Анализ стандартов информационной безопасности

Главная задача стандартов информационной безопасности – согласовать позиции и цели производителей, потребителей и аналитиков классификаторов в процессе создания и эксплуатации продуктов информационных технологий. Каждая из перечисленных категорий специалистов оценивает стандарты и содержащихся в них требования и критерии по своим собственным параметрам.

Для большинства потребителей наибольшее значение имеют простота критериев безопасности и однозначность параметров выбора защищенной системы, а для наиболее квалифицированной части пользователей первую роль играет гибкость требований и возможность их применения к специфическим ИТ–продуктам и средам эксплуатации. Производители ИТ–продуктов требуют от стандартов максимальной конкретности и совместимости требований и критериев с современными архитектурами ВС, распространенными ОС и технологиями обработки информации.

Эксперты по квалификации хотят, чтобы стандарты информационной безопасности детально регламентировали процедуру квалификационного анализа и нуждаются в четких, простых, однозначных и легко применяемых критериях. Очевидно, что подобный идеал недостижим, и реальность требует от каждой стороны определенных компромиссов. Поэтому не будем проводить субъективный анализ стандартов с точки зрения каждого из участников процесса создания защищенных систем, а попытаемся ввести общие для всех "объективные" критерии сопоставления.

В качестве обобщенных показателей, характеризующих стандарты информационной безопасности и имеющих значение для всех трех сторон, предлагается использовать универсальность, гибкость, гарантированность, реализуемость и актуальность.

Универсальность стандарта определяется множеством типов ВС и областью информационных технологий, к которым могут быть корректно применены его положения. Это очень важная характеристика стандарта, ибо информационные технологии переживают период бурного развития, архитектура компьютерных систем совершенствуется, а сфера их применения постоянно расширяется. Стандарты информационной безопасности в своем развитии не должны отставать от современных информационных технологий или обходить ту или иную сферу их применения.

Под гибкостью стандарта понимается возможность и удобство его применения к постоянно развивающимся информационным технологиям и время его "устаревания". Гибкость может быть достигнута исключительно через фундаментальность требований и критериев и их инвариантность по отношению к механизмам реализации и технологиям создания ИТ–продуктов. Однако, очевидно, что чрезмерная абстрактность требований и оторванность их от практики снижает их реализуемость.

Гарантированность определяется мощностью предусмотренных стандартом методов и средств подтверждения надежности результатов квалификационного анализа. Вначале этому вопросу не уделялось много внимания, но анализ опыта применения первых стандартов информационной безопасности показал, что для достижения поставленных целей аналитики, классификаторы должны иметь возможность обосновывать свои заключения, а разработчики нуждаются в механизмах, с помощью которых они могли бы подтвердить корректность своих притязаний и предоставить потребителям определенные гарантии.

Реализуемость – это возможность адекватной реализации требований и критериев стандарта на практике, с учетом затрат на этот процесс. Реализуемость во многом связана с универсальностью и гибкостью, но отражает чисто практические и технологические аспекты реализации положений и требований стандарта.

Актуальность отражает соответствие требований и критериев стандарта постоянно развивающемуся множеству угроз безопасности и новейшим методам и средствам, используемым злоумышленниками. Эта характеристика, наряду с универсальностью является одной из важнейших, т. к. способность противостоять угрозам и прогнозировать их развитие фактически определяет пригодность стандарта и является решающим фактором при определении его пригодности.

Классификация рассмотренных стандартов информационной безопасности по предложенным показателям приведена в таб. 13.4.

Степень соответствия стандартов предложенным показателям определяется по следующей качественной шкале:

- ограниченное соответствие – недостаточное соответствие, при применении
стандарта возникают существенные трудности;

- умеренное соответствие – минимальное соответствие, при применении
стандарта в большинстве случаев существенных трудностей не возникает;

- достаточное соответствие – удовлетворительное соответствие, при применении стандарта в большинстве случаев не возникает никаких трудностей, однако эффективность предлагаемых решений не гарантируется;

- высокое соответствие – стандарт предлагает специальные механизмы и процедуры, направленные на улучшение данного показателя, применение которых позволяет получать достаточно эффективные решения;

- превосходное соответствие – улучшение данного показателя рассматривалось авторами стандарта в качестве одной из основных целей его разработки, что обеспечивает эффективность применения предложенных решений.

Таблица 13.4. Сопоставление стандартов информационной безопасности.

Рассмотрим, в какой степени стандарты информационной безопасности отвечают предложенным показателям, и проследим направления, которым шло их развитие.

Универсальность

На этапе начального становления и развития стандартов информационной безопасности универсальности уделялось мало внимания т.к. во-первых, разработчикам стандартов казалось, что в обеспечении безопасности нуждается только ограниченный круг потребителей, находящихся в правительственных и военных сферах, и, во-вторых, темпы информатизации тогда были относительно низкими.

Поэтому первый стандарт безопасности – "Оранжевая книга" предназначался для систем военного применения, основанных в те годы исключительно на мэйнфреймах, и его адаптация для распределенных систем и баз данных потребовала разработки дополнительных докумен­тов. С учетом этого опыта сфера применения вышедших несколькими го­дами позже "Европейских критериев" значительно расширена, – уже на уровне базового документа в этот стандарт вошли распределенные системы, сети, системы телекоммуникаций и СУБД.

Однако, в этом документе по-прежнему явным образом оговаривается архитектура и назначение систем, к которым он может быть применен, и никак не регламентируется среда их эксплуатации. Документы Гостехкомисси России имеют довольно ограниченную сферу применения – это персональные (видимо это объясняется тотальным распространением PC в нашей стране) и многопользовательские системы, причем ориентация системы на обслуживание конечных пользователей является обязательным условием. "Федеральные критерии" подняли область применения стандартов на новый уровень, начав рассматривать в качестве объекта их применения любые продукты информационных технологий, независимо от их назначения, проводя различие только между характеристиками среды их эксплуатации. "Канадские критерии" рассматривают в качестве области своего применения все типы компьютерных систем.

Наконец, "Единые критерии" завершили процесс расширения сферы применения стандартов информационной безопасности предложив такую технологию создания ИТ–продуктов, при которой использовании данного стандарта является неотъемлемым компонентом.

Гибкость

Гибкость положений стандарта определяет удобство его использования потребителями и производителями систем обработки информации. Возможно именно потому, что требования первого стандарта ("Оранжевой книги") были в большинстве своем инвариантными к механизмам реализации, они оказались слишком абстрактными для непосредственного применения во многих случаях, что потребовало их комментирования, дополнения и расширения. "Европейские критерии" унаследовали такой стиль изложения требований, но пошли по пути экстенсивного развития, предусмотрев специальные уровни и требования, рассчитанные на типовые системы (СУБД, телекоммуникации и т. д.).

Руководящие документы ГТК по конкретности своих требований превзошли даже уровень "Оранжевой книги", т. к. подробно регламентируют реализацию функций защиты (например, это единственный стандарт, который в ультимативной форме требует применения криптографии), что значительно снижает удобство их использования – в конкретных ситуациях многие требования часто оказываются избыточными и ненужными.

Более того, ограничение области применения данного стандарта системами, ориентированными на конечного пользователя, ставит отечественных разработчиков и экспертов по сертификации в затруднительное положение при применении эти документов, скажем, к программному обеспечению маршрутизатора или межсетевого экрана (у этих систем в принципе нет пользователей как физических лиц). "Федеральные крите­рии" обеспечивают гибкость на качественно новом по сравнению с предшествующими стандартами уровне, впервые предложив механизм Профилей защиты, с помощью которых можно создавать специальные наборы требований, соответствующие запросам потребителей конкретного продукта и угрозам среды его эксплуатации. "Канадские критерии" не рассматривают Профиль защиты в качестве обязательного элемента безопасности информационных технологий, и также обладают определенной спецификой в своем подходе к основным понятиям безопасности, поэтому их гибкость можно оценить только как достаточную.

Наконец, "Единые критерии" обладают практически совершенной гибкостью, т. к. позволяют потребителям выразить свои требования с помощью механизма Профилей защиты, в форме инвариантной к механизмам реализации, а производителям – продемонстрировать с помощью Проекта защиты как эти требования преобразуются в задачи защиты и реализуются на практике.

В этом случае процесс квалификации уровня безопасности ИТ–продукта представляет собой проверку взаимного соответствия Профиля защиты, Проекта защиты и реализованного ИТ–продукта, а также их соответствия "Единым критериям".

Гарантированность

Гарантированность обеспечиваемого уровня защиты сначала рассматривалась разработчиками стандартов только для высших уровней безопасности. Поэтому "Оранжевая книга" предусматривала обязательное применение формальных методов верификации при только создании систем высшего класса защищенности (класс А).

Однако необходимость контроля корректности реализации требований и подтверждения эффективности средств защиты для систем всех уровней была осознана достаточно быстро. Уже в "Европейских критериях" появляется специальный раздел требований – требования адекватности, которые регламентируют технологию и инструментарий разработки, а также контроль за процессами проектирования и разработки.

К сожалению, документы ГТК практически полностью проигнорировали этот, на наш взгляд ключевой аспект безопасности информационных технологий, и обходят данный вопрос молчанием. "Федеральные критерии" содержат два специальных раздела требований, посвященных этому аспекту безопасности, содержащие требования к технологии разработки и к процессу квалификационного анализа.

"Канадские критерии" включают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функциональных требований. "Единые критерии" рассматривают гарантированность реализации защиты как самый важный компонент информационной безопасности и предусматривают многоэтапный контроль на каждой стадии разработки ИТ–продукта, позволяющий подтвердить соответствие полученных результатов поставленным целям путем доказательства адекватности задач защиты требованиям потребителей, адекватности Проекта защиты "Единым критериям" и адекватности ИТ–продукта Проекту защиты.

Реализуемость

Плохие показатели реализуемости говорят о практической бесполезности стандарта, поэтому все рассмотренные документы отвечают этому показателю в достаточной или высокой степени. Реализация требований "Оранжевой книги", за исключением высшего класса (класса А), большой сложности не представляет, что подтверждается большим числом систем, сертифицированных на соответствие классам В и С (около 30 систем).

Авторам известна только две системы, сертифицированная на соответствие классу А, причем политика безопасности в одной из них реализована на аппаратном уровне с помощью контроля операндов каждой инструкции, т. е. разработчикам пришлось спроектировать и реализовать специальный процессор. Остальные стандарты решают эту проблему за счет гибкости предлагаемых требований и критериев.

О "Канадских критериях" стоит упомянуть особо, поскольку своим нетрадиционным толкованием понятий "объект" и "субъект" они осложняют разработчикам процесс реализации предложенных требований, что и определило уровень их соответствия данному показателю только как достаточный. "Единые критерии" и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет потрясающей степени подробности функциональных требований (135 требований), фактически служащих исчерпывающем руководством по разработке защищенных систем. Отметим, что это единственный показатель, по которому документы ГТК не отстают от остальных стандартов информационной безопасности.

Актуальность

Актуальность стандартов информационной безопасности возрастает с расширением сферы их применения и появлением опыта их использования. "Оранжевая книга", хотя и содержит предпосылки для противодействия всем основным видам угроз, содержит требования, в основном направленные на противодействие угрозам конфиденциальности, что объясняется ее ориентированностью на системы военного назначения. "Европейские критерии" находятся примерно на том же уровне, хотя и уделяют угрозам целостности гораздо больше внимания.

Документы ГТК с точки зрения этого показателя выглядят наиболее отсталыми, – уже в самом их названии определена единственная рассматриваемая в них угроза – несанкционированный доступ. "Федеральные критерии" рассматривают все виды угроз достаточно подробно и предлагают механизм Профилей защиты для описания угроз безопасности, присущих среде эксплуатации конкретного ИТ–продукта, что позволяет учитывать специфичные виды угроз.

"Канадские критерии" ограничиваются типовым набором угроз безопасности, достаточным для большинства применений. "Единые критерии" ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы (Профиль и Проект защиты), что дает возможность выстроить на их основе динамичную и постоянно адаптирующуюся к новым задачам технологию создания безопасных ин­формационных систем.

Представленный анализ стандартов информационной безопасности и основных тенденций их развития позволяет сделать следующие выводы.

1. Развитие стандартов привело к отказу от единой шкалы ранжирования требований и критериев, замене их множеством независимых частных показателей и введению частично упорядоченных шкал.

2. Неуклонное возрастание роли требований адекватности реализации защиты и политики безопасности свидетельствует о тенденции преобладания "качества" обеспечения защиты над ее "количеством".

3. Определение ролей производителей, потребителей и экспертов по квалификации ИТ–продуктов и разделение их функций в процессе создания защищенных систем обработки информации свидетельствует о полноправной интеграции стандартов обеспечения безопасности в сферу информационных технологий.

4. Сложившееся на основе современных стандартов разделение ролей участников процесса создания и эксплуатации защищенных систем, применение соответствующих механизмов и технологий привело к сбалансированному распределению ответственности между всеми участниками процесса.

5. Современные тенденции интеграции информационных технологий и стремление к созданию безопасного всемирного информационного пространства привели к необходимости интернационализации стандартов информационной безопасности.

Выводы

Итак, мы рассмотрели стандарты информационной безопасности, начиная с самых первых и заканчивая последним, обобщившим опыт применения предшествующих документов. Что это дает для решения по­ставленной задачи – построения защищенной системы, кроме изучения накопленного за четырнадцать лет опыта?

Во-первых, мы определили задачи, которые должны быть решены в ходе создания защищенной системы (задачи защиты): эффективное противостояние угрозам безопасности, действующим в среде ее эксплуатации, и корректная реализация политики безопасности.

Во-вторых, таксономия функциональных требований или критериев, приведенная для каждого стандарта, позволяет определить набор функциональных возможностей средств защиты, которые должны быть реализованы в защищенной системе.

Наконец, впервые в отечественной литературе столь подробно представлены основные стандарты информационной безопасности, содержащиеся в них требования, технологии их применения.

Смысл включения в книгу данной главы состоит в том, что изложенный материал позволяет определить, какими свойствами должна обладать защищенная система, каким условиям должна отвечать ее архитектура, какие функциональные возможности должны обеспечивать средства защиты, какие требования могут быть предъявлены в ходе сертификации, каким образом должны строиться процессы проектирования, разработки и сертификации. Таким образом, представленный обзор служит руководством по всем существенным элементам современных технологий создания защищенных систем.

Представленный материал позволяет сформулировать задачи каждого из участников процесса создания защищенных систем (потребители, производители, эксперты по сертификации), которые должны быть реше­ны для достижения поставленной цели. Наряду с исследованием причин нарушений безопасности, теоретическими основами защиты – моделями безопасности и криптографией, а также архитектурой построения защищенных систем, этот материал служит основой для технологии создания защищенных систем.

Вопросы для самоконтроля

1.Перечислите категории требований безопасности «Оранжевой книги».

2.Перечислите шесть базовых требований безопасности «Оранжевой книги».

3.Перечислите классы безопасности компьютерных систем «Оранжевой книги».

4.Охарактеризуйте критерии адекватности «Европейских критериев».

5.В чем заключается разница между АС и СВТ?

6.Перечислите основные способы НСД согласно «Концепции защиты АС и СВТ от НСД к информации».

7.Сколько существует классов защищенности СВТ от НСД.

8.Чем различаются три группы автоматизированных систем?

9.На каком из классов защищенности АС от НСД появляется требование реализации мандатной политики безопасности?

10.Что такое профиль защиты согласно «Единым критериям»?

11.Охарактеризуйте функциональные требования согласно «Единым критериям».

Список литературы

1. Алексенцев А.И. Защита информации. Словарь базовых терминов и определений. М; РГГУ, 2000.

2. Алексенцев А.И. О классификации конфиденциальной информации по видам тайны. – «Безопасность информационных технологий». - 1999, № 3.

3. Алексенцев А.И. О концепции защиты информации. – «Безопасность информационных технологий», 1998, № 4

4. Алексенцев А.И. О составе защищаемой информации. – «Безопасность информационных технологий». - 1999, № 2.

5. Алексенцев А.И. Понятие и назначение комплексной системы защиты информации. - «Вопросы защиты информации», 1996, № 2.

6. Алексенцев А.И. Понятие и структура угроз защищаемой информации. – «Безопасность информационных технологий», 2000, № 3.

7. Алексенцев А.И. Сущность и соотношение понятий «Защита информации», «безопасность информации», «информационная безопасность», «Безопасность информационных технологий», 1999, № 1.

8. Аникин И.В., Глова В.И. Методы и средства защиты компьютерной информации. Учебное пособие. Казань. Изд-во КГТУ им. А.Н. Туполева.

9. Белов Е.Б., Лось В., Мещеряков Р.В., Шелупанов Д.А. Основы информационной безопасности. Учебное пособие для вузов // М.: Горячая линия – Телеком, 2006.

10. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. Екатеринбург.: Изд-во Урал. ун-та, 2003

11. Гайкович Ю.В., Ершов Д.В. Основы безопасности информационных технологий. Уч. пособие. МИФИ. – М.: 1995

12. Герасименко В.А., Малюк А.А. Основы защиты информации. –М.: ООО «Инкомбук», 1997.

13. ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию».

14. ГОСТ Р МЭК/ИСО 15408 «Безопасность информационных технологий. Критерии безопасности информационных технологий».

15. ГОСТ Р МЭК/ИСО 17799-200 «Информационная технология. Практические правила управления информационной безопасностью».

16. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М.: Издательство «Яхтсмен», 1996.

17. Девянин П.Н. Модели безопасности компьютерных систем. Учебное пособие для студентов высших учебных заведений // М.: Издательский центр «Академия», 2005.

18. Жельников В.. Криптография от папируса до компьютера. М.: АBF, 1996.

19. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. М.: Горячая линия-Телеком, 2000. 452 с., ил.

20. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. М.: КУДИЦ-ОБРАЗ, 2001.

21. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ – Петербург, 2003. -752 с.: ил.

22. Корт С.С. Теоретические основы защиты информации: Учебное пособие – М.: Гелиос АРВ, 2004.

23. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие для вузов. М.: Горячая линия – Телеком, 2004.

24. РД. ФСТЭК «Концепция защиты СВТ и АС от НСД к информации».

25. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф.. Защита информации в компьютерных системах и сетях. М.: Радио и связь,1999.

26. Смит Р.Э. Аутентификация: от паролей до открытых ключей. Вильямс, 2002.

27. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов/Девянин П.Н., Михальский О.О., Правиков Д.И. и др. – М.:Радио и связь, 2000 – 192 с

28. Хоффман Л. Современные методы защиты информации. Пер. с англ./под ред. В.А. Герасименко – М.: Сов. Радио, 1980.

29. Щербаков А.Ю. Компьютерная безопасность. Теория и практика // М.: Издатель Молгачева С.В., 2001.