Информационная безопасность. Учебное пособие вострецова елена владимировна

161 8.2. Критерии безопасности компьютерных систем министерства обороны США
видуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс
С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности.
Класс С2. Управление доступом. Системы этого класса осу- ществляют более избирательное управление доступом, чем си- стемы класса С1, с помощью применения средств индивиду- ального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
Группа В. Мандатная защита.
Основные требования этой группы — нормативное управле- ние доступом с использованием меток безопасности, поддерж- ка модели и политики безопасности, а также наличие специ- фикаций на функции ТСв. Для систем этой группы монитор взаимодействий должен контролировать все события в системе.
Класс В1. Защита с применением меток безопасности. Си- стемы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасно- сти, маркировку данных и нормативное управление доступом.
При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостат- ки должны быть устранены.
Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должна поддерживать формально опре- деленную и четко документированную модель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществлять- ся контроль скрытых каналов утечки информации. В структу- ре ТСВ должны быть выделены элементы, критичные с точ- ки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация выполнены с учетом

162 8. Обзор международных стандартов информационной безопасности возможности проведения тестовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации.
Управление безопасностью осуществляется администратора- ми системы. Должны быть предусмотрены средства управле- ния конфигурацией.
Класс В3. Домены безопасности. Для соответствия этому классу ТСВ системы должна поддерживать монитор взаимодей- ствий, который контролирует все типы доступа субъектов к объ- ектам, который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и достаточно компактна для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ необходимо применение мето- дов и средств, направленных на минимизацию ее сложности.
Средства аудита должны включать механизмы оповещения ад- министратора при возникновении событий, имеющих значе- ние для безопасности системы. Требуется наличие средств вос- становления работоспособности системы.
Группа А. Верифицированная защита.
Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управ- ления доступом (произвольного и нормативного). Требуется до- полнительная документация, демонстрирующая, что архитек- тура и реализация ТСВ отвечают требованиям безопасности.
Класс А1. Формальная верификация. Системы класса
А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработ- ки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адек- ватности реализации начинается на ранней стадии разработ- ки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов ве-

163 8.2. Критерии безопасности компьютерных систем министерства обороны США
рификации системы класса А1 должны содержать более мощ- ные средства управления конфигурацией и защищенную про- цедуру дистрибуции.
Высший класс безопасности, требующий осуществления ве- рификации средств защиты, построен на доказательстве соот- ветствия программного обеспечения его спецификациям с по- мощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает адекватность реализации политики безопасности.
Согласно «Оранжевой книге» безопасная компьютерная си- стема — это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что толь- ко соответствующие авторизованные пользователи или процес- сы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.
Приведенные классы безопасности надолго определили ос- новные концепции безопасности и ход развития средств за- щиты.
Устаревание ряда положений Оранжевой книги обусловле- но прежде всего интенсивным развитием компьютерных техно- логий. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некото- рых положений Оранжевой книги, адаптировать их к современ- ным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по развитию положений этого стандарта. В ре- зультате возник целый ряд сопутствующих Оранжевой книге документов, многие их которых стали ее неотъемлемой частью.
Круг специфических вопросов по обеспечению безопасно- сти компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Нацио- нальным центром компьютерной безопасности США в виде дополнений к Оранжевой книге.

164 8. Обзор международных стандартов информационной безопасности
Итак, «Критерии безопасности компьютерных систем» Ми- нистерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разра- ботчиков, потребителей и специалистов по сертификации ком- пьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, при- чем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение се- кретности обрабатываемой информации и исключение возмож- ностей ее разглашения. Большое внимание уделено меткам (гри- фам секретности) и правилам экспорта секретной информации.
Оранжевая книга послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.
8.3. Европейские критерии безопасности информационных технологий (ITSEC)
Обзор основывается на версии 1.2 этих критериев, опубли- кованной в июне 1991 года от имени четырех стран: Франции,
Германии, Нидерландов и Великобритании.
Европейские критерии рассматривают следующие задачи средств информационной безопасности:
· защита информации от несанкционированного доступа с целью обеспечение конфиденциальности;
· обеспечение целостности информации посредством за- щиты от ее несанкционированной модификации или уничтожения;

165 8.3. Европейские критерии безопасности информационных технологий (ITSEC)
· обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.
В «Европейских критериях» проводится различие между си- стемами и продуктами.
Система
— это конкретная аппаратно-программная конфи- гурация, построенная с вполне определенными целями и функ- ционирующая в известном окружении.
Продукт
— это аппаратно-программный «пакет», который мож- но купить и по своему усмотрению встроить в ту или иную систему.
Таким образом, с точки зрения информационной безопас- ности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое мож- но определить и изучить сколь угодно детально, а продукт дол- жен быть рассчитан на использование в различных условиях.
Угрозы безопасности системы носят вполне конкретный и ре- альный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело по- купателя обеспечить выполнение этих условий.
Из практических соображений важно обеспечить единство критериев оценки продуктов и систем — облегчить и удеше- вить оценку системы, составленной из ранее сертифицирован- ных продуктов. В этой связи для систем и продуктов вводит- ся единый термин — объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключитель- но к системам, а какие — только к продуктам.
Для того чтобы удовлетворить требованиям конфиденциаль- ности, целостности и работоспособности, необходимо реализо- вать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, вос- становление после сбоев и т. д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функци- онирования. Для решения этой проблемы в «Европейских кри-

166 8. Обзор международных стандартов информационной безопасности териях» впервые вводится понятие адекватности (assurance) средств защиты.
Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адек- ватности их реализации.
Большинство требований безопасности совпадает с анало- гичными требованиями Оранжевой книги.
В «Европейских критериях» определено десять классов без- опасности. Классы F-C1, F-C2, F-B1, F-B2, F-B3 соответству- ют классам безопасности Оранжевой книги с аналогичными обозначениями.
Класс F-IN предназначен для систем с высокими потреб- ностями в обеспечении целостности, что типично для систем управления базами данных.
Его описание основано на концепции «ролей», соответству- ющих видам деятельности пользователей, и предоставлении до- ступа к определённым объектам только посредством доверен- ных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименова- ние и выполнение объектов.
Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, напри- мер для систем управления технологическими процессами.
В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компо- нента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме долж- на происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное вре- мя реакции системы на внешние события.
Класс F-DI ориентирован на распределенные системы об- работки информации.
Перед началом обмена и при получении данных стороны долж- ны иметь возможность провести идентификацию участников вза-

167 8.3. Европейские критерии безопасности информационных технологий (ITSEC)
имодействия и проверить ее подлинность. Должны использовать- ся средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информа- ции. Знание алгоритма обнаружения искажений не должно по- зволять злоумышленнику производить нелегальную модифика- цию передаваемых данных. Необходимо обнаруживать попытки повторной передачи ранее переданных сообщений.
Класс F-DC уделяет особое внимание требованиями к кон- фиденциальности передаваемой информации.
Информация по каналам связи должна передаваться в за- шифрованном виде. Ключи шифрования защищают от несанк- ционированного доступа.
Класс F-DX предъявляет повышенные требования и к це- лостности и к конфиденциальности информации.
Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и за- щиты от анализа трафика. Следует ограничить доступ к ранее переданной информации, которая в принципе может способ- ствовать проведению криптоанализа.
Критерии адекватности
Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым за- дачам, и корректность, характеризующую процесс их разработ- ки и функционирования.
Эффективность — соответствие между задачами, постав- ленными перед средствами безопасности, и реализованным набором функций защиты — их функциональной полнотой и согласованностью, простотой использования, а также воз- можными последствиями использования злоумышленниками слабых мест защиты.
Корректность — правильность и надежность реализации функций безопасности.

168 8. Обзор международных стандартов информационной безопасности
Европейские критерии уделяют адекватности средств за- щиты значительно больше внимания, чем функциональным требованиям. Как уже говорилось, адекватность складывается из двух компонентов — эффективности и корректности рабо- ты средств защиты.
Европейские критерии определяют семь уровней адекватно- сти — от Е0 до Е6. При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектиро- вания до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитекту- ра системы, а адекватность средств защиты подтверждается функ- циональным тестированием. На уровне ЕЗ к анализу привлекают- ся исходные тексты программ и схемы аппаратного обеспечения.
На уровне Е6 требуется формальное описание функций безопас- ности, общей архитектуры, а также политики безопасности.
В Европейских критериях определены три уровня безопас- ности — базовый, средний и высокий. Степень безопасности системы определяется самым слабым из критически важных механизмов защиты.
Безопасность считается базовой, если средства защиты спо- собны противостоять отдельным случайным атакам.
Безопасность считается средней, если средства защиты спо- собны противостоять злоумышленникам, обладающим ограни- ченными ресурсами и возможностями.
Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены толь- ко злоумышленником с высокой квалификацией, набор воз- можностей и ресурсов которого выходит за рамки возможного.
Итак, Европейские критерии безопасности информацион- ных технологий, появившиеся вслед за Оранжевой книгой, ока- зали существенное влияние на стандарты безопасности и ме- тодику сертификации.

169 8.4. Федеральные критерии безопасности информационных технологий США
Главное достижение этого документа — введение понятия адекватности средств защиты и определение отдельной шка- лы для критериев адекватности. Как уже упоминалось, Евро- пейские критерии придают адекватность средств защиты даже большее значение, чем их функциональности. Этот подход ис- пользуется во многих появившихся позднее стандартах инфор- мационной безопасности.
8.4. федеральные критерии безопасности информационных технологий сШа
Федеральные критерии безопасности информацион- ных технологий (Federal Criteria for Information Technology
Security) разрабатывались как одна из составляющих Амери- канского федерального стандарта по обработке информации
(Federal Information Processing Standard), призванного заме- нить Оранжевую книгу. Разработчиками стандарта выступи- ли Национальный институт стандартов и технологий США
(Nationa Institute of Standards and Technology) и Агентство на- циональной безопасности США (National Security Agency). Дан- ный обзор основан на версии 1.0 этого документа, опублико- ванной в декабре 1992 года.
Этот документ разработан на основе результатов многочис- ленных исследований в области обеспечения безопасности ин- формационных технологий 1980-х — начала 1990-х гг., а так- же на основе анализа опыта использования Оранжевой книги.
Федеральные критерии безопасности информационных тех- нологий (далее, просто Федеральные критерии) охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, т. к. включают все аспекты обе- спечения конфиденциальности, целостности и работоспособ- ности.

170 8. Обзор международных стандартов информационной безопасности
Основными объектами применения требований безопасно- сти Федеральных критериев являются
· продукты информационных технологий (Information
Technology Products);
· системы обработки информации (Information Technology
Systems).
Под продуктом информационных технологий (далее просто
ИТ-продукт) понимается совокупность аппаратных и/или про- граммных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство об- работки информации.
Как правило, ИТ-продукт эксплуатируется не автономно, а интегрируется в систему обработки информации, представ- ляющую собой совокупность ИТ-продуктов, объединенных в функционально полный комплекс, предназначенный для ре- шения прикладных задач. В ряде случаев система обработки информации может состоять только из одного ИТ-продукта, обеспечивающего решение всех стоящих перед системой за- дач и удовлетворяющего требованиям безопасности. С точки зрения безопасности принципиальное различие между ИТ- продуктом и системой обработки информации определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет исполь- зован во многих системах обработки информации, и, следова- тельно, разработчик должен ориентироваться только на самые общие предположения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потреби- телей, что позволяет в полной мере учитывать специфику воз- действий со стороны конкретной среды эксплуатации.
Федеральные критерии содержат положения, относящие- ся к отдельным продуктам информационных технологий. Во- просы построения систем обработки информации из набора

171 8.4. Федеральные критерии безопасности информационных технологий США
ИТ-продуктов не являются предметом рассмотрения этого до- кумента.
Положения Федеральных критериев касаются собственных средств обеспечения безопасности ИТ-продуктов, т. е. меха- низмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, аппаратных или специ- альных средств. Для повышения их эффективности могут до- полнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как техниче- ские средства, так и организационные меры, правовые и юри- дические нормы. В конечном счете, безопасность ИТ-продукта определяется совокупностью собственных средств обеспечения безопасности и внешних средств.
Ключевым понятием концепции информационной безопас- ности Федеральных критериев является понятие Профиль защи-
ты
(Proteсtion Profile). Профиль защиты — это нормативный документ, который регламентирует все аспекты безопасности
ИТ-продукта в виде требований к его проектированию, техно- логии разработки и квалификационному анализу. Как правило, один Профиль защиты описывает несколько близких по струк- туре и назначению ИТ-продуктов. Основное внимание в Про- филе защиты уделяется требованиям к составу средств защиты и качеству и реализации, а также их адекватности предполага- емым угрозам безопасности.
Федеральные критерии представляют процесс разработки систем обработки информации, начинающийся с формули- рования требований потребителями и заканчивающийся вве- дением в эксплуатацию, в виде следующих основных этапов:
1. Разработка и анализ Профиля защиты. Требования, изло- женные в Профиле защиты, определяют функциональные воз- можности ИТ-продуктов по обеспечению безопасности и ус- ловия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности, Профиль защиты содержит требования по со-

172 8. Обзор международных стандартов информационной безопасности блюдению технологической дисциплины в процессе разработ- ки, тестирования и квалификационного анализа ИТ-продукта.
Профиль безопасности анализируется на полноту, непротиво- речивость и техническую корректность.
2. Разработка и квалификационный анализ ИТ-продуктов.
Разработанные ИТ-продукты подвергаются независимому ана- лизу, целью которого является определение степени соответ- ствия характеристик продукта сформулированным в Профиле защиты требованиям и спецификациям.
3. Компоновка и сертификация системы обработки инфор- мации в целом. Успешно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработ- ки информации. Полученная в результате система должна удов- летворять заявленным в Профиле защиты требованиям при со- блюдении указанных в нем условий эксплуатации.
Федеральные критерии регламентируют только первый этап этой схемы — разработку и анализ Профиля защиты, процесс создания ИТ-продуктов и компоновка систем обработки ин- формации остаются вне рамок этого стандарта.