ютерних систем».
|