Федеральные критерии безопасности информационных технологий.

 

«Федеральные критерии безопасности информационных технологий» (Federal Criteria for Information Technology Security) разрабатывались как одна из составляющих «Американского федерального стандарта по обработке информации» (Federal Information Processing Standard), призванного заменить критерий TCSEC – «Оранжевую книгу». Разработчиками стандар­та выступили Национальный институт стандартов и технологий США (National institute Of Standards and Technology) и Агентство национальной безопасности США (National Security Agency). Данный обзор основан на версии 1.0 этого документа, опубликованной в декабре 1992 г.

Этот документ разработан на основе результатов многочисленных исследований в области обеспечения безопасности информационных технологий 80-х-начала 90-х годов, а также на основе анализа опыта использования «Оранжевой книги». Документ представляет собой основу для разработки, и сертификации компонентов информационных техноло­гий с точки зрения обеспечения безопасности.

Основные положения.

"Федеральные критерии безопасности информационных технологий" (далее "Федеральные критерии") охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, так как включают все аспекты обеспечения конфиденциальности, целостности и доступности.

Основными объектами применения требований безопасности "Феде­ральных критериев" являются продукты информационных технологий (Information Technology Products) и системы обработки информации (Infor­mation Technology Systems). Под продуктом информационных технологий (ПИТ) понимается совокупность аппаратных и программных средств, кото­рая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. Как правило, ПИТ эксплуатируется не автономно, а интегрируется в систему обработки инфор­мации, представляющую собой совокупность ПИТ, объединенных в функ­ционально полный комплекс, предназначенный для решения прикладных задач (т.е. для реализации некоторой целевой функции компьютерной системы). В ряде случаев система обработки информации может состоять только из одного ПИТ, обеспечивающего решение всех стоящих перед системой задач и удовлетворяющего требованиям безопасности.

С точки зрения безопасности принципиальное различие между ПИТ и системой обработки информации определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет использован во многих системах обработки информа­ции, и, следовательно, разработчик должен ориентироваться только на самые общие предположения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потребителей, что позволяет в полной мере учитывать специфику воздействий со стороны конкретной среды эксплуатации.

Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности ПИТ, т.е. механизмов защиты, встро­енных непосредственно в эти продукты в виде соответствующих про­граммных, аппаратных или специальных средств. Для повышения их эф­фективности могут дополнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как техниче­ские средства, так и организационные меры, правовые и юридические нормы. В конечном счете, безопасность ПИТ определяется совокупностью собственных средств обеспечения безопасности и внешних средств, яв­ляющихся частью компьютерной системы.

Ключевым понятием концепции информационной безопасности "Федеральных критериев" является понятие "профиля защиты " (Protection Profile). Профиль защиты - это нормативный документ, который регламен­тирует все аспекты безопасности ПИТ в виде требований к его проектиро­ванию, технологии разработки и сертификации. Как правило, один про­филь защиты описывает несколько близких по структуре и назначению ПИТ. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, s также их адекватно­сти предполагаемым угрозам безопасности.

"Федеральные критерии" представляют процесс разработки систем обработки информации, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде следующихосновных этапов:

1. Разработка и анализ профиля защиты. Требования, изложенные в профиле защиты, определяют функциональные возможности ПИТ по обеспечению безопасности и условия эксплуатации, при соблюдении ко­торых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности профиль содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования, ана­лиза и сертификации ПИТ. Профиль безопасности анализируется на пол­ноту, непротиворечивость и техническую корректность.

2. Разработка и сертификация ПИТ. Разработанные ПИТ подверга­ются независимому анализу, целью которого является определение сте­пени соответствия характеристик продукта сформулированным в профиле защиты требованиям и спецификациям.

3. Компоновка и сертификация системы обработки информации в це­лом. Успешно прошедшие второй этап ПИТ интегрируются в систему об­работки информации. Полученная в результате система должна удовле­творять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.

"Федеральные критерии" регламентируют только первый этап этой схемы - разработку и анализ профиля защиты, процесс создания ПИТ и компоновка систем обработки информации остаются вне рамок этого стандарта.

 

Профиль защиты

Как уже говорилось, профиль защиты является центральным поняти­ем "Федеральных критериев", большая часть содержания которых пред­ставляет собой описание разделов профиля защиты, включающее набор требований безопасности и их ранжирование. Рассмотрим назначение, структуру и этапы разработки профиля защиты.

Профиль защиты предназначен для определения и обоснования со­става и содержания средств защиты, спецификации технологии разработ­ки и регламентации процесса сертификации ПИТ.

Профиль защиты состо­ит из следующих пяти разделов:

• описание;

• обоснование;

• функциональные требования к ПИТ;

• требования к технологии разработки ПИТ;

• требования к процессу сертификации ПИТ.

Описание профиля содержит классификационную информацию, не­обходимую для его идентификации в специальной картотеке. "Федераль­ные критерии" предлагают поддерживать такую картотеку на общегосу­дарственном уровне. Это позволит любой организации воспользоваться созданными ранее профилями защиты непосредственно или использо­вать их в качестве прототипов для разработки новых. В описании профиля защиты должна быть охарактеризована основная проблема или группа проблем обеспечения безопасности, решаемых с помощью применения данного профиля.

Обоснование содержит описание среды эксплуатации, предполагае­мых угроз безопасности и методов использования ПИТ. Кроме того, этот раздел содержит подробный перечень задач по обеспечению безопасно­сти, решаемых с помощью данного профиля. Эта информация дает воз­можность определить, в какой мере данный профиль защиты пригоден для применения в той или иной ситуации. Предполагается, что данный раздел ориентирован на службы безопасности организаций, которые изу­чают возможность использования ПИТ, соответствующего данному про­филю защиты.

Раздел функциональных требований к ПИТ содержит описание функциональных возможностей средств защиты ПИТ и определяет усло­вия, в которых обеспечивается безопасность в виде перечня угроз, кото­рым успешно противостоят предложенные средства защиты. Угрозы, ле­жащие вне этого диапазона, должны быть устранены с помощью дополни­тельных, не входящих в состав продукта, средств обеспечения безо­пасности. Очевидно, что чем сильнее и опаснее угрозы, тем более мощ­ными и стойкими должны быть средства, реализующие функции защиты.

Раздел требований к технологии разработки ПИТ охватывает все этапы его создания, начиная от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит требования как к са­мому процессу разработки, так и к условиям, в которых она проводится, к используемым технологическим средствам, а также к документированию этого процесса. Выполнение требований этого раздела является непре­менным условием для проведения сертификации ПИТ.

Раздел требований к процессу сертификации ПИТ регламентирует порядок сертификации в виде типовой методики тестирования и анализа. Объем и глубина требуемых исследований зависят от наиболее вероят­ных типов угроз, среды применения и планируемой технологии эксплуатации.

"Федеральные критерии" содержат подробное описание всех трех разделов профиля защиты, включающее набор требований и их ранжиро­вание для каждого раздела. В данном обзоре основное внимание уделено функциональным требованиям, так как этот вопрос проработан в "Федеральных критериях" значительно глубже, чем в предшествующих стандартах.

Разработка профиля защиты осуществляется в три этапа: анализ среды применения ПИТ с точки зрения безопасности, выбор профиля-прототипа и синтез требований.

На первом этапе проводится анализ информации о среде предпола­гаемого применения ПИТ, действующих в этой среде угрозах безопасно­сти и используемых этими угрозами недостатках защиты. Анализ прово­дится с учетом технологии использования продукта, а также существую­щих стандартов и нормативов, регламентирующих его эксплуатацию.

Второй этап состоит в поиске профиля, который может быть исполь­зован в качестве прототипа. Как уже говорилось, "Федеральные критерии" предусматривают создание специальной, доступной для разработчиков ПИТ, картотеки, в которую должны быть помещены все разработанные когда-либо профили защиты. Это позволит минимизировать затраты на создание профилей и учесть опыт предыдущих разработок.

Этап синтеза требований включает выбор наиболее существенных для условий функционирования продукта функций защиты и их ранжиро­вание по степени важности с точки зрения обеспечения качества защиты. Выбор специфичных для среды требований безопасности должен быть основан на их эффективности для решения задачи противодействия угро­зам. Разработчик профиля должен показать, что выполнение выдвинутых требований ведет к обеспечению требуемого уровня безопасности по­средством успешного противостояния заданному множеству угроз и уст­ранения недостатков защиты.

При разработке профиля защиты необходимо анализировать связи и взаимозависимости, существующие между функциональными требова­ниями и требованиями к процессу разработки, а также между отдельными требованиями внутри этих разделов. По завершению разработки Профиль защиты подвергается проверке, целью которой является подтверждение его полноты, корректности, непротиворечивости и реализуемости.

Функциональные требования к продукту информационных технологий

"Федеральные критерии" предлагают набор функциональных требо­ваний, реализация которых позволяет противостоять наиболее распространенным угрозам безопасности, воздействующим на широкий спектр ПИТ. Данные требования разработаны с учетом возможности расширения и адаптации к конкретным условиям эксплуатации ПИТ, и допускают со­вершенствование параллельно процессу развития информационных тех­нологий. Требования, изложенные в "Федеральных критериях", разрабо­таны на основе обобщения существовавших на момент их создания стан­дартов информационной безопасности - "Оранжевой книги" и "Европейских критериев".

Функциональные требования, приведенные в "Федеральных критери­ях", определяют состав и функциональные возможности ТСВ. Она объе­диняет все компоненты ПИТ (аппаратные, программные и специальные средства), реализующие функции защиты. Таким образом, функциональ­ные требования, направленные на обеспечение безопасности, относятся либо к внутренним элементам ТСВ, либо к ее внешним функциям, доступ­ным через специальные интерфейсы. Для того чтобы расширить спектр потенциального применения профиля защиты в "Федеральных критериях", при описании функциональных требований предполагается, что ТСВ яв­ляется единственной частью ПИТ, которая нуждается в защите и облада­ет такой характеристикой, как уровень защищенности. По этой причине предполагается достаточным установить множество требований, касаю­щихся только безопасности ТСВ. Функциональные требования профиля защиты задаются в виде общих положений и косвенным образом опреде­ляют множество угроз, которым может успешно противостоять удовлетво­ряющий этим положениям ПИТ.

Структура функциональных требований

Функциональные требования "Федеральных критериев" разделены на восемь классов и определяют все аспекты функционирования компьютер­ных систем. Реализация политики безопасности должна быть поддержана средствами, обеспечивающими надежность функционирования как самой ТСВ, так и механизмов осуществления политики безопасности. Эти сред­ства также входят в состав ТСВ, хотя с точки зрения противодействия уг­розам, вносят только косвенный вклад в общую защиту ПИТ.

Поскольку "Федеральные критерии" по сравнению с "Оранжевой кни­гой" являются стандартом нового поколения и, кроме того, никогда не рас­сматривались в отечественных публикациях, остановимся на функцио­нальных требованиях более подробно.

 

1. Требования к реализации политики безопасности. Описывают функции компьютерной системы, реализующие политику безопасности, и состоят из четырех групп требований: к политике аудита, политике управ­ления доступом, политике обеспечения работоспособности и управлению безопасностью. Эти требования носят весьма общий характер, что позво­ляет рассматривать их в качестве прототипа, обеспечивающего поддержку широкого спектра политик и моделей безопасности.

Политика аудита включает разделы, относящиеся к идентификации и аутентификации, регистрации пользователя в системе, обеспечению прямого взаимодействия с компьютерной системой, а также к регистрации и учету событий. Основная задача политики управления аудитом - обес­печить однозначную идентификацию субъекта, ответственного за те или иные действия в системе.

• Идентификация и аутентификация позволяют установить однознач­ное соответствие между пользователями и представляющими их в •компьютерной системе субъектами (т.е. субъектами, инициированны­ми от имени конкретного пользователя), а также подтвердить подлин­ность этого соответствия.

• Регистрация пользователя в системе означает создание субъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя. К процедуре регистрации также относится учет места, времени и других параметров подключе­ния к системе и ее блокирование во время отсутствия пользователя.

• Обеспечение прямого взаимодействия с компьютерной системой гарантирует, что пользователь взаимодействует с компонентами сис­темы напрямую, т.е. информация, которая передается в нее и обратно, не подвергается перехвату или искажению. Поддержка прямого взаи­модействия с компьютерной системой особенно важна для управления безопасностью (например, при администрировании прав доступа и полномочий пользователей).

• Регистрация и учет событий в системе позволяют распознавать по­тенциально опасные ситуации и сигнализировать о случаях нарушения безопасности. Регистрация событий включает распознавание, учет и анализ действий пользователя, представляющих интерес с точки зре­ния безопасности.

 

Политика управления доступом содержит следующие разделы: произвольное управление доступом (дискреционное), нормативное управление доступом и контроль скрытых каналов утечки информации. Полити­ка управления доступом является основным механизмом защиты, так как непосредственно обеспечивает конфиденциальность и целостность обра­батываемой информации.

• Произвольное управление доступом позволяет осуществлять назна­чение прав доступа с точностью до идентифицируемых субъектов и объектов, а также поддерживаемых типов доступа и, кроме того, обес­печивает контроль за распространением прав доступа среди субъек­тов.

• Нормативное управление доступом, в отличие от произвольного, ос­новано на контроле информационных потоков между субъектами и объектами и их атрибутах безопасности, что позволяет регламентиро­вать порядок использования информации в системе.

• Контроль скрытых каналов утечки информации включает технические и административные меры, направленные на ликвидацию таких каналов посредством минимизации объема совместно используемых ресурсов и введения активных "шумовых помех"

Политика обеспечения работоспособности системы включает кон­троль над распределением ресурсов и обеспечение отказоустойчивости. Обеспечение работоспособности позволяет гарантировать доступность ресурсов и сервиса системы, а также корректное восстановление системы после сбоев.

• Контроль над распределением ресурсов осуществляется посредством введения ограничений (квот) на их потребление или приоритетной сис­темы распределения ресурсов.

• Обеспечение отказоустойчивости входит в сферу безопасности на­равне с другими требованиями, так как противостоит угрозам работо­способности.

Управление безопасностью регламентирует следующие аспекты функционирования системы:

• компоновка, установка, конфигурация и поддержка компьютерной сис­темы; • администрирование атрибутов безопасности пользователей (иденти­фикаторов, полномочий, доступных ресурсов и т.д.);

• администрирование политики управления доступом;

• управление потреблением ресурсов системы;

• аудит действий пользователей.

 

2. Мониторинг взаимодействий. Требования этого раздела регла­ментируют порядок взаимодействия между компонентами системы и про­хождения информационных потоков через компьютерную систему. Реали­зация политики безопасности будет эффективна только в том случае, ес­ли все без исключения взаимодействия в системе, т.е. доступ к объектам, ресурсам и сервису, осуществляются при обязательном посредничестве ТСВ (следовательно, требуется, чтобы ядро защиты представляло собой МБО).

 

3. Логическая защита ТСВ. Требования данной группы устанавли­вают порядок доступа к внутренним компонентам ТСВ (данным и про­граммам). ТСВ должна быть защищена от внешних воздействий со сторо­ны непривилегированных пользователей, в противном случае искажение программ и данных, находящихся в ТСВ, может привести к полному по­давлению функций защиты (данное требование включает требование корректности внешних субъектов относительно субъектов ядра защиты и требование к интерфейсам взаимодействия).

Необходимо подчеркнуть, что политика безопасности, мониторинг взаимодействий и логическая защита ТСВ являются обязательными ком­понентами всех профилей защиты вне зависимости от назначения и сре­ды применения ПИТ.

4. Физическая защита ТСВ. Требования этой группы задают ограни­чения на физический доступ к компонентам ТСВ, а также допустимые фи­зические параметры среды функционирования компьютерной системы.

5. Самоконтроль ТСВ. Требования, касающиеся самоконтроля ком­пьютерной системы, определяют возможности обеспечения контроля кор­ректности выполнения функций системы и целостности программ и дан­ных, входящих в систему. Выполнение этих требований позволяет вовре­мя обнаруживать нарушения целостности компонентов ТСВ, произо­шедшие в результате либо целенаправленного воздействия, либо сбоя в работе аппаратных или программных средств, и осуществлять восстанов­ление целостности ТСВ.

6. Инициализация и восстановление ТСВ. Требования данной группы устанавливают возможности компьютерной системы по контролю за процессом собственной инициализации и способности к самовосстанов­лению после сбоев. Процесс восстановления после сбоя должен происхо­дить без нарушений функционирования, даже временного, средств защи­ты. Восстановленное состояние ТСВ должно соответствовать требовани­ям политики безопасности, мониторинга взаимодействий и самоконтроля целостности.

7. Ограничение привилегий при работе с ТСВ. Требования этой группы устанавливают порядок назначения полномочий для работы с ком­пьютерной системой. Основным принципом назначения таких полномочий является принцип минимальной, достаточности. Это обеспечивается по­средством постоянного контроля и при необходимости автоматического понижения привилегий пользователей при обращении к компонентам или сервису ТСВ. Соблюдение этого принципа позволяет минимизировать нарушения целостности в случае возникновения сбоев или нарушений безопасности.

8. Простота использования ТСВ. Выполнение этих требований обеспечивает удобство пользования возможностями ТСВ как для высоко­квалифицированных администраторов, ответственных за функционирова­ние и безопасность системы, так и для рядовых пользователей, а также для разработчиков прикладных программ, взаимодействующих с систе­мой. К этому классу требований относятся: порядок реагирования ТСВ на ошибки в действиях пользователей и попытки нарушения безопасности, устанавливаемые по умолчанию полномочия, интерфейс пользователей и администратора.

Объем и глубина реализации функциональных требований зависит от того, какую степень защищенности должно обеспечивать ядро защиты конкретного ПИТ, а также от того, какие угрозы безопасности возможны в среде его эксплуатации. Степень обеспечения требуемого уровня защи­щенности зависит от реализованной политики безопасности, от квалифи­кации ответственного за безопасность персонала, от правильности адми­нистрирования системы и соблюдения рядовыми пользователями правил политики безопасности.

Ранжирование функциональных требований

Состав и содержание включенных в профиль защиты функциональ­ных требований определяются средой эксплуатации ПИТ. Чтобы обосно­вать выбор тех или иных требований и не вступать в противоречие с су­ществующими стандартами в области безопасности ПИТ, функциональ­ные требования, приведенные в "Федеральных критериях", ранжируются по уровням с помощью следующих четырех критериев: широта сферы применения, степень детализации, функциональный состав средств защи­ты, обеспечиваемый уровень безопасности.

Широта сферы применения определяется множеством сущностей, к которому могут быть применены данные требования, а именно:

• пользователи системы, субъекты и объекты доступа;

• функции ТСВ и интерфейс взаимодействия с компьютерной системой;

• аппаратные, программные и специальные компоненты ТСВ;

• множество параметров конфигурации ТСВ.

Например, требования из разделов управления доступом, аудита, обеспечения работоспособности, мониторинга взаимодействий и просто­ты использования компьютерной системы, могут относиться только к оп­ределенному подмножеству объектов доступа и параметров конфигура­ции. Обеспечение прямого взаимодействия с компьютерной системой требуется только для некоторого подмножества функций ТСВ.

Степень детализации требований определяется множеством атри­бутов сущностей, к которым применяются данные требования - либо ко всем атрибутам пользователей, субъектов или объектов, либо только к некоторому подмножеству этих атрибутов. Например, требования из раз­делов управления доступом, аудита и мониторинга взаимодействий могут относиться только к некоторому подмножеству атрибутов субъектов и объектов - к правам доступа, групповым идентификаторам пользователей, но не к атрибутам состояния субъектов и объектов и не к индивидуальным идентификаторам.

Функциональный состав средств защиты определяется множеством функций, включенных в ТСВ для реализации той или иной группы функ­циональных требований. Например, политика управления доступом может включать либо произвольное, либо нормативное управление доступом, или и то, и другое одновременно.

Обеспечиваемый уровень безопасности определяется условиями, в которых функциональные компоненты компьютерной системы способны противостоять заданному множеству угроз, отказам и сбоям. Например, нормативное управление доступом обеспечивает более высокий уровень безопасности, чем произвольное.

Ранжирование всегда предполагает установление некоторого отно­шения порядка. Однако независимое ранжирование функциональных тре­бований по каждому из описанных критериев, хотя и дает некоторое пред­ставление о различиях между функциональными возможностями средств защиты, но не позволяет установить четкую, линейную шкалу уровней безопасности. Строгого отношения порядка, определенного на множестве функциональных требований, не существует, так как значение требований и уровень обеспечиваемой ими защиты зависят не только от их содержа­ния, но и от назначения ПИТ и среды его эксплуатации. Для одних систем наиболее важными будут идентификация и аутентификация пользовате­лей, а для других - реализация политики управления доступом или обес­печение доступности.

В связи с этим в "Федеральных критериях" отсутствуют рекоменда­ции как по выбору и применению тех или иных функциональных требова­ний, так и по определению их роли в системе обеспечения безопасности. Вместо жестких указаний этот документ содержит согласованный с пред­шествующими ему стандартами ("Оранжевая книга", "Европейские крите­рии") ранжированный перечень функциональных требований и предостав­ляет разработчикам профиля защиты возможность самостоятельно сде­лать выбор необходимых методов и средств обеспечения безопасности, основанный на назначении и специфике среды эксплуатации ПИТ.

Приводимое ранжирование не противоречит предшествующим стан­дартам и вводится для исключения ошибок в определении степени защи­щенности системы из-за неправильной оценки значимости отдельных групп требований. Кроме того, ранжирование предоставляет разработчи­кам и пользователям возможность для обоснованной оценки реально обеспечиваемого уровня безопасности.

Требования к процессу разработки продукта информационных технологий

Основное назначение требований к технологии разработки ПИТ - обеспечить адекватность условий разработки функциональным требова­ниям, выдвинутым в соответствующем разделе профиля защиты, и уста­новить ответственность разработчика за корректность реализации этих требований. Данные требования регламентируют процесс создания, тес­тирования, документирования и сопровождения ПИТ и включают четыре группы требований; к процессу разработки, среде разработки, документи­рованию и сопровождению.

Требования к процессу разработки содержат подразделы, относя­щиеся к проектированию, реализации, тестированию и анализу ПИТ. Осо­бую роль играют требования адекватности реализации функций компью­терной системы, обеспечивающие корректность выполнения функцио­нальных требований Профиля защиты.

Требования к среде разработки позволяют обеспечить качество про­цесса создания ПИТ с помощью применения современных технологий проектирования, программирования и тестирования, а также регламенти­руют управление процессом разработки и дистрибуцию конечного продукта.

Требования к документированию определяют состав и содержание технологической документации, позволяющей производителю ПИТ дока­зать соответствие самого продукта и технологии его изготовления выдви­нутым требованиям.

Требования к сопровождению ПИТ содержат обязательства произво­дителя перед пользователями, выполнение которых позволяет обеспе­чить эффективную и надежную эксплуатацию ПИТ. Данные требования регламентируют состав пользовательской и административной докумен­тации, процедуру обновления версий и исправления ошибок, а также ин­сталляцию продукта.

"Федеральные критерии" содержат ранжированный перечень типо­вых требований к технологии разработки ПИТ. Выполнение требова­ний к технологии разработки является необходимым условием для прове­дения процедуры сертификации.

Требования к процессу сертификации ПИТ призваны обеспечить со­ответствие процесса выдвинутым функциональным требованиями и тре­бованиям к технологии разработки. В критериях описываются три группы требований, регламентирующих анализ, контроль и тестирование ПИТ.

Требования к анализу ПИТ содержат требования к проведению неза­висимого анализа предложенного решения (архитектуры) и его реализа­ции как конкретного средства.

Требования к контролю регламентируют проверку соответствия сре­ды разработки ПИТ и обеспечиваемого производителем сопровождения требованиям к технологии разработки.

Требования к тестированию описывают процедуру тестирования функций компьютерной системы как самим разработчиком ПИТ, так и не­зависимыми экспертами.

Рассмотренные требования регламентируют процесс сертификации только в общих чертах и, по замыслу разработчиков стандарта, должны послужить основой для разработки специализированных методик серти­фикации, ориентированных на различные области применения и клас­сы ПИТ.

 

Необходимо отметить, что "Федеральные критерии безопасности информационных технологий" являются первым стандартом в области безопасности систем обработки информации, в котором определены и рассмотрены три независимые группы требований: функциональные тре­бования к средствам защиты, требования к технологии разработки и тре­бования к процессу сертификации. Авторами этого документа предложена концепция профиля защиты - документа, содержащего полное описание всех требований безопасности; к процессу разработки, сертификации и эксплуатации ПИТ.

Функциональные требования к средствам защиты четко структуриро­ваны и описывают все аспекты функционирования компьютерной систе­мы. Требования к технологии разработки, впервые появившиеся в этом документе, позволяют разработчикам использовать современные техно­логии программирования в качестве основы для подтверждения безопас­ности своего продукта. Требования к процессу сертификации носят до­вольно общий характер и не содержат конкретных методик тестирования и -исследования ПИТ.

Разработчики "Федеральных критериев" отказались от используемого в "Оранжевой книге подхода к оценке уровня безопасности ПИТ путем введения обобщенной универсальной шкалы классов безопасности. Вме­сто этого предлагается независимое ранжирование требований по каждой группе, т.е. вместо одной шкалы используется множество частных крите­риев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ПИТ выбрать наиболее приемлемое решение и определить необходимый и в ряде случаев доста­точный набор требований для каждого конкретного случая.

"Федеральные критерии безопасности информационных технологий" вместе с "Европейскими критериями безопасности информационных тех­нологий" и "Канадскими критериями безопасности компьютерных систем" послужили основой при создании "Единых критериев безопасности информационных технологий". Целью "Единых критериев" стала разра­ботка на основе накопленного в разных странах опыта имеющихся стан­дартов, разрозненных документов и подходов единого согласованного стандарта, лишенного концептуальных и технических различий, имевших­ся у его предшественников. Работа над проектом началась в 1993 г., в конце 1998 г. была опубликована первая версия документа, а в марте 1998 г. - вторая, доработанная и исправленная. "Единые критерии" адресованы трем группам специалистов: потребителям, производителям и экспертам по классификации. Они представляют новый, межгосударст­венный уровень в стандартизации информационных технологий.