ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ ЕВРОПЕЙСКИХ СТРАН
Следуя по пути интеграции, европейские страны приняли согласованные
критерии
оценки безопасности информационных технологий (Information Technology
Security
Evaluation Criteria, ITSEC). Изложение этих Критериев основывается на
версии 1.2, опуб-
ликованной в июне 1991 г. от имени соответствующих органов четырех
стран – Франции,
Германии, Нидерландов и Великобритании. Выгода от использования
согласованных
критериев очевидна для всех – и для производителей, и для
потребителей, и для самих
органов сертификации.
Принципиально важной чертой европейских критериев является отсутствие
априор-
ных требований к условиям, в которых должна работать информационная
система. Тре-
бования к политике безопасности и к наличию защитных механизмов не
являются со-
ставной частью критериев. Впрочем, чтобы облегчить формулировку цели
оценки, кри-
терии содержат в качестве приложения описание десяти примерных классов
функцио-
нальности, типичных для правительственных и коммерческих систем.
Европейские критерии рассматривают следующие составляющие информационной
безопасности:
• конфиденциальность – защита от несанкционированного
получения информации;
• целостность – защита от несанкционированного изменения
информации;
• доступность – защита от несанкционированного удержания
информации и ресур-
сов.
В критериях проводится различие между системами и продуктами. Система
– это
конкретная аппаратно-программная конфигурация, построенная с вполне
определенными
целями и функционирующая в известном окружении. Продукт – это
аппаратно-
программный комплекс, который можно купить и по своему усмотрению
встроить в ту
или иную систему.
Каждая система и/или продукт предъявляет свои требования к обеспечению
конфи-
денциальности, целостности и доступности. Чтобы удовлетворить эти
требования, необ-
ходимо предоставить соответствующий набор функций (сервисов)
безопасности, таких
как идентификация и аутентификация, управление доступом или
восстановление после
сбоев.
С точки зрения ИБ основное отличие между системой и продуктом состоит в
том,
что система имеет конкретное окружение, которое можно определить и
изучить сколь
угодно детально, а продукт должен быть рассчитан на использование в
различных усло-
виях. Угрозы безопасности системы носят вполне конкретный и реальный
характер. От-
носительно угроз продукту можно лишь строить предположения. Разработчик
может
специфицировать условия, пригодные для функционирования продукта; дело
покупателя
– обеспечить выполнение этих условий.
Из практических соображений важно обеспечить единство критериев оценки
про-
дуктов и систем – например, чтобы облегчить и удешевить оценку
системы, составлен-
ной из ранее сертифицированных продуктов. В этой связи для систем и
продуктов вво-
дится единый термин – объект оценки. В соответствующих местах
делаются оговорки,
какие требования относятся исключительно к системам, а какие –
только к продуктам.
Каждая система и/или продукт предъявляет свои требования к обеспечению
конфи-
денциальности, целостности и доступности. Чтобы удовлетворить эти
требования, необ-
ходимо предоставить соответствующий набор функций (сервисов)
безопасности, таких
как идентификация и аутентификация, управление доступом или
восстановление после
сбоев.
Сервисы безопасности реализуются посредством конкретных механизмов.
Напри-
мер, для реализации функции идентификации и аутентификации можно
использовать
такой механизм, как сервер аутентификации Kerberos.
Чтобы объект оценки можно было признать надежным, необходима
определенная
степень уверенности в наборе функций и механизмов безопасности, которую
будем на-
зывать гарантированностью.
Гарантированность затрагивает два аспекта – эффективность и
корректность
средств безопасности. При проверке эффективности анализируется
соответствие между
целями, сформулированными для объекта оценки, и имеющимся набором
функций безо-
пасности, т.е. рассматриваются вопросы адекватности функциональности,
взаимной со-
гласованности функций, простоты их использования, а также возможные
последствия
эксплуатации известных слабых мест защиты. Кроме того, в понятие
эффективности вхо-
дит способность механизмов защиты противостоять прямым атакам (мощность
механиз-
ма). Определяется три градации мощности – базовая, средняя и
высокая.
Под корректностью понимается правильность реализации функций и
механизмов
безопасности. В критериях определяется семь возможных уровней
гарантированности
корректности – от E0 до E6 (в порядке возрастания от уровня E0
– отсутствие гарантиро-
ванности (аналог уровня D «Оранжевой книги»).
Назовем основные элементы политики безопасности.
Функциональность. В европейских критериях средства, имеющие отношение к
ин-
формационной безопасности, рассматриваются на трех уровнях детализации.
Наиболее
абстрактный – первый уровень – касается лишь целей
безопасности. Второй уровень со-
держит спецификации функций безопасности. На третьем уровне содержится
информа-
ция о механизмах безопасности, т.е. как реализуется декларированная
функциональность.
Спецификации функций безопасности – важнейшая часть описания
объекта оценки.
Критерии рекомендуют выделить в этих спецификациях разделы со
следующими заго-
ловками: идентификация и аутентификация; управление доступом;
подотчетность; аудит;
повторное использование объектов; точность информации; надежность
обслуживания;
обмен данными.
Большинство из перечисленных тем рассматривались ранее при анализе
«Оранже-
вой книги». Здесь остановимся лишь на специфичных для европейских
критериев.
Под идентификацией и аутентификацией понимается не только проверка
подлинно-
сти пользователей в узком смысле, но и функции для регистрации новых
пользователей и
удаления старых, а также функции для генерации, изменения и проверки
аутентификаци-
онной информации, в том числе средства контроля целостности. Сюда же
относятся
функции для ограничения числа повторных попыток аутентификации.
Средства управления доступом также трактуются европейскими критериями
доста-
точно широко. В этот раздел попадают, помимо прочих, функции,
обеспечивающие вре-
менное ограничение доступа к совместно используемым объектам с целью
поддержания
целостности этих объектов – мера, типичная для систем управления
базами данных. В
этот же раздел попадают функции для управления распространением прав
доступа и для
контроля за получением информации путем логического вывода и
агрегирования данных
(типично для СУБД).
Под точностью в критериях понимается поддержание определенного
соответствия
между различными частями данных (точность связей) и обеспечение
неизменности дан-
ных при передаче между процессами (точность коммуникаций). Точность
выступает как
один из аспектов целостности информации.
Функции надежности обслуживания должны гарантировать, что действия,
критич-
ные по времени, будут выполнены ровно тогда, когда нужно – не
раньше и не позже, и
что некритичные действия нельзя перевести в разряд критичных. Далее,
должна быть
гарантия, что авторизованные пользователи за разумное время получат
запрашиваемые
ресурсы. Сюда же относятся функции для обнаружения и нейтрализации
ошибок, необ-
ходимые для минимизации простоев, а также функции планирования,
позволяющие га-
рантировать время реакции на внешние события.
К области обмена данными относятся функции, обеспечивающие
коммуникацион-
ную безопасность, т.е. безопасность данных, передаваемых по каналам
связи. Здесь евро-
пейские критерии следуют в фарватере рекомендаций X.800, предлагая
следующие под-
заголовки: аутентификация; управление доступом; конфиденциальность
данных; целост-
ность данных; невозможность отказаться от совершенных действий.
Классы безопасности. Набор функций безопасности может специфицироваться
с
использованием ссылок на заранее определенные классы функциональности.
В европей-
ских критериях таких классов десять. Пять из них (F-C1, F-C2, F-B1,
F-B2, F-B3) соот-
ветствуют классам безопасности «Оранжевой книги».
Класс F-IN предназначается для объектов оценки с высокими потребностями
по
обеспечению целостности данных и программ, что типично для систем
управления база-
ми данных. При описании класса F-IN вводится понятие роли, выдвигается
требование
по предоставлению доступа к определенным объектам только с помощью
предопреде-
ленных процессов. Должны различаться следующие виды доступа: чтение,
запись, до-
бавление, удаление, переименование (для всех объектов), выполнение,
удаление, пере-
именование (для выполняемых объектов), создание и удаление объектов.
Класс F-AV характеризуется повышенными требованиями к доступности.
Объект
оценки должен восстанавливаться после отказа отдельного аппаратного
компонента та-
ким образом, чтобы все критически важные функции оставались постоянно
доступными.
То же должно быть верно для вставки отремонтированного компонента,
причем после
этого объект оценки возвращается в состояние, устойчивое к одиночным
отказам. Неза-
висимо от уровня загрузки должно гарантироваться время реакции на
определенные со-
бытия и отсутствие тупиков.
Класс F-DI характеризуется повышенными требованиями к целостности
передавае-
мых данных. Перед началом общения стороны должны быть в состоянии
проверить под-
линность друг друга. При получении данных должна предоставляться
возможность про-
верки подлинности источника. При обмене данными должны предоставляться
средства
контроля ошибок и их исправления.
Класс F-DC характеризуется повышенными требованиями к конфиденциальности
передаваемой информации. Перед поступлением данных в каналы связи
должно автома-
тически выполняться шифрование с использованием сертифицированных
средств. На
приемном конце также автоматически производится расшифровка. Ключи
шифрования
должны быть защищены от несанкционированного доступа.
Класс F-DX характеризуется повышенными требованиями и к целостности, и
к кон-
фиденциальности информации. Его можно рассматривать как объединение
классов F-DI
и F-DC с дополнительными возможностями шифрования, действующими из
конца в ко-
нец, и с защитой от анализа трафика по определенным каналам.
Гарантированность эффективности. Для получения гарантий эффективности
средств безопасности рассматриваются следующие вопросы:
− соответствие набора функций безопасности, т.е. их пригодность
для противодей-
ствия угрозам, перечисленным в описании объекта оценки;
− взаимная согласованность различных функций и механизмов
безопасности;
− способность механизмов безопасности противостоять прямым атакам;
− возможность практического использования слабостей в архитектуре
объекта
оценки, т.е. наличие способов отключения, обхода, повреждения и обмана
функций безо-
пасности;
− возможность небезопасного конфигурирования или использования
объекта
оценки при условии, что администраторы и/или пользователи имеют
основание считать
ситуацию безопасной;
− возможность практического использования слабостей в
функционировании объ-
екта оценки.
Важнейшей частью проверки эффективности является анализ слабых мест в
защите
объекта оценки. Цель анализа – найти все возможности отключения,
обхода, поврежде-
ния, обмана средств защиты. Оценивается также способность всех
критически важных
защитных механизмов противостоять прямым атакам – мощность
механизмов. Защищен-
ность системы или продукта не может быть выше мощности самого слабого
из критиче-
ски важных механизмов, поэтому в критериях имеется в виду минимальная
гарантиро-
ванная мощность. Для нее определены три уровня – базовый, средний
и высокий.
Согласно критериям, мощность можно считать базовой, если механизм
способен
противостоять отдельным случайным атакам.
Мощность считается средней, если механизм способен противостоять
злоумышленни-
кам с ограниченными ресурсами и возможностями.
Мощность можно считать высокой, если есть уверенность, что механизм
может
быть побежден только злоумышленником с высокой квалификацией, набор
возможно-
стей и ресурсов которого выходит за пределы практичности.
Эффективность защиты признается неудовлетворительной, если выявляются
слабые
места, допускающие практическое использование, и эти слабости не
исправляются до
окончания процесса оценки. В таком случае объекту присваивается уровень
гарантиро-
ванности E0.
Общая оценка системы складывается из минимальной мощности механизмов
безо-
пасности и уровня гарантированности корректности. Теоретически эти два
аспекта неза-
висимы, хотя на практике нет смысла проверять правильность реализации
«по высшему
разряду», если механизмы безопасности не обладают даже средней
мощностью.