Единые критерии безопасности информационных технологий

Цель разработки

"Единые критерии безопасности информационных технологий" (Common Criteria for Information Technology Security Evaluation, далее просто "Единые критерии") являются результатом совместных усилий авторов "Европейских критериев безопасности информационных технологий", "Федеральных критериев безопасности информационных технологий" и "Канадских критериев безопасности компьютерных систем", направленных на объединение основных положений этих документов и создание единого международного стандарта безопасности информационных технологий. Работа над этим самым масштабным в истории стандартов информационной безопасности проектом началась в июне 1993 года с целью преодоления концептуальных и технических различий между указанными документами, их согласования и создания единого международного стандарта. Версия 2.1 этого стандарта утверждена Международной организацией по стандартизации (ISO) в 1999 в качестве международного стандарта информационной безопасности ISO/IEC 15408.

Первая версия "Единых критериев" была опубликована 31 января 1996 г. Разработчиками документа выступили Национальный институт стандартов и технологий и Агентство национальной безопасности США, а также соответствующие организации Великобритании, Канады, Франции и Нидерландов. Вторая версия вышла в мае 1998, причем она отличается от первоначальной довольно существенными исправлениями и дополнениями. Данный обзор базируется на версии 2.1, отличающейся незначительными исправлениями, сделанными в ходе утверждения стандарта в комитетах ISO.

"Единые критерии" сохраняют совместимость с существующими стандартами и развивают их путем введения новых концепций, соответствующих современному уровню развития информационных технологий и интеграции национальных информационных систем в единое мировое информационное пространство. Этот документ разработан на основе достижений многочисленных исследований в области безопасности информационных технологий 90-х годов и на результатах анализа опыта применения положенных в его основу стандартов. "Единые критерии" оперируют уже знакомым нам по Федеральным критериям понятием "продукт информационных технологий", или ИТ–продукт, и используют предложенную в них концепцию Профиля защиты.

"Единые критерии" разрабатывались в расчете на то, чтобы удовлетворить запросы трех группы специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей продуктов информационных технологий, а также экспертов по квалификации уровня их безопасности.

Потребители рассматривают квалификацию уровня безопасности ИТ-продукта как метод определения соответствия ИТ-продукта их запросам. Обычно эти запросы составляются на основании результатов проведенного анализа рисков и выбранной политики безопасности. "Единые критерии" играют существенную роль в процессе формирования запросов потребителей, так как содержат механизмы, позволяющие сформулировать эти запросы в виде стандартизованных требований. Это позволяет потребителям принять обоснованное решение о возможности использования тех или иных продуктов. Наконец, "Единые критерии" предоставляют потребителям механизм Профилей защиты, с помощью которого они могут выразить специфичные для них требования, не заботясь о механизмах их реализации.

Производители должны использовать "Единые критерии" в ходе проектирования и разработки ИТ-продуктов, а также для подготовки к квалификационному анализу и сертификации. Этот документ дает возможность производителям на основании анализа запросов потребителей определить набор требований, которым должен удовлетворять разрабатываемый им продукт. Производители используют предлагаемую "Едиными критериями" технологию для обоснования своих претензий на то, что поставляемый ими ИТ–продукт успешно противостоит угрозам безопасности, на основании того, что он удовлетворяет выдвинутым функциональным требованиям и их реализация осуществлена с достаточным уровнем адекватности. Для осуществления этой технологии "Единые критерии" предлагают производителям специальный механизм, названный Проект защиты, дополняющий Профиль защиты и позволяющий соединить описания требований, на которые ориентировался разработчик, и спецификации механизмов реализации этих требований.

Кроме того, производители могут использовать "Единые критерии" для определения границ своей ответственности, а также условий, которые необходимо выполнить для успешного прохождения квалификационного анализа и сертификации созданного ими продукта.

Эксперты по квалификации используют этот документ в качестве основных критериев определения соответствия средств защиты ИТ–продукта требованиям, предъявляемым к нему потребителями и угрозам, действующим в среде его эксплуатации. "Единые критерии" описывают только общую схему проведения квалификационного анализа и сертификации, но не регламентируют процедуру их осуществления. Вопросам методологии квалификационного анализа и сертификации посвящен отдельный документ – "Общая методология оценки безопасности информационных технологий".

Таким образом, "Единые критерии" обеспечивают нормативную поддержку процесса выбора ИТ–продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.

"Единые критерии" рассматривают информационную безопасность, во–первых, как совокупность конфиденциальности и целостности информации, обрабатываемой ИТ–продуктом, а также доступности ресурсов ВС, и, во–вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации.

Поэтому в концепцию "Единых критериев" входят все аспекты процесса проектирования, производства и эксплуатации ИТ–продуктов, предназначенных для работы в условиях действия определенных угроз безопасности. Причинно–следственные связи, установленные между базовыми понятиями "Единых критериев", показаны на рис. 13.6. Потребители ИТ–продуктов озабочены наличием угроз безопасности, приводящих к определенным рискам для обрабатываемой информации.

Рис. 3.6. Основные понятия «Единых критериев»

Для противодействия этим угрозам ИТ–продукты должны включать в свой состав средства защиты, противодействующие этим угрозам, и направленные на устранение уязвимостей, однако ошибки в средствах защиты в свою очередь могут приводить к появлению новых уязвимостей. Сертификация средств защиты позволяет подтвердить их адекватность угрозам и рискам.

Основные положения

"Единые критерии" регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ–продуктов используя схему уже знакомую нам по "Федеральным критериям". "Единые критерии" предлагают достаточно сложную и бюрократичную концепцию процесса разработки и квалификационного анализа ИТ–продуктов, требующую от потребителей и производителей огромного количества работы по составлению и оформлению весьма объемных и подробных нормативных документов. Коротко рассмотрим основные положения и разделы этих документов, но сначала введем определения для некоторых базовых понятий "Единых критериев":

Задачи защиты – базовое понятие "Единых критериев", выражающее потребность потребителей ИТ–продукта в противостоянии заданному множеству угроз безопасности или в необходимости реализации политики безопасности.

Профиль защиты – специальный нормативный документ, представляющий собой совокупность Задач защиты, функциональных требований, требований адекватности и их обоснования. Служит руководством для разработчика ИТ–продукта при создании Проекта защиты.

Проект защиты – специальный нормативный документ, представляющий собой совокупность Задач защиты, функциональных требований, требований адекватности, общих спецификаций средств защиты и их обоснования. В ходе квалификационного анализа служит в качестве описания ИТ–продукта.

Согласно "Единым критериям", безопасность информационных технологий может быть достигнута посредством применения предложенной в их авторами технологии разработки, сертификации и эксплуатации ИТ–продуктов. На рис. 13.7. представлена схема технологического цикла применения "Единых критериев".

Рис. 3.7. Схема процесса разработки и квалификационного анализа ИТ-продукта с точки зрения «Единых критериев»

С точки зрения авторов "Единых критериев" наиболее существенным аспектом требований безопасности, на которые ориентируются разработчики при создании ИТ–продукта, является их соответствие нуждам его потребителей. Только при соблюдении этого условия будет достигнута поставленная цель – обеспечение безопасности информационных технологий в условиях действия угроз безопасности.

"Единые критерии" определяют множество типовых требований, которые в совокупности с механизмом Профилей защиты позволяют потребителям создавать частные наборы требований, отвечающие их нуждам. Разработчики могут использовать Профиль защиты как основу для создания спецификаций своих продуктов. Профиль защиты и спецификации средств защиты составляют Проект защиты, который и представляет ИТ–продукт в ходе квалификационного анализа.

Квалификационный анализ может осуществляться как параллельно с разработкой ИТ–продукта, так и после ее завершения. Для проведения квалификационного анализа разработчик продукта должен представить следующие материалы:

1. Профиль защиты, описывающий назначение ИТ–продукта и характеризующий среду его эксплуатации, а также устанавливающий Задачи защиты и требования, которым должен отвечать продукт;

2. Проект защиты, включающий спецификации средств защиты, а также обоснование соответствия ИТ–продукта задачам защиты из Профиля защиты и указанным в нем требованиям "Единых критериев";

- различные обоснования и подтверждения свойств и возможностей ИТ–продукта, полученные разработчиком;

- сам ИТ–продукт;

- дополнительные сведения, полученные путем проведения различных независимых экспертиз.

Процесс квалификационного анализа включает три стадии:

1. Анализ Профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности использования в качестве набора требований для анализируемого продукта.

2. Анализ Проекта защиты на предмет его соответствия требованиям Профиля защиты, а также полноты, непротиворечивости, реализуемости и возможности использования в качестве эталона при анализе ИТ–продукта.

3. Анализ ИТ-продукта на предмет соответствия Проекту защиты.
Результатом квалификационного анализа является заключение о том, что проанализированный ИТ–продукт соответствует представленному Проекту защиты. Заключение состоит из нескольких отчетов, отличающихся уровнем детализации, и содержащих мнение экспертов по квалификации об ИТ–продукте на основании критериев квалификации – "Единых критериев". Эти отчеты могут использоваться как производителями, так и потребителями ИТ–продукта.

Применение квалификационного анализа и сертификации приводит к повышению качества работы производителей в процессе проектирования и разработки ИТ–продуктов. В продуктах прошедших квалификацию уровня безопасности вероятность появления ошибок и изъянов защиты и уязвимостей существенно меньше, чем в обычных продуктах. Все это позволяет говорить о том, что применение "Единых критериев" оказывают положительное и конструктивное влияние на процесс формирование требований, разработку ИТ–продукта, сам продукт и его эксплуатацию.

Основными документами, описывающими все аспекты безопасности ИТ–продукта, с точки зрения пользователей и разработчиков являются соответственно Профиль защиты и Проект защиты. Рассмотрим структуру и содержание этих документов.

Профиль защиты

Профиль защиты определяет требования безопасности к определенной категории ИТ-продуктов, не уточняя методы и средства их реализации. С помощью Профилей защиты потребители формулируют свои требования к производителям.

Структура Профиля защиты "Единых критериев" существенно отличается от структуры документа с тем же названием, обсуждавшегося в разделе, посвященном "Федеральным критериям". Эта структура представлена на рис. 13.8.

Рассмотрим назначение и содержание разделов Профиля защиты. Введение содержит информацию, необходимую для поиска Профиля защиты в библиотеке профилей.

Идентификатор Профиля защиты представляет собой уникальное имя, пригодное для его поиска среди подобных ему профилей и обозначения ссылок на него.

Обзор содержания содержит краткую аннотацию Профиля защиты, на основании которой потребитель может сделать вывод о соответствии данного профиля его запросам.

Описание ИТ–продукта содержит его краткую характеристику, функциональное назначение, принципы работы, методы использования и т.д. Эта информация не подлежит анализу и сертификации, но предоставляется экспертам для пояснения требований безопасности и определения их соответствия задачам, решаемым с помощью ИТ–продукта, а также для общего понимания его структуры и принципов работы.

Рис. 13.8. Структура Профиля защиты согласно «Единым критериям»

Среда эксплуатации. Этот раздел содержит описание среды функционирования ИТ–продукта с точки зрения безопасности.

Условия эксплуатации. Описание условий эксплуатации ИТ–продукта должно содержать исчерпывающую характеристику среды его эксплуатации с точки зрения безопасности, в том числе ограничения на условия его применения.

Угрозы безопасности. Описание угроз безопасности, действующих в среде эксплуатации, которым должна противостоять защита ИТ–продукта. Для каждой угрозы должен быть указан ее источник, метод и объект воздействия.

Политика безопасности. Описание политики безопасности должно определять и, при необходимости, объяснять правила политики безопасности, которая должна быть реализована в ИТ–продукте.

Задачи защиты отражают потребности пользователей в противодействии указанным угрозам безопасности и/или реализации политики безопасности.

Задачи защиты ИТ–продукта отражают потребности пользователей в противодействии угрозам безопасности и/или реализации политики безопасности.

Другие задачи защиты отражают необходимость участия средств защиты ИТ–продукта в противодействии угрозам безопасности и/или реализации политики безопасности совместно с другими компонентами информационных технологий. Требования безопасности. В этом разделе Профиля защиты содержатся требования безопасности, которым должен удовлетворять ИТ–продукт для решения задач защиты.

Раздел функциональных требований должен содержать только типовые требования, предусмотренные соответствующими разделами "Единых критериев". Необходимо обеспечить такой уровень детализации требований, который позволяет продемонстрировать их соответствие задачам защиты. Функциональные требования могут предписывать или запрещать использование конкретных методов и средств защиты.

Раздел требований адекватности содержит ссылки на типовые требования уровней адекватности "Единых критериев", но допускает и определение дополнительные требований адекватности. Раздел требований к среде эксплуатации является необязательным и может содержать функциональные требования и требования адекватности, которым должны удовлетворять компоненты

информационных технологий, составляющие среду эксплуатации ИТ–продукта. В отличие от предыдущих разделов использование типовых требований "Единых критериев" является желательным, но не обязательным.

Дополнительные сведения – необязательный раздел, содержащий любую дополнительную информацию, которая может быть полезна для проектирования, разработки, квалификационного анализа и сертификации ИТ–продукта.

Обоснование должно демонстрировать, что Профиль защиты содержит полное и связное множество требований, и что удовлетворяющий им ИТ–продукт будет эффективно противостоять угрозам безопасности среды эксплуатации.

Обоснование задач защиты должно демонстрировать, что задачи защиты, предложенные в профиле, соответствуют параметрам среды эксплуатации, и их решение позволит эффективно противостоять угрозам безопасности и реализовать политику безопасности. Обоснование требований безопасности показывает, что требования безопасности позволяют эффективно решить задачи защиты, поскольку:

- совокупность целей, преследуемых отдельными функциональными требованиями, соответствует установленным задачам защиты;

- требования безопасности являются согласованными, т. е. не противоречат друг другу, а, наоборот, взаимно усиливают;

- выбор требований является оправданным (особенно это относится к дополнительным требованиям, не содержащимся в "Единых критериях");

- выбранный набор функциональных требований и уровень требований адекватности соответствуют Задачам защиты.

Профиль защиты служит отправной точкой для производителя в процессе создания Проекта защиты, который является техническим проектом для разработки ИТ–продукта и представляет его в ходе квалификационного анализа.

Проект защиты

Проект защиты содержит требования и задачи защиты ИТ–продукта, а также описывает уровень функциональных возможностей реализованных в нем средств защиты, их обоснование и подтверждение степени их адекватности. Проект защиты, с одной стороны является отправной точкой для разработчика системы, а с другой представляет собой эталон системы в ходе квалификационного анализа. Структура Проекта защиты представлена на рис. 13.9.

Рис. 3.9. Структура Проекта защиты согласно «Единым критериям»

Многие разделы Проекта защиты совпадают с одноименными разделами Профиля защиты, поэтому рассмотрим только те разделы, которые специфичны для Проекта защиты, а также те, которые претерпели изменения.

Введение содержит информацию, необходимую для идентификации Проекта защиты, определения назначения, а также обзор его содержания Идентификатор представляет собой уникальное имя Проекта защиты, необходимое для поиска и идентификации Проекта защиты и соответствующего ему ИТ–продукта.

Обзор содержания представляют собой достаточно подробную аннотацию Проекта защиты, позволяющую потенциальным потребителям определить пригодность ИТ–продукта для решения их задач.

Заявка на соответствие "Единым критериям" содержит описание всех свойств ИТ–продукта, подлежащих квалификационному анализу на основе "Единых критериев".

Раздел Требований безопасности Проекта защиты содержит требования безопасности к ИТ–продукту, которыми руководствовался производитель в ходе его разработки. Этот раздел несколько отличается от аналогичного раздела Профиля защиты.

Раздел функциональных требований к ИТ–продукту в отличие от соответствующего раздела Профиля защиты допускает использование кроме типовых требований "Единых критериев" других, специфичных для данного продукта и среды его эксплуатации. При описании таких специальных требований необходимо сохранять стиль "Единых критериев" и обеспечивать присущую им степень подробности.

Раздел требований адекватности может включать уровни адекватности, не предусмотренные в "Единых критериях". В этом случае описание уровня адекватности должно быть четким, непротиворечивым и обладать степенью подробности, допускающей его использование в ходе квалификационного анализа. При этом желательно использовать стиль и подробность описания уровней адекватности, принятые в "Единых критериях".

Общие спецификации ИТ–продукта описывают механизмы осуществления Задач защиты с помощью определения высокоуровневых спецификаций средств защиты в соответствии с предъявляемыми функциональными требованиями и требованиями адекватности.

Спецификации функций защиты описывают функциональные возможности средств защиты ИТ–продукта, заявленные его производителем как реализующие требования безопасности. Форма представления спецификаций должна позволять определять соответствия между функциями защиты и требованиями безопасности Спецификации уровня адекватности определяют заявленный уровень адекватности защиты ИТ–продукта и его соответствие требованиям адекватности в виде представления параметров технологии проектирования и создания ИТ–продукта. Эти параметры должны быть представлены в форме, позволяющей определить их соответствие требованиям адекватности.

Заявка на соответствие Профилю защиты. Проект защиты претендует на удовлетворение требований одного или нескольких Профилей защиты. Этот необязательный раздел содержит материалы, необходимые для подтверждения заявки. Для каждого Профиля защиты, на реализацию которого претендует Проект защиты, этот раздел должен содержать следующую информацию;

Ссылка на Профиль защиты однозначно идентифицирует Профиль защиты, на реализацию которого претендует Проект защиты, с указанием случаев, в которых обеспечиваемый уровень защиты превосходит требования Профиля. Корректная реализация Профиля защиты подразумевает корректную реализацию всех его требований без исключения.

Соответствие Профилю защиты определяет возможности ИТ–продукта, которые реализуют задачи защиты и требования, содержащиеся в Профиле защиты.

Усовершенствования Профиля защиты отражают возможности ИТ–продукта, которые выходят за рамки задач защиты и требований, установленных в Профиле защиты.

Обоснование должно показывать, что Проект защиты содержит полное и связное множество требований, что реализующий его ИТ–продукт будет эффективно противостоять угрозам безопасности, действующим в среде эксплуатации, и что общие спецификации функций защиты соответствуют требованиям безопасности. Кроме того, обоснование содержит подтверждение соответствия Профилю защиты. Обоснование Проекта защиты включает следующие разделы:

Обоснование задач защиты должно демонстрировать, что задачи защиты, предложенные в Проекте защиты, соответствуют свойствам среды эксплуатации, и что их решение позволит эффективно противодействовать угрозам безопасности и реализовать требуемую политику безопасности.

Обоснование требований безопасности показывает, что выполнение этих требований позволяет решить задачи защиты, т. к.:

- совокупность функциональных требований и требований адекватности, а также условий эксплуатации ИТ–продукта соответствуют задачам защиты;

- все требования безопасности являются непротиворечивыми и взаимно усиливают друг друга;

- выбор требований является оправданным;

- уровень функциональных возможностей средств защиты соответствует задачам защиты.

Обоснование общих спецификаций ИТ–продукта должно демонстрировать, что средства защиты и методы обеспечения их адекватности соответствуют предъявляемым требованиям поскольку:

- - совокупность средств защиты удовлетворяет функциональным требованиям;

- - требуемый уровень безопасности и надежности защиты обеспечивается предложенными средствами;

- - меры, направленные на обеспечение адекватности реализации функциональных требований, соответствуют предъявленным требованиям адекватности.

Обоснование соответствия Профилю защиты показывает, что требования Проекта защиты поддерживают все требования Профиля защиты. Для этого должно быть показано, что:

- все усовершенствования задач защиты по сравнению с Профилем защиты осуществлены корректно и в направлении их развития и конкретизации;

- все усовершенствования требований безопасности по сравнению с Профилем защиты осуществлены корректно и в направлении их развития и конкретизации;

- все задачи защиты Профиля защиты успешно решены и все требования Профиля защиты удовлетворены;

- никакие дополнительно введенные в Проект защиты специальные задачи защиты и требования безопасности не противоречат Профилю защиты.

Как видно из приведенной структуры Профиля и Проекта зашиты и краткого обзора их содержания, эти документы практически исчерпывающим образом регламентируют взаимодействие потребителей, производителей и экспертов по квалификации в процессе создания ИТ–продукта. Фактически, положения этих документов определяют технологию разработки защищенных систем.

Самым важным элементом этой технологии являются требования безопасности. Поскольку "Единые критерии" обобщают все предшествующие решения в этой области, рассмотрим их более подробно.