Классы безопасности компьютерных систем

Оранжевая книга предусматривает четыре группы критери- ев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (груп- па А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А со- ответственно), группа С — классы С1, С2, а группа В — Bl, B2, ВЗ, характеризующиеся различными наборами требова- ний безопасности. Уровень безопасности возрастает при дви- жении от группы D к группе А, а внутри группы — с возраста- нием номера класса.

Группа D. Минимальная защита.

Класс D. Минимальная защита. К этому классу относятся все системы, не удовлетворяющие требованиям других классов.

Группа С. Дискреционная защита.

Группа характеризуется произвольным управлением досту- пом и регистрацией действий субъектов.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользо- вателей и информации и включают средства контроля и управ- ления доступом, позволяющие задавать ограничения для инди-

 

видуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности.

Класс С2. Управление доступом. Системы этого класса осу- ществляют более избирательное управление доступом, чем си- стемы класса С1, с помощью применения средств индивиду- ального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.

Группа В. Мандатная защита.

Основные требования этой группы — нормативное управле- ние доступом с использованием меток безопасности, поддерж- ка модели и политики безопасности, а также наличие специ- фикаций на функции ТСв. Для систем этой группы монитор взаимодействий должен контролировать все события в системе. Класс В1. Защита с применением меток безопасности. Си- стемы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасно- сти, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостат-

ки должны быть устранены.

Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должна поддерживать формально опре- деленную и четко документированную модель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществлять- ся контроль скрытых каналов утечки информации. В структу- ре ТСВ должны быть выделены элементы, критичные с точ- ки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация выполнены с учетом

 

возможности проведения тестовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администратора- ми системы. Должны быть предусмотрены средства управле- ния конфигурацией.

Класс В3. Домены безопасности. Для соответствия этому классу ТСВ системы должна поддерживать монитор взаимодей- ствий, который контролирует все типы доступа субъектов к объ- ектам, который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и достаточно компактна для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ необходимо применение мето- дов и средств, направленных на минимизацию ее сложности. Средства аудита должны включать механизмы оповещения ад- министратора при возникновении событий, имеющих значе- ние для безопасности системы. Требуется наличие средств вос- становления работоспособности системы.

Группа А. Верифицированная защита.

Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управ- ления доступом (произвольного и нормативного). Требуется до- полнительная документация, демонстрирующая, что архитек- тура и реализация ТСВ отвечают требованиям безопасности.

Класс   А1.   Формальная  верификация.  Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработ- ки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адек- ватности реализации начинается на ранней стадии разработ- ки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов ве-

 

рификации системы класса А1 должны содержать более мощ- ные средства управления конфигурацией и защищенную про- цедуру дистрибуции.

Высший класс безопасности, требующий осуществления ве- рификации средств защиты, построен на доказательстве соот- ветствия программного обеспечения его спецификациям с по- мощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает адекватность реализации политики безопасности.

Согласно «Оранжевой книге» безопасная компьютерная си- стема — это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что толь- ко соответствующие авторизованные пользователи или процес- сы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.

Приведенные классы безопасности надолго определили ос- новные концепции безопасности и ход развития средств за- щиты.

Устаревание ряда положений Оранжевой книги обусловле- но прежде всего интенсивным развитием компьютерных техно- логий. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некото- рых положений Оранжевой книги, адаптировать их к современ- ным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по развитию положений этого стандарта. В ре- зультате возник целый ряд сопутствующих Оранжевой книге документов, многие их которых стали ее неотъемлемой частью. Круг специфических вопросов по обеспечению безопасно- сти компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Нацио- нальным центром компьютерной безопасности США в виде

дополнений к Оранжевой книге.

 

Итак, «Критерии безопасности компьютерных систем» Ми- нистерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разра- ботчиков, потребителей и специалистов по сертификации ком- пьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, при- чем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение се- кретности обрабатываемой информации и исключение возмож- ностей ее разглашения. Большое внимание уделено меткам (гри- фам секретности) и правилам экспорта секретной информации.

Оранжевая книга послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.

 

8.3.
Европейские критерии безопасности информационных технологий (ITSEC)

 

Обзор основывается на версии 1.2 этих критериев, опубли- кованной в июне 1991 года от имени четырех стран: Франции, Германии, Нидерландов и Великобритании.

Европейские критерии рассматривают следующие задачи средств информационной безопасности:

· защита информации от несанкционированного доступа с целью обеспечение конфиденциальности;

· обеспечение целостности информации посредством за- щиты от ее несанкционированной модификации или уничтожения;

 

· обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.

В «Европейских критериях» проводится различие между си- стемами и продуктами.

Система — это конкретная аппаратно-программная конфи- гурация, построенная с вполне определенными целями и функ- ционирующая в известном окружении.

Продукт — это аппаратно-программный «пакет», который мож- но купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопас- ности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое мож- но определить и изучить сколь угодно детально, а продукт дол- жен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и ре- альный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело по-

купателя обеспечить выполнение этих условий.

Из практических соображений важно обеспечить единство критериев оценки продуктов и систем — облегчить и удеше- вить оценку системы, составленной из ранее сертифицирован- ных продуктов. В этой связи для систем и продуктов вводит- ся единый термин — объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключитель- но к системам, а какие — только к продуктам.

Для того чтобы удовлетворить требованиям конфиденциаль- ности, целостности и работоспособности, необходимо реализо- вать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, вос- становление после сбоев и т. д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функци- онирования. Для решения этой проблемы в «Европейских кри-

 

териях» впервые вводится понятие адекватности (assurance) средств защиты.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адек- ватности их реализации.

Большинство требований безопасности совпадает с анало- гичными требованиями Оранжевой книги.

В «Европейских критериях» определено десять классов без- опасности. Классы F-C1, F-C2, F-B1, F-B2, F-B3 соответству- ют классам безопасности Оранжевой книги с аналогичными обозначениями.

Класс F-IN предназначен для систем с высокими потреб- ностями в обеспечении целостности, что типично для систем управления базами данных.

Его описание основано на концепции «ролей», соответству- ющих видам деятельности пользователей, и предоставлении до- ступа к определённым объектам только посредством доверен- ных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименова- ние и выполнение объектов.

Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, напри- мер для систем управления технологическими процессами.

В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компо- нента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме долж- на происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное вре- мя реакции системы на внешние события.

Класс F-DI ориентирован на распределенные системы об- работки информации.

Перед началом обмена и при получении данных стороны долж- ны иметь возможность провести идентификацию участников вза-

 

имодействия и проверить ее подлинность. Должны использовать- ся средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информа- ции. Знание алгоритма обнаружения искажений не должно по- зволять злоумышленнику производить нелегальную модифика- цию передаваемых данных. Необходимо обнаруживать попытки повторной передачи ранее переданных сообщений.

Класс F-DC уделяет особое внимание требованиями к кон- фиденциальности передаваемой информации.

Информация по каналам связи должна передаваться в за- шифрованном виде. Ключи шифрования защищают от несанк- ционированного доступа.

Класс F-DX предъявляет повышенные требования и к це- лостности и к конфиденциальности информации.

Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и за- щиты от анализа трафика. Следует ограничить доступ к ранее переданной информации, которая в принципе может способ- ствовать проведению криптоанализа.

Критерии адекватности

Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым за- дачам, и корректность, характеризующую процесс их разработ- ки и функционирования.

Эффективность — соответствие между задачами, постав- ленными перед средствами безопасности, и реализованным набором функций защиты — их функциональной полнотой и согласованностью, простотой использования, а также воз- можными последствиями использования злоумышленниками слабых мест защиты.

Корректность — правильность и надежность реализации функций безопасности.

 

Европейские критерии уделяют адекватности средств за- щиты значительно больше внимания, чем функциональным требованиям. Как уже говорилось, адекватность складывается из двух компонентов — эффективности и корректности рабо- ты средств защиты.

Европейские критерии определяют семь уровней адекватно- сти — от Е0 до Е6. При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектиро- вания до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитекту- ра системы, а адекватность средств защиты подтверждается функ- циональным тестированием. На уровне ЕЗ к анализу привлекают- ся исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описание функций безопас- ности, общей архитектуры, а также политики безопасности.

В Европейских критериях определены три уровня безопас- ности — базовый, средний и высокий. Степень безопасности системы определяется самым слабым из критически важных механизмов защиты.

Безопасность считается базовой, если средства защиты спо- собны противостоять отдельным случайным атакам.

Безопасность считается средней, если средства защиты спо- собны противостоять злоумышленникам, обладающим ограни- ченными ресурсами и возможностями.

Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены толь- ко злоумышленником с высокой квалификацией, набор воз- можностей и ресурсов которого выходит за рамки возможного.

Итак, Европейские критерии безопасности информацион- ных технологий, появившиеся вслед за Оранжевой книгой, ока- зали существенное влияние на стандарты безопасности и ме- тодику сертификации.

 

Главное достижение этого документа — введение понятия адекватности средств защиты и определение отдельной шка- лы для критериев адекватности. Как уже упоминалось, Евро- пейские критерии придают адекватность средств защиты даже большее значение, чем их функциональности. Этот подход ис- пользуется во многих появившихся позднее стандартах инфор- мационной безопасности.

 

8.4.
федеральные критерии безопасности информационных технологий сШа

 

Федеральные  критерии  безопасности  информацион- ных технологий (Federal Criteria for Information Technology Security) разрабатывались как одна из составляющих Амери- канского федерального стандарта по обработке информации (Federal Information Processing Standard), призванного заме- нить Оранжевую книгу. Разработчиками стандарта выступи- ли Национальный институт стандартов и технологий США (Nationa Institute of Standards and Technology) и Агентство на- циональной безопасности США (National Security Agency). Дан- ный обзор основан на версии 1.0 этого документа, опублико- ванной в декабре 1992 года.

Этот документ разработан на основе результатов многочис- ленных исследований в области обеспечения безопасности ин- формационных технологий 1980-х — начала 1990-х гг., а так- же на основе анализа опыта использования Оранжевой книги. Федеральные критерии безопасности информационных тех- нологий (далее, просто Федеральные критерии) охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, т. к. включают все аспекты обе- спечения конфиденциальности, целостности и работоспособ-

ности.

 

Основными объектами применения требований безопасно- сти Федеральных критериев являются

· продукты информационных технологий (Information Technology Products);

· системы обработки информации (Information Technology Systems).

Под продуктом информационных технологий (далее просто ИТ-продукт) понимается совокупность аппаратных и/или про- граммных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство об- работки информации.

Как правило, ИТ-продукт эксплуатируется не автономно, а интегрируется в систему обработки информации, представ- ляющую собой совокупность ИТ-продуктов, объединенных в функционально полный комплекс, предназначенный для ре- шения прикладных задач. В ряде случаев система обработки информации может состоять только из одного ИТ-продукта, обеспечивающего решение всех стоящих перед системой за- дач и удовлетворяющего требованиям безопасности. С точки зрения безопасности принципиальное различие между ИТ- продуктом и системой обработки информации определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет исполь- зован во многих системах обработки информации, и, следова- тельно, разработчик должен ориентироваться только на самые общие предположения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, система обработки информации разрабатывается для решения прикладных задач в расчете на требования конечных потреби- телей, что позволяет в полной мере учитывать специфику воз- действий со стороны конкретной среды эксплуатации.

Федеральные критерии содержат положения, относящие- ся к отдельным продуктам информационных технологий. Во- просы построения систем обработки информации из набора

 

ИТ-продуктов не являются предметом рассмотрения этого до- кумента.

Положения Федеральных критериев касаются собственных средств обеспечения безопасности ИТ-продуктов, т. е. меха- низмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, аппаратных или специ- альных средств. Для повышения их эффективности могут до- полнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как техниче- ские средства, так и организационные меры, правовые и юри- дические нормы. В конечном счете, безопасность ИТ-продукта определяется совокупностью собственных средств обеспечения безопасности и внешних средств.

Ключевым понятием концепции информационной безопас- ности Федеральных критериев является понятие Профиль защи- ты (Proteсtion Profile). Профиль защиты — это нормативный документ, который регламентирует все аспекты безопасности ИТ-продукта в виде требований к его проектированию, техно- логии разработки и квалификационному анализу. Как правило, один Профиль защиты описывает несколько близких по струк- туре и назначению ИТ-продуктов. Основное внимание в Про- филе защиты уделяется требованиям к составу средств защиты и качеству и реализации, а также их адекватности предполага- емым угрозам безопасности.

Федеральные критерии представляют процесс разработки систем обработки информации, начинающийся с формули- рования требований потребителями и заканчивающийся вве- дением в эксплуатацию, в виде следующих основных этапов:

1. Разработка и анализ Профиля защиты. Требования, изло- женные в Профиле защиты, определяют функциональные воз- можности ИТ-продуктов по обеспечению безопасности и ус- ловия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности, Профиль защиты содержит требования по со-

 

блюдению технологической дисциплины в процессе разработ- ки, тестирования и квалификационного анализа ИТ-продукта. Профиль безопасности анализируется на полноту, непротиво- речивость и техническую корректность.

2. Разработка и квалификационный анализ ИТ-продуктов. Разработанные ИТ-продукты подвергаются независимому ана- лизу, целью которого является определение степени соответ- ствия характеристик продукта сформулированным в Профиле защиты требованиям и спецификациям.

3. Компоновка и сертификация системы обработки инфор- мации в целом. Успешно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработ- ки информации. Полученная в результате система должна удов- летворять заявленным в Профиле защиты требованиям при со- блюдении указанных в нем условий эксплуатации.

Федеральные критерии регламентируют только первый этап этой схемы — разработку и анализ Профиля защиты, процесс создания ИТ-продуктов и компоновка систем обработки ин- формации остаются вне рамок этого стандарта.

Профиль защиты

1) Описание.

Информация для его идентификации в специальной кар- тотеке (характеристика проблемы обеспечения безопасности).

2) Обоснование.

Описание среды эксплуатации, предполагаемых угроз и ме- тодов использования ИТ-продукта; перечень задач по обеспе- чению безопасности, решаемых с помощью данного профиля.

3) Функциональные требования к ИТ-продукту. Определение условий, в которых обеспечивается безопас-

ность в виде перечня парируемых угроз.

4) Требования к технологии разработки ИТ-продукта. Требования к самому процессу разработки, к условиям, в ко-

торых она проводится, к используемым технологическим сред- ствам, к документированию процесса.

 

5)Требования к процессу сертификации

Порядок сертификации в виде типовой методики тестиро- вания и анализа