Державний стандарт (Критерії) України з ЗІ

У 1997 році Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України була розроблена перша версія системи нормативних документів із технічного захисту інформації в комп'ютерних системах від НСД. В ній подано основні поняття та напрямки розвитку захисту інформації в Україні користуючись [5-8] – системою нормативних документів з захисту інформації. Ця система включає чотири документи:

1. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.

2. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

3. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.

4. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.

Нормативний документ технічного захисту інформації (НД ТЗІ) Загальні положення...» визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, що регламентують питання:

· визначення вимог щодо захисту КС від несанкціонованого доступу;

· створення захищених КС і засобів їх захисту від несанкціонованого доступу;

· оцінки захищеності КС і їх придатності для вирішення завдань споживача.

Документ призначено для постачальників (розробників), споживачів (замовників, користувачів) КС, які використовуються для обробки (у тому числі збирання, зберігання, передачі і т.д.) критичної інформації (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.

АС являє собою організаційно-технічну систему, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію (рис. 2.1.). Прийнято розрізняти два основних напрями ТЗІ в АС – це захист АС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наводок).

Рис. 2.1. Модель автоматизованої системи

Цей документ і комплект НД, що базується на ньому, присвячений питанням організації захисту від НСД і побудови засобів захисту від НСД, що функціонують у складі обчислювальної системи АС. Організаційні і фізичні заходи захисту, включаючи захист від фізичного НСД до компонентів ОС, як і захист від витоку технічними каналами не є предметом розгляду. Незважаючи на це, при викладі увага приділяється також і деяким нетехнічним аспектам, але тільки там, де це впливає на оцінку технічної захищеності.

Розрізняються два основних напрями технічного захисту інформації в АС – це захист АС і оброблюваної інформації від несанкціонованого доступу (НСД) і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнiтних випромінювань і наводів (ПЕМВН)).

З точки зору методологiї в проблемі захисту інформації від НСД виділяються два напрями:

· забезпечення і оцінка захищеності інформації в АС, що функціонують;

· реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т. ін.), поза конкретним середовищем експлуатації.

Кінцевою метою всіх заходів щодо захисту інформації, які реалізуються, є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу (ЖЦ) АС, на всіх технологічних етапах обробки інформації і в усіх режимах функціонування. ЖЦ АС включає розробку, впровадження, експлуатацію та виведення з експлуатації.

У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить державну таємницю), то для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої СЗІ встановленим нормам.

Наступний документ присвячений класифікації автоматизованих систем і подає функціональні профілі захищеності оброблюваної інформації від НСД «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу».

Спочатку подається класифікація автоматизованих систем. Автоматизована система являє собою організаційно-технічну систему, що об'єднує ОС, фізичне середовище, персонал і оброблювану інформацію. Вимоги до функціонального складу КЗЗ залежати від характеристик оброблюваної інформації, самої ОС, фізичного середовища, персоналу й організаційної підсистеми. Вимоги до гарантій визначаються насамперед характером (важливістю) оброблюваної інформації і призначенням АС.

У цьому документі за сукупністю характеристик АС (конфігурація апаратних засобів ОС і їх фізичне розміщення, кількість різноманітних категорій оброблюваної інформації, кількість користувачів і категорій користувачів) виділено три ієрархічні класи АС, вимоги до функціонального складу КЗЗ яких істотно відрізняються.

Клас «1» – одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності.

Клас «2» – локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності.

Клас «3» – розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності.

Істотна відміна від попереднього класу – необхідність передачі інформації через незахищене середовище або, у загальному випадку, наявність вузлів, що реалізують різну політику безпеки.

Приклад – глобальна мережа.

У межах кожного класу АС класифікуються на підставі вимог до забезпечення певних властивостей інформації. З точки зору безпеки інформація характеризується трьома властивостями: конфіденційністю, цілісністю і доступністю. У зв'язку з цим, у кожному класі АС виділяються такі підкласи:

автоматизована система, у якій підвищені вимоги до – забезпечення конфіденційності оброблюваної інформації (підкласи «х. К»);

автоматизована система, у якій підвищені вимоги до – забезпечення цілісності оброблюваної інформації (підкласи «х. Ц»);

автоматизована система, у якій підвищені вимоги до – забезпечення доступності оброблюваної інформації (підкласи «х. Д»);

автоматизована система, у якій підвищені вимоги до – забезпечення конфіденційності і цілісності оброблюваної інформації (підкласи «х. КЦ»);

автоматизована система, у якій підвищені вимоги до – забезпечення конфіденційності і доступності оброблюваної інформації (підкласи «х. КД»);

автоматизована система, у якій підвищені вимоги до – забезпечення цілісності і доступності оброблюваної інформації (підкласи “х. ЦД”);

автоматизована система, у якій підвищені вимоги до – забезпечення конфіденційності, цілісності і доступності оброблюваної інформації (підкласи «х. КЦД»).

Для кожного з підкласів шкірного класу вводитися деяка кількість ієрархічних стандартних функціональних профілів, яка може бути різною для кожного класу і підкласу АС. Профілі є ієрархічними в тому розумінні, що їх реалізація забезпечує наростаючу захищеність від загроз відповідного типу (конфіденційності, цілісності і доступності). Наростання ступеня захищеності може досягатись як підсиленням певних послуг, тобто включенням до профілю більш високого рівня послуги, так і включенням до профілю нових послуг.

Така класифікація корисна для полегшення вибору переліку функцій, які повинен реалізовувати КЗЗ ОС, проектованої або існуючої АС. Цей підхід дозволяє мінімізувати витрати на початкових етапах створення КСЗІ АС. Проте слід визнати, що для створення КЗЗ, який найповніше відповідає характеристикам і вимогам до конкретної АС, необхідно проведення в повному обсязі аналізу загроз і оцінки ризиків. Далі подається визначення та семантика профілю.

Стандартний функціональний профіль захищеності являє собою перелік мінімально необхідних рівнів послуг, які повинен реалізовувати КЗЗ обчислювальної системи АС, щоб задовольняти певні вимоги щодо захищеності інформації, яка обробляється в даній АС.

Стандартні функціональні профілі будуються на підставі існуючих вимог щодо захисту певної інформації від певних загроз і відомих на сьогоднішній день функціональних послуг, що дозволяють протистояти даним загрозам і забезпечувати виконання вимог, які пред'являються.

Для стандартних функціональних профілів захищеності не вимагається ні зв'язаної з ними політики безпеки, ні рівня гарантій, хоч їх наявність і допускається в разі необхідності. Політика безпеки КС, що реалізує певний стандартний профіль, має бути «успадкована» з відповідних документів, що встановлюють вимоги до порядку обробки певної інформації в АС. Так, один і той же профіль захищеності може використовуватись для опису функціональних вимог з захисту оброблюваної інформації і для ОС, і для СУБД, у той час, як їх політика безпеки, зокрема визначення об'єктів, буде різною.

Єдина вимога, якої слід дотримуватися при утворенні нових профілів, – це додержання описаних у НД ТЗІ «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» необхідних умов для кожної із послуг, що включаються до профілю.

Функціональні профілі можуть використовуватись також для порівняння оцінки функціональності КС за критеріями інших держав з оцінкою за національними критеріями.

Наступний документ «Критерії оцінки захищеності інформації в комп'ютерних системах від НСД». Спочатку подається побудова і структура критеріїв захищеності інформації.

У процесі оцінки спроможності КС забезпечувати захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:

· вимоги до функцій захисту (послуг безпеки);

· вимоги до гарантій.

У контексті Критеріїв КС розглядається як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз. Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тім більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого і зростають до значення n, де n – унікальне для кожного виду послуг.

Подамо також основні властивості інформації, що безпосередньо визначають її цінність. Такими фундаментальними властивостями захищеної інформації (ФВЗІ) є конфіденційність (confidentiality), цілісність (integrity), доступність (availability) і спостереженість (accountability).

Інтуїтивно зрозумілий термін конфіденційність більш строго визначається як властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, що не мають на це відповідних повноважень.

Цілісність інформації – це властивість, яка полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, які не мають на це відповідних повноважень. Цілісність інформації може бути фізичною і/або логічною.

Доступність інформації – це властивість, яка полягає в можливості її використання за вимогами користувача, що має відповідні повноваження.

Спостереженість – це властивість інформації, яка полягає в тому, що процес її обробки повинен безупинно знаходитися під контролем деякого керуючого захистом органа.

Потенційно можливі несприятливі впливи на інформацію, що призводять до порушення хоча б одної з перерахованих властивостей називають загрозами інформації (information threat). Рівень захищеності інформації в системі – це деяка міра (наприклад, імовірнісна) можливості виникнення на якому-небудь етапі життєдіяльності системи такої події, наслідком якої можуть бути небажані впливи на інформацію, тобто порушення хоча б одного з зазначених ФВЗІ.

Не слід плутати конфіденційність та безпеку. Конфіденційність встановлює певний статус захисту відносно до інформації, в той час як безпека має відношення до механізмів, які використовуються для підтримки цього статусу. Також на відміну від конфіденційності цілісність характеризує лише ступінь відповідності певних представлень інформації в системі.

Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування й експлуатаційної документації. В Критеріях введено сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, у свою чергу, коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації КС.

Всі описані послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як необхідні умови для даної послуги (або її рівня). За винятком послуги аналіз прихованих каналівзалежність між функціональними послугами і гарантіями відсутня. Рівень послуги цілісність комплексу засобів захистуНЦ-1 є необхідною умовою абсолютно для всіх рівнів всіх інших послуг.

Порядок оцінки КС на предмет відповідності цим Критеріям визначається відповідними нормативними документами. Експертна комісія, яка проводить оцінку КС, визначає, які послуги і на якому рівні реалізовані в даній КС, і як дотримані вимоги гарантій. Результатом оцінки є рейтинг, що являє собою упорядкований ряд (перелічення) буквено-числових комбінацій, що позначають рівні реалізованих послуг, у поєднанні з рівнем гарантій. Комбінації упорядковуються в порядку опису послуг у критеріях. Для того, щоб до рейтингу КС міг бути включень певний рівень послуги чи гарантій, повинні бути виконані всі вимоги, перелічені в критеріях для даного рівня послуги або гарантій.

Для того, щоб КС могла бути оцінена на предмет відповідності критеріям конфіденційності, КЗЗ оцінюваної КС винний надавати послуги з захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні.

Для того, щоб КС могла бути оцінена на предмет відповідності критеріям цілісності, КЗЗ оцінюваної КС винний надавати послуги з захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.

Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС винний надавати послуги щодо забезпечення можливості використання КС у цілому, окремих функцій або оброблюваної інформації на певному проміжку години і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.

Для того, щоб КС могла бути оцінена на предмет відповідності критеріям спостереженості, КЗЗ оцінюваної КС винний надавати послуги з забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація й автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація й автентифікація при обміні, автентифікація відправника, автентифікація отримувача.

Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. У цих критеріях введено сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб КС одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, що визначені для даного рівня в кожному з розділів.

Останнім документом є «Термінологія в галузі захисту інформації в комп'ютерних системах від НСД». Визначено та пояснено 128 основних найбільш розповсюджених термінів, які подані українською, російською та англійською мовами.

Контрольні запитання

1. Що таке автоматизована система?

2. В яких нормативних документах сформульовані основні поняття та напрямки розвитку захисту інформації в Україні?

3. Подайте стислий зміст нормативного документа України «Загальні положення щодо захисту інформації ...».

4. Подайте стислий зміст нормативного документа України «Класифікація автоматизованих систем ...».

5. Подайте стислий зміст нормативного документа України «Критерії оцінки захищеності ...».

6. Чому стандарти з інформаційної безпеки носять назву «Критерії …»?

7. Що таке критерії гарантій (з відповідного нормативного документу України)?

8. Яким нормативним документом регламентуються основні терміни із захисту інформації в України?