Общие критерии
Главная тенденция, которая прослеживается при анализе современных стандартов в области информационной безопасности, состоит в отказе от жесткой универсальной шкалы классов безопасности и обеспечении гибкости в подходе к оценке безопасности различных типов изделий ИТ.
Эта концепция была предложена в выпущенных в 1991 году "Гармонизированных критериях европейских стран" [9], затем – в "Канадских критериях оценки безопасности компьютерных продуктов" [10] и "Федеральных критериях безопасности информационных технологий" США [11]. Появление Общих критериев оценки безопасности информационных технологий [12-18] и соответствующих им международных стандартов [19-27] явилось новым этапом в развитии нормативной базы оценки информационной безопасности.
В разработке Общих критериев (ОК) участвовали: Национальный институт стандартов и технологии, Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).
Разработка международного стандарта по критериям оценки безопасности информационных технологий (ИТ) была начата в 1990 году. Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. Разработка версии 1.0 ОК [12] была завершена в январе 1996 года и одобрена международной организацией по стандартизации (ИСО) в апреле 1996 года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа.
В мае 1998 года была опубликована версия 2.0 ОК [13] и на ее основе в июне 1999 года был принят международный стандарт ISO/IEC 15408 [19-21]. Официальный текст стандарта издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК [14], идентичной стандарту по содержанию.
Практически одновременно с ОК разрабатывались версии Общей методологии оценки безопасности информационных технологий (ОМО) [28-34].
В августе 1999 г. опубликована версия 1.0 ОМО (часть 2) для оценочных уровней доверия (ОУД) 1-4 [29].
В январе 2004 г. опубликованы версии 2.2 ОК и ОМО [15,31] с учетом принятых к этому времени интерпретаций.
В августе 2005 г. опубликованы версии 2.3 ОК [16] и ОМО [32], положенные в основу стандартов ISO/IEC 15408:2005 [22-24] и ISO/IEC 18045:2005 [35] соответственно.
В июле 2005 г. опубликованы новые версии 3.0 ОК [17] и ОМО [33], в которых предыдущие версии ОК и ОМО подверглись существенной ревизии. Как показало обсуждение этих версий в международном сообществе, далеко не все предложенные авторами изменения были целесообразны и корректны. В результате, в сентябре 2006 года появились версии 3.1 ОК [18] и ОМО [34], которые и были признаны Управляющим комитетом по Общим критериям официальными версиями ОК и ОМО наряду (на переходный период) с версиями 2.3 ОК и ОМО.
В соответствии с версиями 3.1 ОК и ОМО в 2008-2009 г.г. были изданы стандарты ISO/IEC 15408 [25-27] и ISO/IEC 18045 [36].
Общие критерии обобщили содержание и опыт использования Оранжевой книги и ее интерпретаций [7,8], развили оценочные уровни доверия Европейских критериев, воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США.
В ОК проведена классификация широкого набора функциональных требований и требований доверия к безопасности, определены способы их группирования и принципы использования.
Основными отличительными чертами Общих критериев являются:
- Наиболее полная на сегодняшний день совокупность требований безопасности информационных технологий.
- Четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к функциям безопасности (идентификация, аутентификация, управление доступом, аудит и т.д.), а требования доверия – к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации, то есть ко всем этапам жизненного цикла изделий информационных технологий.
- Систематизация и классификация требований по иерархии "класс" – "семейство" – "компонент" – "элемент" с уникальными идентификаторами требований, что обеспечивает удобство использования.
- Ранжирование компонентов требований в семействах и классах по степени полноты и жесткости, а также их группирование в пакеты функциональных требований и оценочные уровни доверия.
- Гибкость и динамизм в подходе к заданию требований безопасности для различных типов изделий информационных технологий и условий их применения, обеспечиваемые путем целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности).
- Открытость для последующего наращивания совокупности требований.
Общие критерии базируются на определенной методологии обеспечения безопасности информационных технологий. Положения ОК имеют достаточно общий характер и не ограничиваются только собственно областью проблем безопасности ИТ, к которым применимы ОК. Понимание методологии ОК является залогом эффективного использования того огромного фактического материала по требованиям безопасности ИТ, порядку их задания и оценке реализации, который содержится в ОК.
Предметом рассмотрения в ОК являются программно-технические и технологические меры обеспечения безопасности ИТ. К аспектам обеспечения безопасности ИТ, которые находятся вне рамок ОК, относятся:
- административные (организационные) меры обеспечения безопасности, не связанные непосредственно с обеспечением безопасности ИТ. Административные меры рассматриваются в той степени, в которой они способны повлиять на возможности функций безопасности противостоять угрозам безопасности ИТ;
- оценка технических аспектов обеспечения безопасности (таких, как защита от утечки информации по техническим каналам, возникающим за счет побочного электромагнитного излучения и наводок). Вместе с тем, многие положения ОК применимы и в этой области;
- методология оценки, административная и правовая система применения критериев оценки органами, осуществляющими оценку. Однако ожидается, что ОК будут использоваться для целей оценки в контексте такой системы и такой методологии;
- процедуры использования результатов оценки при аттестации изделий ИТ;
- специфические качества криптографических методов и алгоритмов защиты информации. Таким образом, Общие критерии охватывают ту часть проблемы обеспечения информационной безопасности, которую в России традиционно называют защитой от несанкционированного доступа к информации.
ОК полезны как в качестве руководства при разработке изделий ИТ, содержащих функции безопасности, так и при приобретении изделий ИТ с такими функциями.
Поскольку ОК ориентированы на описание, конкретизацию и оценку свойств безопасности ИТ, они могут служить справочником для всех, кто интересуется или занимается вопросами безопасности ИТ. Среди пользователей ОК можно выделить следующие группы:
- системные специалисты, отвечающие за определение и выполнение политики и требований безопасности организации в области ИТ;
- аудиторы, контролирующие адекватность мер безопасности системы;
- проектировщики систем безопасности, определяющие спецификацию функций безопасности изделий ИТ;
- лица, осуществляющие аттестацию систем ИТ в конкретной среде функционирования;
- заказчики изделий ИТ, определяющие требования к оценке и поддерживающие ее проведение;
- органы сертификации, осуществляющие руководство и надзор за программами проведения оценок.
Как показывают оценки специалистов в области информационной безопасности [4-6], по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в этой области стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития и представляет собой базовый стандарт, содержащий методологию задания требований безопасности ИТ, а также систематизированный каталог требований безопасности. В качестве функциональных стандартов, в которых формулируются требования к безопасности определенных типов продуктов и систем ИТ, предусматривается использование профилей защиты (ПЗ), создаваемых по методологии и на основе каталога требований ОК. В ПЗ могут быть включены и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного типа продуктов или систем ИТ.
В поддержку стандарта по ОК был разработан целый ряд нормативно-методических документов. Среди них:
- руководство по разработке профилей защиты и заданий по безопасности [37];
- процедуры регистрации профилей защиты [38];
- инструментальные средства автоматизации разработки профилей защиты и заданий по безопасности [39].
Общие критерии получили широкое признание в мире. В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и США было подписано соглашение о взаимном признании оценок (The International Mutual Recognition Arrangement – MRA), полученных на основе Общих критериев. В соответствии с этим Соглашением стороны намереваются признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения Общих критериев и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в MRA правила позволяют присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты.
В мае 2000 года представителями уже четырнадцати стран (Канады, Франции, Германии, Великобритании, США, Нидерландов, Италии, Греции, Испании, Швеции, Норвегии, Финляндии, Австралии и Новой Зеландии) было подписано более универсальное (по сравнению с MRA) соглашение CCRA (CC Recognition Arrangement). Соглашение CCRА значительно расширяет возможности присоединения новых стран-участниц. В 2001 году к ним присоединился Израиль, в 2002 – Австрия, в 2003 – Турция, Венгрия и Япония, в 2004 – Чехия, в 2005 – Сингапур и Индия, в 2006 – Дания и республика Корея, в 2007 – Малайзия, в 2009 – Пакистан.
Всего по состоянию на 31.12.2013 г. число стран-участниц соглашения CCRА составляет 26. В рамках Соглашения в 17 странах действуют аккредитованные органы по сертификации, имеющие право выдавать сертификаты соответствия продуктов и систем ИТ Общим критериям, а также 59 аккредитованных в этих странах испытательных лабораторий.
В США в соответствии с Руководящими указаниями Национального института стандартов и технологий для федеральных организаций с 1 января 2001 года при приобретении продуктов ИТ для использования в системах обработки информации, относящейся к национальной безопасности, предпочтение должно отдаваться продуктам ИТ, надлежащим образом оцененным в соответствии с Общими критериями оценки безопасности информационных технологий, а с 1 июля 2002 года приобретение всех продуктов ИТ для использования в указанных выше системах ограничивается только теми, которые были оценены в соответствии с Общими критериями.
Германия, Франция, Австралия имеют государственное регулирование, рекомендующее использование оценок по ОК для продуктов ИТ, применяемых в государственной сфере. Общие критерии приняты в качестве стандарта НАТО.
Управляющий комитет по Общим критериям с 2000 года проводит ежегодные конференции по ключевым вопросам развития и практического применения Общих критериев при оценке безопасности и сертификации продуктов и систем информационных технологий. На каждой из этих конференций присутствовало от 300 до 400 участников из более чем 30 стран мира.
Подробно с актуальным состоянием Общих критериев, списком участников соглашения CCRА, списком органов по сертификации и испытательных лабораторий, списком сертифицированных в рамках CCRА продуктов и профилей защиты и другой информацией по ОК можно ознакомиться на сайте http://www.commoncriteriaportal.org/
ЛИТЕРАТУРА
- ГОСТ Р ИСО/МЭК 15408-2002 (2008). Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
- ГОСТ Р ИСО/МЭК 15408-2002(2008). Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
- ГОСТ Р ИСО/МЭК 15408-2002(2008). Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
- Д.П.Зегжда, А.М.Ивашко. Основы безопасности информационных систем. -М.: Горячая линия – Телеком, 2000. 452 с., ил.
- В.В.Липаев. Стандарты на страже безопасности информационных систем. -PC WEEC/RE, # 30, 22 августа 2000.
- М.Т.Кобзарь, А.П.Трубачев. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России. МИФИ. ж. "Безопасность информационных технологий", # 4, 2000.
- Trusted Computer System Evaluation Criteria (TCSEC), US DoD 5200.28-STD, 1985.
- National Computer Security Center. Trusted Network Interpretation. – NCSC-TG-005,1987.
- Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France – Germany – the Netherlands – the United Kingdom.- Department of Trade and Industry, London, 1991.
- Canadian Trusted Computer Product Evaluation Criteria (CTCPEC), Version 3.0, Canadian System Security Centre, Communications Security Establishment, Government of Canada, 1993.
- Federal Criteria for Information Technology Security (FC), Draft Version 1.0, (Volumes I and II), jointly published by the National Institute of Standards and Technology and the National Security Agency, US Government, 1993.
- Common Criteria for Information Technology Security Evaluation. Version 3.1, September 2006.
- ISO/IEC 15408-2:2008 "Information technology – Security techniques – Evaluation criteria for IT security – Part 2: Security functional components".
- ISO/IEC 15408-3:2008 "Information technology – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance components".
- ISO/IEC 18045:2008 "Information technology – Security techniques – Methodology for IT security evaluation".
- ISO/IEC TR 15446:2004 (2009) "Information technology – Security techniques – Guide for the production of Protection Profiles and Security Targets".
- ISO/IEC 15292:2001 "Information technology – Security techniques – Protection Profile registration procedures".
|
|