Функциональные критерии

В "Европейских критериях" средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. На первом уровне рассматриваются цели, которые преследует обеспечение безопасности, второй уровень содержит спецификации функций зашиты, а третий – реализующие их механизмы. Спецификации функций защиты предлагается рассматривать с точки зрения следующих требований:

- идентификация и аутентификация;

- управление доступом;

- подотчетность;

- аудит;

- повторное использование объектов;

- целостность информации;

- надежность обслуживания;

- безопасность обмен данными.

Большинство из перечисленных требований совпадает с аналогичными требованиями "Оранжевой книги". Остановимся лишь на специфичных для "Европейских критериев" моментах.

Требования безопасности обмена данными регламентируют работу средств, обеспечивающих безопасность данных, передаваемых по каналам связи, и включают следующие разделы:

- аутентификация;

- управление доступом;

- конфиденциальность данных;

- целостность данных;

- невозможность отказаться от совершенных действий.

Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы–шаблоны. В Европейских критериях" таких классов десять. Пять из них (F–Cl, F–C2, F–Bl, F–B2, F–B3) соответствуют классам безопасности "Оранжевой книги" с аналогичными обозначениями. Рассмотрим подробнее другие пять классов, т. к. их требования отражают точку зрения разработчиков стандарта на проблему безопасности.

Класс F–IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных, Его описании основано на концепции "ролей", соответствующих видам деятельности пользователей, и предоставлении доступа к определенным объектам только посредством доверенных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выполнение объектов.

Класс F–AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, например, для систем управления технологическими процессами. В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компонента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное время реакции системы на внешние события.

Класс F–DI ориентирован на распределенные системы обработки информации. Перед началом обмена и при получении данных стороны должны иметь возможность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информации. Знание алгоритма обнаружения искажений не должно позволять злоумышленнику производить нелегальную модификацию передаваемых данных. Должны обнаруживаться попытки повторной передачи ранее переданных сообщений.

Класс F–DC уделяет особое внимание требованиями к конфиденциальности передаваемой информации. Информация по каналам связи должна передаваться в зашифрованном виде. Ключи шифрования должны быть защищены от несанкционированного доступа.

Класс F–DX предъявляет повышенные требования и к целостности и к конфиденциальности информации. Его можно рассматривать как объединение классов F–DI и F–DC с дополнительными возможностями шифрования и защиты от анализа трафика. Должен быть ограничен доступ к ранее переданной информации, которая в принципе может способствовать проведению криптоанализа.