Потенційні загрози безпеці та типові завдання захисту

Загрози безпеці обчислювальної системи — впливи на обчислювальну систему, які прямо або побічно можуть нанести шкоду її безпеці. Розробники вимог безпеки та засобів захисту виділяють три види загроз:

■ загрози порушення конфіденційності інформації;

■ загрози порушення цілісності інформації;

■ загрози порушення працездатності системи (відмови в обслуговуванні).

Загрози порушення конфіденційності — загрози безпеці обчислювальної системи, спрямовані на розголошення інформації з обмеженим доступом.

Загрози порушення цілісності — загрози безпеці обчислювальної системи, що полягають у спотворенні або зміні неавторизованим користувачем інформації, що зберігається або передається. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів з боку середовища експлуатації системи. Найбільш актуальна ця загроза для систем передавання інформації — комп'ютерних мереж і систем телекомунікації.

Загрози порушення працездатності — загрози безпеці обчислювальної системи, спрямовані на створення ситуацій, коли в результаті навмисних дій понижується працездатність обчислювальної системи, або її ресурси стають недоступними.

Завдання захисту — в "Загальних критеріях" декларуються наступним чином:

■ захист від загроз порушення конфіденційності (несанкціонованого одержання) інформації з усіх каналів її витоку, особливо за рахунок каналів ПЕМВН і прихованих (таємних) каналів зв'язку;

■ захист від загроз порушення цілісності (несанкціонованого змінювання інформації);

■ захист від загроз порушення доступності інформації (несанкціонованого або випадкового обмеження інформації та ресурсів самої системи);

■ захист від загроз аудиту системи (наприклад, загрози несанкціонованих вторгнень у систему, маніпуляцій з протоколами обміну та аудиту, із загальносистемним програмним забезпеченням).

 

Політика безпеки

Політика безпеки [security policy] — сукупність законів, норм і правил, що регламентують порядок обробки, захисту і розповсюдження інформації комп'ютерної системи.

В системах зв'язку політика безпеки є частиною загальної політики безпеки оператора зв'язку і може включати, зокрема, положення державної політики у галузі захисту інформації.

Для кожної системи (підсистеми) зв'язку політика безпеки може бути індивідуальною і може залежати від технології передавання, обробки та зберігання інформації, що реалізується, особливостей системи зв'язку, середовища експлуатації і від багатьох інших факторів. Політика повинна визначати ресурси системи зв'язку, які потребують захисту, зокрема, встановлювати категорії інформації, яка передається, оброблюється та зберігається в системі. Мають бути сформульовані основні загрози для системи зв'язку, персоналу, інформації різних категорій і вимоги до захисту від цих загроз.

Складовими частинами загальної політики безпеки в системі зв'язку мають бути політики забезпечення конфіденційності, цілісності і доступності інформації, що передається, оброблюється і зберігається. Відповідальність персоналу за виконання положень політики безпеки має бути персоніфікована.

Частина політики безпеки, яка регламентує правила доступу користувачів і процесів системи зв'язку, складає правила розмежування доступу.

 

Продукт інформаційних технологій

Продукт інформаційних технологій (ІТ-продукт)— сукупність апаратних і (або) програмних засобів, яка поставляється кінцевому споживачеві як готовий до використання засіб обробки інформації. Сукупність ІТ-продуктів об'єднується в функціонально закінчений комплекс (продукт) для вирішення конкретної прикладної задачі в системі обробки інформації.

Принциповою відмінністю між ІТ-продуктом і системою обробки інформації є наступне. ІТ-продукт звичайно розробляється для використання в багатьох системах обробки інформації, тому його розробник орієнтується тільки на найзагальніші вимоги до середовища його експлуатації (умови його застосування і потенційні загрози інформації). Навпаки, система обробки інформації розроблюється вузько спеціалізованою для вирішення конкретних прикладних задач і під конкретні вимоги споживачів, що дозволяє у повній мірі враховувати специфіку впливу з боку конкретного середовища експлуатації. Саме тому ІТ-продукт, а не система обробки інформації, декларується в стандарті як універсальний компонент безпеки.

 

Профіль захисту

Профіль захисту [Protection Profile (PP)] — спеціальний нормативний документ, що регламентує сукупність завдань захисту, функціональних вимог безпеки, вимог гарантій безпеки та їхнє обґрунтування. Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів, не уточнюючи методи і засоби їх реалізації. За допомогою профілю захисту споживачі формують свої вимоги до розробників ІТ-продуктів.

Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, додаткові відомості, обґрунтування (рис. 23).

Профіль захисту: вступ [PP introduction] — розділ профілю захисту, який містить всю інформацію для пошуку профілю захисту в бібліотеці профілів. Вступ складається з ідентифікатора профілю захисту та огляду змісту. Ідентифікатор профілю захисту являє собою унікальне ім'я для його пошуку серед подібних йому профілів і позначення посилань на нього.

Огляд змісту профілю захисту містить коротку анотацію профілю захисту, на основі якої споживач може зробити висновок про придатність даного профілю захисту.

Профіль захисту: опис ІТ-продукту [TOE description] — розділ профілю захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізу та сертифікації, але подається розробникам і експертам для пояснення вимог безпеки і визначення їхньої відповідності до завдань, що вирішуються за допомогою ІТ-продукту.

Рис. 23. Структура профілю захисту

 

Профіль захисту: середовище експлуатації [TOE security environment] — розділ профілю захисту, що містить опис усіх аспектів функціонування ІТ-продукту, пов'язаних з безпекою. В середовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Профіль захисту: завдання захисту [security objectives] — розділ профілю захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політики безпеки. До складу завдань захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати та регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонентів комп'ютерної системи, що не відносяться до сфери інформаційних технологій.

Профіль захисту: вимоги безпеки [IT security requirements] — розділ профілю захисту, що містить вимоги, яким повинен задовольняти ІТ-продукт для вирішення завдань захисту (типових, спеціальних і т. ін.). В розділі виставляються функціональні вимоги безпеки, вимоги гарантій безпеки, вимоги до середовища експлуатації.

Функціональні вимоги повинні містити тільки типові вимоги, передбачені тільки відповідними розділами "Загальних критеріїв". Необхідно забезпечити такий рівень деталізації вимог, який дозволяє продемонструвати їх відповідність до завдань захисту. Функціональні вимоги можуть дозволяти або забороняти використання конкретних методів і засобів захисту.

Вимоги гарантій містять посилання на типові вимоги рівнів гарантій "Загальних критеріїв", проте допускають і визначення додаткових вимог гарантій.

Вимоги до середовища експлуатації є необов'язковими і можуть містити функціональні вимоги та вимоги гарантій, яким повинні задовольняти компоненти інформаційних технологій, що складають середовище експлуатації ІТ-продукту. На відміну від попередніх розділів, використання типових вимог "Загальних критеріїв" є бажаними, але не обов'язковими.

Профіль захисту: додаткові відомості [РР application notes] — необов'язковий розділ профілю захисту, що містить будь-яку додаткову інформацію, корисну для проектування, розробки, кваліфікаційного аналізу та сертифікації ІТ-продукту.

Профіль захисту: обґрунтування [rationale] — розділ профілю захисту, який повинен демонструвати, що профіль захисту містить повну й зв'язну множину вимог, і що ІТ-продукт, який задовольняє їм, буде протистояти загрозам безпеці середовища експлуатації. Розділ складається з обґрунтування завдань захисту та обґрунтування вимог безпеки.

Обґрунтування завдань захисту повинно демонструвати, що завдання, які пропонуються у профілі, відповідають параметрам середовища експлуатації, а їх вирішення дозволить ефективно протистояти загрозам безпеці і реалізувати політику безпеки.

Обґрунтування вимог безпеки показує, що вимоги безпеки дозволяють ефективно вирішувати завдання захисту, оскільки:

■ сукупність цілей окремих функціональних вимог безпеки відповідають встановленим завданням захисту;

■ вимоги безпеки є пов'язаними, тобто не суперечать, а взаємно підсилюються;

■ вибір вимог є виправданим (особливо це відноситься до додаткових вимог);

■ вибраний набір функціональних вимог і рівень гарантій відповідають завданням захисту.

Профіль захисту служить керівництвом для виробника та розробника ІТ-продукту, які повинні на його основі і технічних рекомендацій, що запропоновані ним, розробити проект захисту, який служить керівництвом для кваліфікаційного аналізу та сертифікації ІТ-продукту.

 

Проект захисту

Проект захисту [Security Target (ST)] — нормативний документ, який включає вимоги та завдання захисту ІТ-продукту, а також описує рівень функціональних можливостей, реалізованих у ньому засобів захисту, їх обґрунтування і підтвердження ступеню їхніх гарантій. Профіль захисту, з одного боку є відправною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.

Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, загальні специфікації ІТ-продукту, заявку на відповідність профілю захисту, обґрунтування (рис. 24). Багато розділів проекту захисту співпадають із однойменними розділами профілю захисту.

Рис. 24. Структура проекту захисту

Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам "Загальних критеріїв".

Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.

Огляд змісту проекту захисту — достатньо докладна анотація проекту захисту, що дозволяє споживачам визначати придатність ІТ-продукту для вирішення завдань.

Заявка на відповідність "Загальним критеріям" — опис усіх властивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі "Загальних критеріїв".

Проект захисту: опис ІТ-продукту [TOE description] — розділ проекту захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізу та сертифікації, але подається розробникам і експертам для пояснення вимог безпеки і визначення їхньої відповідності завданням, що вирішуються за допомогою ІТ-продукту.

Проект захисту: середовище експлуатації [TOE security environment] — розділ проекту захисту, що містить опис усіх аспектів функціонування ІТ-продукту, пов'язаних з безпекою. В середовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Проект захисту: завдання захисту [security objectives] — розділ проекту захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політики безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати і регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонентів комп'ютерної системи, що не відносяться до сфери інформаційних технологій.

Проект захисту: вимоги безпеки [IT security requirements] — розділ проекту захисту, що містить вимоги безпеки до ІТ-продукту, якими керувався виробник у ході його розробки. Цей розділ дещо відрізняється від аналогічного розділу профілю захисту.

Розділ функціональних вимог безпеки до ІТ-продукту, на відміну від відповідного розділу профілю захисту, допускає використання, крім типових вимог "Загальних критеріїв", і інших, специфічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль "Загальних критеріїв" і забезпечувати властиву їм ступінь деталізації.

Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в "Загальних критеріях". В даному випадку опис рівня гарантій повинен бути чітким, несуперечливим і мати ступінь деталізації, що допускає його використання в ході кваліфікаційного аналізу. При цьому бажано використати стиль і деталізацію опису рівнів гарантій, прийняті в "Загальних критеріях".

Проект захисту: загальні специфікації ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механізми реалізації завдань захисту за допомогою визначення багаторівневих специфікацій засобів захисту у відповідності до функціональних вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рівня гарантій.

Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить матеріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, відповідність профілю захисту, удосконалення профілю захисту.

Посилання на профіль захисту однозначно ідентифікує профіль захисту, на реалізацію якого претендує проект захисту, із зазначенням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без виключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і вимоги, що містяться в профілі захисту.

Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, встановлених у профілі захисту.

Проект захисту: обгрунтування [rationale] — розділ проекту захисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх, буде ефективно протистояти загрозам безпеці. Крім того, обгрунтування містить підтвердження заявленої відповідності профілю захисту. Розділ деталізується у наступному.

Обґрунтування завдань захисту повинно демонструвати, що завдання захисту, заявлені в проекті захисту, відповідають властивостям середовища експлуатації, тобто, їх вирішення дозволить ефективно протидіяти загрозам безпеці і реалізувати вибрану під них політику безпеки.

Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту тому, що:

■ сукупність функціональних вимог безпеки та вимог гарантій безпеки, а також умов експлуатації ІТ-продукту відповідають завданням захисту;

■ усі вимоги безпеки є несуперечливими і взаємно підсилюють одна одну;

■ вибір вимог є виправданим;

■ рівень функціональних можливостей засобів захисту відповідає завданням захисту.

Обґрунтування загальних специфікацій ІТ-продукту повинно демонструвати, що засоби захисту та методи забезпечення їхніх гарантій відповідають вимогам, що пред'являються, оскільки:

■ сукупність засобів захисту задовольняє функціональним вимогам;

■ необхідний рівень безпеки та надійності захисту забезпечується засобами, що запропоновані;

■ заходи, спрямовані на забезпечення гарантій реалізації функціональних вимог, відповідають вимогам гарантій.

Обґрунтування відповідності профілю захисту показує, що вимоги проекту захисту підтримують всі вимоги профілю захисту. Для цього повинно бути показано, що:

■ усі удосконалення завдань захисту, порівняно з профілем захисту, реалізовані коректно і в напрямку їхнього розвитку та конкретизації;

■ усі удосконалення вимог безпеки, порівняно з профілем захисту, реалізовані коректно і в напрямку їхнього розвитку та конкретизації;

■ усі завдання захисту профілю захисту успішно реалізовані, і всі вимоги профілю захисту вдоволені;

■ ніякі додатково введені в проект захисту спеціальні завдання захисту та вимоги безпеки не суперечать профілю захисту.