Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

86 историческим причинам данный стандарт часто называют «Общими критериями» (или даже ОК). Мы также будем использовать это сокращение.
«Общие критерии» на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от «Оранжевой книги», «Общие критерии» не содержат предопределенных «классов безопасности». Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.
С программистской точки зрения «Общие критерии» можно считать
набором библиотек, помогающих писать содержательные «программы» -
задания по безопасности, типовые профили защиты и т.п.
Как и «Оранжевая книга», «Общие критерии» содержат два
основных вида требований безопасности:
- функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
- требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.
Очень важно, что
безопасность
в
«Общих
критериях»
рассматривается не статично, а в привязке к жизненному циклу объекта
оценки. Выделяются следующие этапы:
- определение назначения, условий применения, целей и требований
безопасности;
- проектирование и разработка;
- испытания, оценка и сертификация;
- внедрение и эксплуатация.
В «Общих критериях» объект оценки рассматривается в контексте
среды безопасности, которая характеризуется определенными условиями и
угрозами.
В
свою
очередь,
угрозы
характеризуются
следующими
параметрами:
1. источник угрозы;
2. метод воздействия;
3. уязвимые места, которые могут быть использованы;
4. ресурсы (активы), которые могут пострадать.
С точки зрения технологии программирования в «Общих критериях» использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в «Общих критериях» введена иерархия класс-семейство-компонент-элемент.
Классы определяют наиболее общую, «предметную» группировку требований (например, функциональные требования подотчетности).

87
Семейства в пределах класса различаются по строгости и другим нюансам требований.
Компонент - минимальный набор требований, фигурирующий как целое.
Элемент - неделимое требование.
Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов:
- Профиль защиты (ПЗ) представляет собой типовой набор
требований, которым должны удовлетворять продукты и/или
системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
- Задание по безопасности содержит совокупность требований к
конкретной разработке, выполнение которых обеспечивает
достижение поставленных целей безопасности.
В «Общих критериях» нет готовых классов защиты. Сформировать
классификацию в терминах «Общих критериев» - значит определить
несколько иерархически упорядоченных
(содержащих усиливающиеся
требования) профилей защиты, в максимально возможной степени
использующих стандартные функциональные требования и требования
доверия безопасности.
Базовый профиль защиты должен включать требования к основным
(обязательным в любом случае) возможностям.
Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.
6.3.2 Функциональные требования
Функциональные требования сгруппированы на основе выполняемой
ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в «Оранжевой книге».
Перечислим
классы
функциональных
требований
«Обших
критериев»:
1. идентификация и аутентификация;
2. защита данных пользователя;
3. защита
функций
безопасности
(требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);
4. управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности);

88 5. аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);
6. доступ к объекту оценки;
7. приватность
(защита пользователя от раскрытия и несанкционированного использования его идентификационных данных);
8. использование ресурсов (требования к доступности информации);
9. криптографическая поддержка (управление ключами);
10. связь (аутентификация сторон, участвующих в обмене данными);
11. доверенный маршрут/канал (для связи с сервисами безопасности).
6.3.3 Требования доверия безопасности
Установление доверия безопасности, согласно «Общим критериям»,
основывается на активном исследовании объекта оценки.
Форма представления требований доверия, в принципе, та же, что и
для функциональных требований. Специфика состоит в том, что каждый
элемент требований доверия принадлежит одному из трех типов:
- действия разработчиков;
- представление и содержание свидетельств;
- действия оценщиков.
Всего в «Общих критериях» 10 классов, 44 семейства, 93 компонента требований доверия безопасности.
Применительно к требованиям доверия в «Общих критериях» введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
1. Оценочный уровень доверия 1 (начальный) предусматривает анализ
функциональной
спецификации, спецификации интерфейсов, эксплуатационной документации, а также независимое тестирование. Уровень применим, когда угрозы не рассматриваются как серьезные.
2. Оценочный уровень доверия 2, в дополнение к первому уровню, предусматривает наличие проекта верхнего уровня объекта оценки, выборочное независимое тестирование, анализ стойкости функций безопасности, поиск разработчиком явных уязвимых мест.
3. На 3 уровне ведется контроль среды разработки и управление конфигурацией объекта оценки.
4. На уровне 4 добавляются полная спецификация интерфейсов,
проекты нижнего уровня, анализ подмножества реализации, применение неформальной
модели политики безопасности, независимый анализ уязвимых мест, автоматизация управления конфигурацией. Вероятно, это самый высокий уровень, которого

89 можно достичь при существующей технологии программирования и приемлемых затратах.
5. Уровень 5, в дополнение к предыдущим, предусматривает применение формальной модели политики безопасности, полуформальных функциональной спецификации и проекта верхнего уровня с демонстрацией соответствия между ними.
6. На
уровне
6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня.
7. Оценочный
уровень
7
(самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
6.4 Руководящие документы Гостехкомиссии России
Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская Руководящие документы (РД), играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия
России выбрала ориентацию на «Общие критерии», что можно только приветствовать.
Рассмотрим два важных, хотя и не новых, руководящих документа:
1. Классификацию автоматизированных систем (АС) по уровню
защищенности от несанкционированного доступа (НСД)
2. Классификацию межсетевых экранов (МЭ).
Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.
Требования ко всем девяти классам защищенности АС сведены в таблицу 5.3.
Переходя к рассмотрению второго РД Гостехкомиссии России -
Классификации межсетевых экранов. Данный РД важен не столько содержанием, сколько самим фактом своего существования.
Основным критерием классификации МЭ служит протокольный
уровень (в соответствии с эталонной семиуровневой моделью), на котором
осуществляется фильтрация информации. Это понятно: чем выше уровень, тем больше информации на нем доступно и, следовательно, тем более тонкую и надежную фильтрацию можно реализовать.

90
Таблица 5.3 - Требования к защищенности автоматизированных систем
Классы
Подсистемы и требования
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему;
+ + + + + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
-
-
- + - + + + +
к программам;
-
-
- + - + + + +
к томам, каталогам, файлам, записям, полям записей.
-
-
- + - + + + +
1.2. Управление потоками информации
-
-
- + -
- + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети);
+ + + + + + + + +
выдачи печатных (графических) выходных документов;
- + - + - + + + +
запуска/завершения программ и процессов
(заданий, задач);
-
-
- + - + + + +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
-
-
- + - + + + +
изменения полномочий субъектов доступа;
-
-
-
-
-
- + + +
создаваемых защищаемых объектов доступа. -
-
- + -
- + + +
2.2. Учет носителей информации.
+ + + + + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
- + - + - + + + +
2.4. Сигнализация попыток нарушения защиты.
-
-
-
-
-
- + + +

91
Таблица 5.3 - Требования к защищенности автоматизированных систем
(продолжение)
Классы
Подсистемы и требования
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации.
-
-
- + -
-
- + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.
-
-
-
-
-
-
-
- +
3.3. Использование аттестованных
(сертифицированных) криптографических средств.
-
-
- + -
-
- + +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации.
+ + + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации.
+ + + + + + + + +
4.3. Наличие администратора (службы защиты) информации в АС.
-
-
- + -
- + + +
4.4. Периодическое тестирование СЗИ НСД.
+ + + + + + + + +
4.5. Наличие средств восстановления СЗИ
НСД.
+ + + + + + + + +
4.6. Использование сертифицированных средств защиты.
- + - + -
- + + +
«-» нет требований к данному классу;
«+» есть требования к данному классу;
«СЗИ НСД» система защиты информации от несанкционированного доступа

92
7. АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
7.1 Основные понятия административного уровня
информационной безопасности
К административному уровню информационной безопасности
относятся действия общего характера, предпринимаемые руководством
организации.
Главная цель мер административного уровня - сформировать
программу работ в области информационной безопасности и обеспечить ее
выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности.
«Политика безопасности» (является не совсем точным переводом английского словосочетания «security policy»), имеет в виду не отдельные правила или их наборы, а стратегию организации в области информационной безопасности.
Политика безопасности - совокупность документированных решений,
принимаемых руководством организации и направленных на защиту
информации и ассоциированных с ней ресурсов.
Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.
7.2 Политика безопасности
Политика
безопасности
определяет
архитектуру
системы
защиты и реализуется посредством:
- административно-организационных мер,
- физических и программно-технических средств.

93
Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.
Политика безопасности определяется способом управления доступом, определяющим порядок доступа к объектам системы.
Различают два основных вида политики безопасности.
- Избирательная
политика
безопасности
основана
на
избирательном способе управления доступом и характеризуется
заданным
администратором
множеством
разрешенных
отношений доступа (например, в виде троек «объект, субъект, тип доступа»).
Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа.
- Полномочная политика безопасности основана на полномочном
(мандатном) способе управления доступом и характеризуется
совокупностью правил предоставления доступа, определенных на
множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное
управление доступом подразумевает, что:
- все субъекты и объекты системы однозначно идентифицированы;
- каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в нем информации;
- каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.
С
практической
точки
зрения
политику
безопасности
целесообразно рассматривать на трех уровнях детализации.
1. Верхний уровень. К верхнему уровню можно отнести решения,
затрагивающие организацию в целом. Примерный список подобных решений может включать в себя следующие элементы:
- решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
- формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
- обеспечение базы для соблюдения законов и правил;

94
- формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
На верхний уровень выносится управление защитными ресурсами и
координация использования этих
ресурсов, выделение специального
персонала для защиты критически важных систем и взаимодействие с
другими организациями, обеспечивающими или контролирующими режим
безопасности.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины.
- Во-первых, организация должна соблюдать существующие законы.
- Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности.
- Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.