Новое поколение нормативно-технических документов (ГОСТ Р ИСО/МЭК 15408-2008)

До 2002 г. единственными нормативными документами по критериям оценки защищённости средств вычислительной техники и автоматизированных систем являлись рассмотренные выше руководящие документы ФСТЭК России.

Качественно новым этапом в развитии нормативной базы оценки безопасности ИТ послужило начало разработки и апробация (во исполнение решений Совета безопасности Российской Федерации от 26.03.2002 № 1.2 и Коллегии Гостехкомиссии России от 30.05.2002 № 9.2) нового поколения нормативных документов в системе сертификации ФСТЭК России на основе методологии ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который содержал полный аутентичный текст Международного стандарта ISO/IEC 15408:1999 «Information Technology. Security techniques. Evaluation criteria for П security», так называемые «Общие критерии».

Ещё начиная с 70-х годов службами безопасности США делались исследования в области формальных методов оценки безопасности, связанной с использованием ИТ. Позднее, в 90-х, эта деятельность привела к разработке набора критериев TCSEC (Trusted Computer System Evaluation Criteria), более известного как «Оранжевая книга», а также «Федеральных критериев безопасности информационных технологий». Аналогичные критерии были разработаны и в других странах: «Гармонизированные критерии европейских стран» (Information Technology Security Evaluation Criteria), «Канадские критерии оценки безопасности компьютерных продуктов» и т. д.

Понимая, что национальные критерии будут препятствовать широкому распространению продуктов в области ИТ-безопасности, в 1990 году под эгидой ISO были начаты работыпо унификации национальных стандартов. В 1993 году организации США, Канады, Великобритании, Франции, Германии и Нидерландов [Национальный институт стандартов и технологии, Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция)], объединили свои усилия в рамках проекта, получившего название «Общие критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation).

Разработка версии 1.0 «Общих критериев...» была завершена в январе 1996 года и одобрена международной организацией по стандартизации (ISO) уже в апреле 1996 года. Появление международного стандарта явилось новым этапом в развитии нормативной базы оценки информационной безопасности. Новые критерии обеспечили взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. «Общие критерии...» обобщили содержание и опыт использования «Оранжевой книги», развили оценочные уровни доверия «Европейских критериев...», воплотили в реальные структуры концепцию типовых профилей защиты «Федеральных критериев...». В «Общих критериях...» проведена классификация широкого набора функциональных требований и требований доверия к безопасности, определены способы их группирования и принципы использования.

В мае 1998 года была опубликована версия 2.0 «Общих критериев...» и на её основе в июне 1999 года был принят международный стандарт ISO/IEC 15408:1999 (Information technology — Security techniques — Evaluation criteria for IT security).

Практически одновременно с «Общими критериями...» разрабатывались версии «Общей методологии оценки безопасности информационных технологий». В августе 1999 года опубликована версия 1.0 «Общей методологии оценки..» (часть 2) для оценочных уровней доверия (ОУД) \А. В январе 2004 году опубликованы версии 2.2, а в августе 2005 г. версии 2.3 «Общих критериев...» и «Общей методологии оценки..». Именно они легли в основу стандартов ISO/IEC 15408:2005 и ISO/IEC 180:2005 (Information technology — Security techniques — Methodology for П security evaluation) соответственно.

В июле 2005 года опубликованы новые версии 3.0 «Общих критериев...» и «Общей методологии оценки..», в которых предыдущие версии подверглись существенной ревизии. Однако, как показало обсуждение этих версий в международном сообществе, далеко не все предложенные авторами изменения были целесообразны и корректны. В результате, в сентябре 2006 года появились версии 3.1 «Общих критериев...» и «Общей методологии оценки..», которые и были признаны официальными версиями. Именно эти версии, с определёнными доработками, легли в основу уже третьей и на данный момент последней, версии стандарта ISO/IEC 15408, части которого вышли в 2008 и 2009 годах.

Надо сказать, что Россия достаточно сильно отставала от этого движения. Только в 2002 году постановлением Госстандарта России году был принят ГОСТ Р ИСО/МЭК 15408-2002, содержащий полный аутентичный текст международного стандарта ISO/IEC 15408:1999 (введён в действие с 1 января 2004 года). Вскоре была принята вторая редакция стандарта - ГОСТ Р ИСО/МЭК 15408-2008, содержащая полный текст международного стандарта ISO/IEC 15408:2005. Однако, как уже было сказано, с 2005 по 2008 годы международный стандарт подвергся серьёзным переработкам, которые не нашли своего отражения в действующей в России версии
документа.

Главная тенденция, которая прослеживается на протяжении целого ряда стандартов в области информационной безопасности — отказ от жёсткой универсальной шкалы классов безопасности и обеспечение гибкости в подходе к оценке безопасности различных типов ИТ-продуктов. Именно это стремление объясняет столь сложную на первый взгляд логическую структуру стандарта ISO/IEC 15408.

Если говорить кратко, то принципиальные черты стандарта следующие:

1. Чёткое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к функциям безопасности (идентификация, аутентификация, управление доступом, аудит и т. д.), а требования доверия — к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации, то есть ко всем этапам жизненного цикла изделий информационных технологий.

2. Систематизация и классификация требований к безопасности в рамках иерархии «класс» — «семейство» — «компонент» — «элемент».

3. Ранжирование компонентов требований в семействах и классах по степени полноты и жёсткости, а также их группирование в пакеты функциональных требований и Уровни Оценки Доверия.

4. Гибкость и динамизм в подходе к заданию требований безопасности для различных типов изделий информационных технологий и условий их применения, обеспечиваемые путём целенаправленного формирования необходимых наборов требований в виде определённых структур (Профилей Защиты и Целевых Уровней Безопасности).

Понимание методологии является залогом эффективного использования того огромного фактического материала по требованиям безопасности ИТ, порядку их задания и оценке, который содержится в данном стандарте.

Общие критерии разработаны таким образом, чтобы удовлетворить потребности трёх групп специалистов: разработчиков, оценшиков и пользователей объекта оценки. Под объектом оценки (ОО) понимается аппаратно-программный продукт или информационная система. К таким объектам относятся, например, операционные системы, вычислительные сети, распределённые системы, прикладные программы.

К рассматриваемым в ОК аспектам безопасности относятся: защита от несанкционированного доступа, модификации или потери доступа к информации при воздействии угроз, являющихся результатом случайных или преднамеренных действий. Защищённость от этих трёх типов угроз обычно называют конфиденциальностью,
целостностью и доступностью.

Однако, некоторые аспекты безопасности ИТ находятся вне рамок Общих критериев:

o стандарт не содержит критериев оценки безопасности, касающихся административных мер, непосредственно не относящихся к мерам безопасности ИТ. Административные меры безопасности в среде эксплуатации ОО рассматриваются в качестве предположений о безопасном использовании;

o оценка физических аспектов безопасности ИТ, таких, как контроль электромагнитного изучения, специально не рассматривается, хотя многие концепции ОК применимы и в этой области;

o в ОК не рассматривается ни методология оценки, ни нормативная и правовая база, на основе которой критерии могут применяться органами оценки;

o процедуры использования результатов оценки при аттестации продуктов и систем ИТ находятся вне области действия ОК. Аттестация продукта или системы ИТ является административным актом, посредством которого компетентный орган допускает их использование в конкретных условиях эксплуатации;

o критерии для оценки специфических качеств криптографических алгоритмов в ОК не входят.

Общие критерии предполагается использовать как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла. Стандарт ГОСТ Р ИСО/МЭК 15408-2008 не меняет сложившейся в России методологии защиты, однако по уровню систематизации, полноте и степени детализации требований, универсальности и гибкости значительно превосходит действующие в настоящее время руководящие документы.

В качестве основы для разработки нормативных документов по оценке безопасности информационных технологий был принят руководящий документ (РД) «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (введён в действие с 1 августа 2002 г. приказом председателя Гостехкомиссии России от 19.06.2002 № 187), который и применяется при проведении сертификации средств защиты информации. Самым главным недостатком РД является то, что он был на разработан на основе старой редакции ОК и не учитывает всех тех изменений, которые были внесены в ISO/TEC 15408.

Основной целью РД является повышение доверия к безопасности продуктов и систем информационных технологий. Положения руководящего документа направлены на создание продуктов и систем информационных технологий с уровнем безопасности, адекватным имеющимся по отношению к ним угрозам и проводимой политике безопасности с учётом условий применения, что должно обеспечить оптимизацию продуктов и систем ИГ по критерию «эффективность - стоимость».

Под безопасностью информационной технологии понимается состояние ИТ, определяющее защищённость информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.

Доверие к безопасности ИТ обеспечивается, как реализацией в них необходимых функциональных возможностей, так и осуществлением комплекса мер по обеспечению безопасности при разработке продуктов и систем ИТ, проведением независимых оценок их безопасности и контролем её уровня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя из имеющихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учётом условий их применения. При формировании требований должны в максимальной степени использоваться компоненты требований, представленные в настоящем руководящем документе. Допускается также использование и других требований безопасности, при этом уровень детализации и способ выражения требований, представленных в настоящем руководящем документе, должны использоваться в качестве образца. Требования безопасности могут задаваться Заказчиком в техническом задании на разработку продуктов и систем ИТ или формироваться Разработчиком при создании им продуктов ИТ самостоятельно.

Требования безопасности, являющиеся общими для некоторого типа продуктов или систем ИТ, могут оформляться в виде представленной в настоящем руководящем документе структуры, именуемой «Профиль защиты». Профили защиты, прошедшие оценку в установленном порядке, регистрируются и помещаются в каталог оценённых профилей защиты.

Оценка и сертификация безопасности ИТ проводится на соответствие требованиям, представляемым Разработчиком продукта или системы ИТ в Задании по безопасности. Требования заданий по безопасности продуктов и систем ИТ, предназначенных для использования в областях применения, регулируемых государством, должны соответствовать требованиям установленных профилей защиты.

Руководящий документ состоит из трёх частей.

o Часть 1 РД определяет виды требований безопасности (функциональные и требования доверия), основные конструкции представления требований безопасности (профиль защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ.

o Часть 2 РД содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.

o Часть 3 РД содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Требования безопасности, содержащиеся в настоящем руководящем документе, могут уточняться и дополняться по мере совершенствования правовой и нормативной базы, развития информационных технологий и совершенствования методов обеспечения безопасности.

В соответствии с концепцией ОК, требования к безопасности объекта оценки разделяются на две категории:

o функциональные требования;

o требования гарантированности.

В функциональных требованиях описаны те функции объекта оценки, которые обеспечивают безопасность ИТ. Имеются в виду требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования и др.

Требования гарантированности отражают качества объекта оценки, дающие основание для уверенности в том, что необходимые меры безопасности объекта эффективны и корректно реализованы. Оценка гарантированности получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки, а также требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.

В РД функциональные требования и требования гарантированности представлены в едином стиле.

Термин «класс» используется для наиболее общей группировки требований безопасности.

Члены класса названы семействами. В семейства группируются наборы требований, которые обеспечивают выполнение определённой части целей безопасности и могут отличаться по степени жёсткости.

Члены семейства называются компонентами. Компонент описывает минимальный набор требований безопасности для включения в структуры, определённые в РД.

Компоненты построены из элементов. Элемент — самый нижний, неделимый уровень требований безопасности.

Организация требований безопасности в РД по иерархии класс - семейство - компонент - элемент помогает определить нужные компоненты после идентификации угроз безопасности объекта оценки.

Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать как между функциональными компонентами, так и компонентами гарантированности.

Назначение позволяет заполнить спецификацию идентифицированного параметра при использовании компонента. Параметр может быть признаком или правилом, которое конкретизирует требование к определённой величине или диапазону величин. Например, элемент функционального компонента может требовать, чтобы данное действие выполнялось неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.

Выбор - это выбор одного или большего количества пунктов из списка с целью конкретизации возможностей элемента.

Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на цепях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.

РД определяют также набор структур, которые объединяют компоненты требований безопасности.

Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

Уровни гарантированности оценки - это предопределённые пакеты требований гарантированности.

Одной из основных структур РД является «Профиль защиты» (ПЗ), определённый как набор требований, который состоит только из компонентов или пакетов функциональных требований и одного из уровней гарантированности. ПЗ специфицирует совокупность требований, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.

Требования Профиля защиты могут быть конкретизированы и дополнены в другой структуре РД - «Задании по безопасности» (ЗБ). ЗБ содержит набор требований, которые могут быть представлены одним из ПЗ или сформулированы в явном виде. ЗБ определяет набор требований для конкретного объекта оценки. Оно включает также спецификацию объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить выполнение требований безопасности и мер гарантированности оценки.

Результатом оценки безопасности должен бьггь общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.

---

Дата добавления: 2022-01-22; просмотров: 23; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!