Европейские критерии безопасности информационных технологий

 

Вслед за выходом критерия TCSEC страны Европы разработали со­гласованные "Критерии безопасности информационных технологий" (Infor­mation Technology Security Evaluation Criteria (ITSEC), далее "Европейские критерии"). Рассмотрим версию 1.2. данного документа, опубликованную от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Великобритании.

Основные понятия

"Европейские Критерии" рассматривают следующие задачи средств информационной безопасности.

• защита информации от несанкционированного доступа с целью обес­печения конфиденциальности (поддержание конфиденциальности);

• обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения (поддержание це­лостности);

• обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании (поддержание доступности).

Для того чтобы удовлетворить требованиям конфиденциальности, целостности и доступности, необходимо реализовать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, восстановление после сбоев и т.д. Чтобы средства защиты можно было признать эффективными, требуется высокая степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в "Европейских критериях" впервые вводится понятие адекватности (assurance) средств защиты.

Адекватность включает в себя два аспекта: эффективность, отра­жающую соответствие средств безопасности решаемым задачам, и кор­ректность, характеризующую процесс их разработки и функционирования. Эффективность определяется соответствием между задачами, постав­ленными перед средствами безопасности, и реализованным набором функций защиты - их функциональной полнотой и согласованностью, про­стотой использования, а также возможными последствиями использова­ния злоумышленниками слабых мест защиты. Под корректностью понима­ется правильность и надежность реализации функций безопасности (в принятой терминологии - гарантирование избранной политики безопасности).

Общая оценка уровня безопасности системы складывается из функ­циональной мощности средств защиты и уровня адекватности их реали­зации.

Основным объектом проверки и оценки, аналогом ТСВ в "Оранжевой книге", в "Европейских Критериях" является цель оценки (Target of Evaluation - TOE).

Пути реализации политики безопасности, предъявляемые требова­ния к защитным механизмам зависят от того, является ли TOE в термино­логии "Европейских Критериев" системой или продуктом. Это разделение систем аналогично используемому в Руководящих документах Гостехкомиссии делению компьютерных систем на АС и СВТ.

В случае системы фактическая среда, внутри которой будет исполь­зоваться TOE, известна. Могут быть определены цели защиты, угрозы информации и меры им противодействия.

В случае продукта среда, внутри которой будет использоваться TOE, не известна разработчику, так как он может быть составным элементом различных систем. Вместо политики безопасности вводится понятие рациональности продукта, где дается необходимая информация для предполагаемого покупателя, чтобы он мог решить, будет ли продукт обеспечивать выполнение целей защиты системы.

Функциональные критерии

В "Европейских критериях" средства, имеющие отношение к инфор­мационной безопасности, рассматриваются на трех уровнях детализации. На первом уровне рассматриваются цели, которые преследует обеспече­ние безопасности, второй уровень содержит спецификации функций за­щиты, а третий - реализующие их механизмы. Спецификации функций защиты предлагается рассматривать с точки зрения следующих требований:

• идентификации и аутентификации;

• управления доступом;

• подотчетности;

• аудита;

• повторного использования объектов;

• целостности информации;

• надежности обслуживания;

• безопасности обмена данными.

Большинство из перечисленных требований совпадает с аналогич­ными требованиями "Оранжевой книги". Остановимся лишь на специфич­ных для "Европейских критериев".

Требования безопасности обмена данными регламентируют работу средств, обеспечивающих безопасность данных, передаваемых по кана­лам связи, и включают следующие разделы:

• аутентификация;

• управление доступом;

• конфиденциальность данных;

• целостность данных;

• невозможность отказаться от совершенных действий.

Набор функций безопасности может специфицироваться с использо­ванием ссылок на заранее определенные классы-шаблоны. В "Евро­пейских критериях" таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности "Оранжевой книги" с аналогич­ными обозначениями. Рассмотрим подробнее другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на про­блему безопасности.

Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных. Его описание основано на концепции "ролей", соответствующих видам деятельности пользователей, и предоставлении доступа к опреде­ленным объектам только посредством доверенных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, уда­ление, создание, переименование и выполнение объектов (имеется в виду порождение субъекта из соответствующего объекта-источника).

Класс F-AV характеризуется повышенными, требованиями к обеспе­чению работоспособности. Это существенно, например, для систем уп­равления технологическими процессами. В требованиях этого класса ука­зывается, что система должна восстанавливаться после отказа отдельно­го аппаратного компонента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Независимо от уровня за­грузки должно гарантироваться определенное максимальное время реак­ции системы на внешние события.

Класс F-DI ориентирован на распределенные системы обработки ин­формации. Перед началом обмена и при получении данных стороны должны иметь возможность провести идентификацию участников взаимо­действия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения ад­ресной и пользовательской информации. Знание алгоритма обнаружения искажений не должно позволять злоумышленнику производить нелегаль­ную модификацию передаваемых данных. Должны обнаруживаться по­пытки повторной передачи ранее переданных сообщений.

Класс F-DC уделяет особое внимание требованиям к конфиденци­альности передаваемой информации. Информация по каналам связи должна передаваться только в зашифрованном виде. Ключи шифрования должны быть защищены от несанкционированного доступа.

Класс F-DX предъявляет повышенные требования и к целостности, и к конфиденциальности информации. Его можно рассматривать как функ­циональное объединение классов F-DI и F-DC с дополнительными воз­можностями шифрования и защиты от анализа трафика. Должен быть ограничен доступ к ранее переданной информации.

Критерии адекватности

"Европейские критерии" уделяют значительно больше внимания аде­кватности средств защиты, чем функциональным требованиям. Адекват­ность складывается из двух компонентов - эффективности и корректности работы средств защиты.

"Европейские критерии" определяют семь уровней адекватности от ЕО до Е6 (в порядке возрастания). Уровень ЕО обозначает минимальную адекватность. При проверке адекватности анализируется весь жизненный цикл системы - от начальной фазы проектирования до эксплуатации и управления.

Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне ЕЗ к анализу привлекаются исходные тексты программ и схемы аппаратного обеспече­ния. На уровне Е6 требуется формальное описание функций безопасно­сти, общей архитектуры, а также политики безопасности.

Степень безопасности системы определяется самым слабым из кри­тически важных механизмов защиты. В "Европейских критериях" опреде­лены три уровня безопасности: базовый, средний, высокий. Безопасность считается базовой, если средства защиты способны противостоять от­дельным случайным атакам (злоумышленник – физическое лицо). Безо­пасность считается средней, если средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и воз­можностями (корпоративный злоумышленник). Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты мо­гут быть преодолены только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за рамки возможного (например, злоумышленник – государственная спецслужба).

Таким образом, «Европейские критерии безопасности информацион­ных технологий» появившиеся, вслед за «Оранжевой книгой» оказали су­щественное влияние на стандарты безопасности и методику сертифика­ции. Главное достижение этого документа – введение понятия адекватно­сти средств защиты и определение отдельной шкалы для критериев адекватности. Необходимо отметить, что «Европейские критерии» тесно связаны с «Оранжевой книгой», что делает их не вполне самостоятельным документом.

На первый взгляд, довольно странным представляется факт, что «Европейские критерии» признают возможность наличия недостатков в сертифицированных по некоторому классу защищенных системах (крите­рий возможности использования недостатков защиты), однако на самом деле данный подход свидетельствует о реалистичном взгляде, на сущест­вующее положение дел.