Главная страница
Навигация по странице:

  • F-C1, F-C2, F-B1, F-B2, F-B3

  • Критерии адекватности

  • Информационная безопасность. Учебное пособие вострецова елена владимировна


    Скачать 3.44 Mb.
    НазваниеУчебное пособие вострецова елена владимировна
    АнкорИнформационная безопасность
    Дата07.03.2022
    Размер3.44 Mb.
    Формат файлаpdf
    Имя файла978-5-7996-2677-8_2019.pdf
    ТипУчебное пособие
    #385343
    страница8 из 9
    1   2   3   4   5   6   7   8   9
    Классы безопасности компьютерных систем
    Оранжевая книга предусматривает четыре группы критери- ев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (груп- па А). Каждая группа включает один или несколько классов.
    Группы D и А содержат по одному классу (классы D и А со- ответственно), группа С — классы С1, С2, а группа В — Bl,
    B2, ВЗ, характеризующиеся различными наборами требова- ний безопасности. Уровень безопасности возрастает при дви- жении от группы D к группе А, а внутри группы — с возраста- нием номера класса.
    Группа D. Минимальная защита.
    Класс D. Минимальная защита. К этому классу относятся все системы, не удовлетворяющие требованиям других классов.
    Группа С. Дискреционная защита.
    Группа характеризуется произвольным управлением досту- пом и регистрацией действий субъектов.
    Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользо- вателей и информации и включают средства контроля и управ- ления доступом, позволяющие задавать ограничения для инди-

    161 8.2. Критерии безопасности компьютерных систем министерства обороны США
    видуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс
    С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности.
    Класс С2. Управление доступом. Системы этого класса осу- ществляют более избирательное управление доступом, чем си- стемы класса С1, с помощью применения средств индивиду- ального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
    Группа В. Мандатная защита.
    Основные требования этой группы — нормативное управле- ние доступом с использованием меток безопасности, поддерж- ка модели и политики безопасности, а также наличие специ- фикаций на функции ТСв. Для систем этой группы монитор взаимодействий должен контролировать все события в системе.
    Класс В1. Защита с применением меток безопасности. Си- стемы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасно- сти, маркировку данных и нормативное управление доступом.
    При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостат- ки должны быть устранены.
    Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должна поддерживать формально опре- деленную и четко документированную модель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществлять- ся контроль скрытых каналов утечки информации. В структу- ре ТСВ должны быть выделены элементы, критичные с точ- ки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация выполнены с учетом

    162 8. Обзор международных стандартов информационной безопасности возможности проведения тестовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации.
    Управление безопасностью осуществляется администратора- ми системы. Должны быть предусмотрены средства управле- ния конфигурацией.
    Класс В3. Домены безопасности. Для соответствия этому классу ТСВ системы должна поддерживать монитор взаимодей- ствий, который контролирует все типы доступа субъектов к объ- ектам, который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и достаточно компактна для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ необходимо применение мето- дов и средств, направленных на минимизацию ее сложности.
    Средства аудита должны включать механизмы оповещения ад- министратора при возникновении событий, имеющих значе- ние для безопасности системы. Требуется наличие средств вос- становления работоспособности системы.
    Группа А. Верифицированная защита.
    Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управ- ления доступом (произвольного и нормативного). Требуется до- полнительная документация, демонстрирующая, что архитек- тура и реализация ТСВ отвечают требованиям безопасности.
    Класс А1. Формальная верификация. Системы класса
    А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработ- ки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адек- ватности реализации начинается на ранней стадии разработ- ки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов ве-

    163 8.2. Критерии безопасности компьютерных систем министерства обороны США
    рификации системы класса А1 должны содержать более мощ- ные средства управления конфигурацией и защищенную про- цедуру дистрибуции.
    Высший класс безопасности, требующий осуществления ве- рификации средств защиты, построен на доказательстве соот- ветствия программного обеспечения его спецификациям с по- мощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает адекватность реализации политики безопасности.
    Согласно «Оранжевой книге» безопасная компьютерная си- стема — это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что толь- ко соответствующие авторизованные пользователи или процес- сы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.
    Приведенные классы безопасности надолго определили ос- новные концепции безопасности и ход развития средств за- щиты.
    Устаревание ряда положений Оранжевой книги обусловле- но прежде всего интенсивным развитием компьютерных техно- логий. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некото- рых положений Оранжевой книги, адаптировать их к современ- ным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по развитию положений этого стандарта. В ре- зультате возник целый ряд сопутствующих Оранжевой книге документов, многие их которых стали ее неотъемлемой частью.
    Круг специфических вопросов по обеспечению безопасно- сти компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Нацио- нальным центром компьютерной безопасности США в виде дополнений к Оранжевой книге.

    164 8. Обзор международных стандартов информационной безопасности
    Итак, «Критерии безопасности компьютерных систем» Ми- нистерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разра- ботчиков, потребителей и специалистов по сертификации ком- пьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, при- чем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение се- кретности обрабатываемой информации и исключение возмож- ностей ее разглашения. Большое внимание уделено меткам (гри- фам секретности) и правилам экспорта секретной информации.
    Оранжевая книга послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.
    8.3. Европейские критерии безопасности информационных технологий (ITSEC)
    Обзор основывается на версии 1.2 этих критериев, опубли- кованной в июне 1991 года от имени четырех стран: Франции,
    Германии, Нидерландов и Великобритании.
    Европейские критерии рассматривают следующие задачи средств информационной безопасности:
    · защита информации от несанкционированного доступа с целью обеспечение конфиденциальности;
    · обеспечение целостности информации посредством за- щиты от ее несанкционированной модификации или уничтожения;

    165 8.3. Европейские критерии безопасности информационных технологий (ITSEC)
    · обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.
    В «Европейских критериях» проводится различие между си- стемами и продуктами.
    Система
    — это конкретная аппаратно-программная конфи- гурация, построенная с вполне определенными целями и функ- ционирующая в известном окружении.
    Продукт
    — это аппаратно-программный «пакет», который мож- но купить и по своему усмотрению встроить в ту или иную систему.
    Таким образом, с точки зрения информационной безопас- ности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое мож- но определить и изучить сколь угодно детально, а продукт дол- жен быть рассчитан на использование в различных условиях.
    Угрозы безопасности системы носят вполне конкретный и ре- альный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело по- купателя обеспечить выполнение этих условий.
    Из практических соображений важно обеспечить единство критериев оценки продуктов и систем — облегчить и удеше- вить оценку системы, составленной из ранее сертифицирован- ных продуктов. В этой связи для систем и продуктов вводит- ся единый термин — объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключитель- но к системам, а какие — только к продуктам.
    Для того чтобы удовлетворить требованиям конфиденциаль- ности, целостности и работоспособности, необходимо реализо- вать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, вос- становление после сбоев и т. д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функци- онирования. Для решения этой проблемы в «Европейских кри-

    166 8. Обзор международных стандартов информационной безопасности териях» впервые вводится понятие адекватности (assurance) средств защиты.
    Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адек- ватности их реализации.
    Большинство требований безопасности совпадает с анало- гичными требованиями Оранжевой книги.
    В «Европейских критериях» определено десять классов без- опасности. Классы F-C1, F-C2, F-B1, F-B2, F-B3 соответству- ют классам безопасности Оранжевой книги с аналогичными обозначениями.
    Класс F-IN предназначен для систем с высокими потреб- ностями в обеспечении целостности, что типично для систем управления базами данных.
    Его описание основано на концепции «ролей», соответству- ющих видам деятельности пользователей, и предоставлении до- ступа к определённым объектам только посредством доверен- ных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименова- ние и выполнение объектов.
    Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, напри- мер для систем управления технологическими процессами.
    В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компо- нента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме долж- на происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное вре- мя реакции системы на внешние события.
    Класс F-DI ориентирован на распределенные системы об- работки информации.
    Перед началом обмена и при получении данных стороны долж- ны иметь возможность провести идентификацию участников вза-

    167 8.3. Европейские критерии безопасности информационных технологий (ITSEC)
    имодействия и проверить ее подлинность. Должны использовать- ся средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информа- ции. Знание алгоритма обнаружения искажений не должно по- зволять злоумышленнику производить нелегальную модифика- цию передаваемых данных. Необходимо обнаруживать попытки повторной передачи ранее переданных сообщений.
    Класс F-DC уделяет особое внимание требованиями к кон- фиденциальности передаваемой информации.
    Информация по каналам связи должна передаваться в за- шифрованном виде. Ключи шифрования защищают от несанк- ционированного доступа.
    Класс F-DX предъявляет повышенные требования и к це- лостности и к конфиденциальности информации.
    Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и за- щиты от анализа трафика. Следует ограничить доступ к ранее переданной информации, которая в принципе может способ- ствовать проведению криптоанализа.
    Критерии адекватности
    Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым за- дачам, и корректность, характеризующую процесс их разработ- ки и функционирования.
    Эффективность — соответствие между задачами, постав- ленными перед средствами безопасности, и реализованным набором функций защиты — их функциональной полнотой и согласованностью, простотой использования, а также воз- можными последствиями использования злоумышленниками слабых мест защиты.
    Корректность правильность и надежность реализации функций безопасности.

    168 8. Обзор международных стандартов информационной безопасности
    Европейские критерии уделяют адекватности средств за- щиты значительно больше внимания, чем функциональным требованиям. Как уже говорилось, адекватность складывается из двух компонентов — эффективности и корректности рабо- ты средств защиты.
    Европейские критерии определяют семь уровней адекватно- сти — от Е0 до Е6. При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектиро- вания до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитекту- ра системы, а адекватность средств защиты подтверждается функ- циональным тестированием. На уровне ЕЗ к анализу привлекают- ся исходные тексты программ и схемы аппаратного обеспечения.
    На уровне Е6 требуется формальное описание функций безопас- ности, общей архитектуры, а также политики безопасности.
    В Европейских критериях определены три уровня безопас- ности — базовый, средний и высокий. Степень безопасности системы определяется самым слабым из критически важных механизмов защиты.
    Безопасность считается базовой, если средства защиты спо- собны противостоять отдельным случайным атакам.
    Безопасность считается средней, если средства защиты спо- собны противостоять злоумышленникам, обладающим ограни- ченными ресурсами и возможностями.
    Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены толь- ко злоумышленником с высокой квалификацией, набор воз- можностей и ресурсов которого выходит за рамки возможного.
    Итак, Европейские критерии безопасности информацион- ных технологий, появившиеся вслед за Оранжевой книгой, ока- зали существенное влияние на стандарты безопасности и ме- тодику сертификации.

    169 8.4. Федеральные критерии безопасности информационных технологий США
    Главное достижение этого документа — введение понятия адекватности средств защиты и определение отдельной шка- лы для критериев адекватности. Как уже упоминалось, Евро- пейские критерии придают адекватность средств защиты даже большее значение, чем их функциональности. Этот подход ис- пользуется во многих появившихся позднее стандартах инфор- мационной безопасности.
    8.4. федеральные критерии безопасности информационных технологий сШа
    Федеральные критерии безопасности информацион- ных технологий (Federal Criteria for Information Technology
    Security) разрабатывались как одна из составляющих Амери- канского федерального стандарта по обработке информации
    (Federal Information Processing Standard), призванного заме- нить Оранжевую книгу. Разработчиками стандарта выступи- ли Национальный институт стандартов и технологий США
    (Nationa Institute of Standards and Technology) и Агентство на- циональной безопасности США (National Security Agency). Дан- ный обзор основан на версии 1.0 этого документа, опублико- ванной в декабре 1992 года.
    Этот документ разработан на основе результатов многочис- ленных исследований в области обеспечения безопасности ин- формационных технологий 1980-х — начала 1990-х гг., а так- же на основе анализа опыта использования Оранжевой книги.
    Федеральные критерии безопасности информационных тех- нологий (далее, просто Федеральные критерии) охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, т. к. включают все аспекты обе- спечения конфиденциальности, целостности и работоспособ- ности.

    170 8. Обзор международных стандартов информационной безопасности
    Основными объектами применения требований безопасно- сти Федеральных критериев являются
    · продукты информационных технологий (Information
    Technology Products);
    · системы обработки информации (Information Technology
    Systems).
    Под продуктом информационных технологий (далее просто
    ИТ-продукт) понимается совокупность аппаратных и/или про- граммных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство об- работки информации.
    Как правило, ИТ-продукт эксплуатируется не автономно, а интегрируется в систему обработки информации, представ- ляющую собой совокупность ИТ-продуктов, объединенных в функционально полный комплекс, предназначенный для ре- шения прикладных задач. В ряде случаев система обработки информации может состоять только из одного ИТ-продукта, обеспечивающего решение всех стоящих перед системой за- дач и удовлетворяющего требованиям безопасности. С точки зрения безопасности принципиальное различие между ИТ- продуктом и системой обработки информации определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет исполь- зован во многих системах обработки информации, и, следова- тельно, разработчик должен ориентироваться только на самые общие предположения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потреби- телей, что позволяет в полной мере учитывать специфику воз- действий со стороны конкретной среды эксплуатации.
    Федеральные критерии содержат положения, относящие- ся к отдельным продуктам информационных технологий. Во- просы построения систем обработки информации из набора

    171 8.4. Федеральные критерии безопасности информационных технологий США
    ИТ-продуктов не являются предметом рассмотрения этого до- кумента.
    Положения Федеральных критериев касаются собственных средств обеспечения безопасности ИТ-продуктов, т. е. меха- низмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, аппаратных или специ- альных средств. Для повышения их эффективности могут до- полнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как техниче- ские средства, так и организационные меры, правовые и юри- дические нормы. В конечном счете, безопасность ИТ-продукта определяется совокупностью собственных средств обеспечения безопасности и внешних средств.
    Ключевым понятием концепции информационной безопас- ности Федеральных критериев является понятие Профиль защи-
    ты
    (Proteсtion Profile). Профиль защиты — это нормативный документ, который регламентирует все аспекты безопасности
    ИТ-продукта в виде требований к его проектированию, техно- логии разработки и квалификационному анализу. Как правило, один Профиль защиты описывает несколько близких по струк- туре и назначению ИТ-продуктов. Основное внимание в Про- филе защиты уделяется требованиям к составу средств защиты и качеству и реализации, а также их адекватности предполага- емым угрозам безопасности.
    Федеральные критерии представляют процесс разработки систем обработки информации, начинающийся с формули- рования требований потребителями и заканчивающийся вве- дением в эксплуатацию, в виде следующих основных этапов:
    1. Разработка и анализ Профиля защиты. Требования, изло- женные в Профиле защиты, определяют функциональные воз- можности ИТ-продуктов по обеспечению безопасности и ус- ловия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности, Профиль защиты содержит требования по со-

    172 8. Обзор международных стандартов информационной безопасности блюдению технологической дисциплины в процессе разработ- ки, тестирования и квалификационного анализа ИТ-продукта.
    Профиль безопасности анализируется на полноту, непротиво- речивость и техническую корректность.
    2. Разработка и квалификационный анализ ИТ-продуктов.
    Разработанные ИТ-продукты подвергаются независимому ана- лизу, целью которого является определение степени соответ- ствия характеристик продукта сформулированным в Профиле защиты требованиям и спецификациям.
    3. Компоновка и сертификация системы обработки инфор- мации в целом. Успешно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработ- ки информации. Полученная в результате система должна удов- летворять заявленным в Профиле защиты требованиям при со- блюдении указанных в нем условий эксплуатации.
    Федеральные критерии регламентируют только первый этап этой схемы — разработку и анализ Профиля защиты, процесс создания ИТ-продуктов и компоновка систем обработки ин- формации остаются вне рамок этого стандарта.
    1   2   3   4   5   6   7   8   9


    написать администратору сайта