9.1. Проблеми створення стандартів із ЗІ
В основному роль стандартів із ЗІ така сама, як і в будь-якій іншій сфері. Кожна людина повинна мати можливість оцінювати і порівнювати все, що є навколо неї і чим вона користується. У цьому сенсі ІБнічим не відрізняється від інших сфер нашої діяльності. Головне завдання стандартів ІБ - створити основу для взаємодії між виробниками, споживачами та експертами з кваліфікації продуктів інформаційних технологій. Кожна з цих груп має свої інтереси і свої погляди на проблему ІБ.
Споживачі, по-перше, зацікавлені в методиці, яка дозволяє обґрунтовано обрати продукт, що відповідає їх потребам і вирішує їх проблеми, для чого їм необхідна чітка шкала оцінки безпеки, і, по-друге, мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробнику. При цьому споживачів (що, до речі, цілком природно й обгрунтовано) цікавлять виключно характеристики і властивості кінцевого продукту, а не методи та засоби їх досягнення. Тут звернемо увагу на те, що саме з цієї точки зору ми цікавимось взагалі будь-якими товарами (тобто не обов'язково пов'язаними з ІБ). З цієї ж точки зору ідеальна шкала оцінки безпеки мала б виглядати приблизно так (звичайно, залежно від можливого для споживача рівня конфіденційності інформації):
Рівень 1. Система для обробки інформації з грифом не вище ніж «для службового користування».
Рівень 2. Система для обробки інформації з грифом не вище ніж «секретно» і т. д.
Відповідно і вимоги споживач міг би сформулювати приблизно в такій формі: «Я хотів би, щоб у мене все було захищене для обробки, наприклад, цілком таємної інформації». Нагадаємо, що коли ми щось купуємо, то, звичайно ж, хочемо, щоб воно було найліпшим, найдовго-вічнішим і т. ін. Однак цей неконструктивний підхід сам по собі не такий страшний, багато гірше інше - більшість споживачів не розуміє і не хоче розуміти, що за все треба платити (і не тільки грошима) і що вимоги безпеки обов'язково суперечать (не можуть не суперечити!) функціональним вимогам (наприклад, зручності роботи, швидкодії і т. п.), накладають обмеження на сумісність і, як правило, вимагають відмовитися від широко розповсюджених незахищених прикладних ПЗ.
Виробники, у свою чергу, мають потребу в стандартах для порівняння можливостей своїх продуктів і в застосуванні процедури сертифікації для об'єктивного оцінювання їх властивостей, а також у стандартизації певного набору вимог безпеки, що міг би обмежити фантазію замовника конкретного продукту і змусити його вибирати вимоги з цього продукту. Знову згадаємо будь-якого звичайного виробника -йому зовсім не хочеться робити все для всіх. З погляду виробника, вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т. д. Крім того, вимоги не повинні вступати в конфлікт з існуючими методами й алгоритмами обробки інформації, архітектурою КС і технологіями створення інформаційних продуктів. Цей підхід також не може бути визнаний домінуючим, тому що він не враховує потреби користувачів (адже в кінцевому рахунку саме для них все робиться) і намагається підігнати вимоги захисту під існуючі системи і технології, а це далеко не завжди можливо здійснити без збитку для безпеки.
Експерти з кваліфікації і фахівці із сертифікації розглядають стандарти як інструмент, що допомагає їм оцінити рівень безпеки, забезпечуваний продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір. Виробники в результаті кваліфікації рівня безпеки одержують об'єктивну оцінку можливостей свого продукту. Експерти з кваліфікації опиняються у двоїстому становищі. З одного боку, вони, як і виробники, зацікавлені в чітких і простих критеріях, над застосуванням яких до конкретного продукту не потрібно ламати голову (найкраще це могла б бути анкета з відповідями типу «так/ні»). З іншого боку, вони повинні дати обґрунтовану відповідь користувачам - задовольняє продукт їх потреби чи ні. Виходить, що саме експерти приймають на себе весь тягар відповідальності за безпеку продукту, що одержав кваліфікацію рівня безпеки і пройшов сертифікацію.
Таким чином, перед стандартами ІБ стоїть непросте завдання -примирити ці три точки зору і створити ефективний механізм взаємодії всіх сторін. Причому «обмеження» потреб хоча б однієї з них приведе до неможливості взаєморозуміння і взаємодії і, отже, не дасть вирішити загальне завдання - створення захищеної системи обробки інформації.
Якими узагальненими показниками можна було б охарактеризувати стандарти ІБ?
Як такі показники, що мають значення для всіх трьох сторін, зручно використовувати універсальність, гнучкість, гарантованість, реалі-зовуваність і актуальність [3].
Універсальність стандарту визначається множиною типів АС і галуззю інформаційних технологій, до яких можуть бути коректно використані його положення. Вона дуже важлива, оскільки зараз інформаційні технології бурхливо розвиваються, архітектура систем
постійно удосконалюється, сфера їх застосування розширюється. Такі стандарти повинні враховувати всі аспекти.
Під гнучкістю стандарту розуміється можливість і зручність його застосування до інформаційних технологій, що постійно розвиваються, і час його «застаріння». Гнучкість може бути досягнута виключно через фундаментальність вимог і критеріїв і їхню інваріантність стосовно механізмів реалізації і технологій створення ІТ-продуктів.
Гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу. Як показав досвід, для досягнення поставлених цілей експерти повинні мати можливість обґрунтовувати свої висновки, а розробники мати потребу в механізмах, за допомогою яких вони могли б підтвердити коректність своїх розробок і надати споживачам певні гарантії.
Реалізовуваність - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці з урахуванням витрат на цей процес. Реалізовуваність багато в чому пов'язана з універсальністю і гнучкістю, але відбиває суто практичні і технологічні аспекти реалізації положень і вимог стандарту.
Актуальність відбиває відповідність вимог і критеріїв стандарту множині загроз безпеці і новітніх методів і засобів, що використовуються ЗЛ. Ця характеристика, поряд з універсальністю, є однією з найважливіших, тому що здатність протистояти загрозам і прогнозувати їх розвиток фактично є вирішальним чинником при визначенні його придатності.
Необхідність таких стандартів була усвідомлена вже давно (звичайно, якщо зважати на розвиток інформаційних технологій), і в цьому напрямі досягнуто істотного прогресу, закріпленого у новому поколінні документів розробки 90-х років. Найбільш значимими стандартами ІБ є (у хронологічному порядку): «Критерії безпеки комп'ютерних систем Міністерства оборони СІЛА», «Європейські критерії безпеки інформаційних технологій», «Керівні документи Держтехкомісії Росії», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем», «Єдині критерії безпеки інформаційних технологій», «Українські критерії безпеки автоматизованих систем».
Далі ці документи розглядатимуться з погляду їх структури, вимог і критеріїв, а також оцінки ефективності їх практичного застосування. Тому огляд буде здійснюватися за схемою: мета розробки, основні положення, таксономія і ранжирування вимог і критеріїв.
Нагадаємо деякі найважливіші терміни і визначення, що трактуються практично однаково майже у всіх стандартах.
Політика безпеки (Security Policy). Сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки.
Модель безпеки (Security Model). Формальне представлення політики безпеки.
Дискреційне, або довільне, керування доступом (Discretionary Access Control). Керування доступом, здійснюване на підставі заданої адміністратором множини дозволених відносин доступу.
Мандатне, або нормативне керування доступом (Mandatory Access Control). Керування доступом, що грунтується на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад залежно від грифа таємності інформації і рівня допуску користувача.
Ядро безпеки (Trusted Computing Base (TCB)). Сукупність апаратних, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки.
Ідентифікація (Identification). Процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів).
Автентифікація (Authentication). Перевірка дійсності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів.
Адекватність (Assurance). Показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їх відповідностей поставленим завданням (у більшості випадків це завдання реалізації політики безпеки).
Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation). Аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки. Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації і завершується присвоєнням КС того чи іншого класу чи рівня безпеки.
Таксономія (Taxonomy). Наукова дисципліна, що займається систематизацією і класифікацією складноорганізованих об'єктів і явищ, які мають ієрархічну будову (від грецького taxis - лад, порядок і nomos - закон). На відміну від звичайної класифікації, що встановлює зв'язки і відношення між об'єктами (ієрархія будується знизу вгору), таксономія базується на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху вниз).
Прямий вплив (Trusted Path). Принцип організації інформаційної взаємодії (як правило, між користувачем і системою), який гарантує, що передана інформація не піддається перехопленню чи перекручуванню.
9.2. Огляд стандартів із захисту інформації
Критерії безпеки комп'ютерних систем Міністерства оборони США (Trusted Computer System Evaluation Criteria), що отримали назву «Оранжева книга» (за кольором обкладинки), були розроблені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які висуваються до апаратного, програм-
ного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення.
У цьому документі були вперше нормативно визначені такі поняття, як «політика безпеки», ТСВ і т. п. Відповідно до «Оранжевої книги» безпечна КС - це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що відповідно авторизовані користувачі або процеси, що діють від їх імені, отримують можливість читати, писати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.
В «Оранжевій книзі» запропоновано три категорії вимог щодо безпеки - політика безпеки, аудит та коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, дві інші - на якість самих засобів захисту:
політика безпеки; вимога 1 (політика безпеки) - система має підтримувати точно визначену політику безпеки, можливість доступу до об'єктів повинна визначатися на основі їх ідентифікації і набору правил керування доступом; вимога 2 (мітки) -кожен об'єкт повинен мати мітку, що використовується як атрибут контролю доступу;
аудит; вимога 3 (ідентифікація та автентифікація) - всі суб'єкти повинні мати унікальні ідентифікатори, контроль доступу здійснюється на основі ідентифікації та автентифікації суб'єкта та об'єкта доступу; вимога 4 (реєстрація й облік) - всі події, що мають відношення до безпеки, мають відстежуватися і реєструватися в захищеному протоколі;
коректність; вимога 5 (контроль коректності функціонування засобів захисту) - засоби захисту перебувають під контролем засобів перевірки коректності, засоби захисту незалежні від засобів контролю коректності; вимога 6 (безперервність захисту) -захист має бути постійним і безперервним у будь-якому режимі функціонування системи захисту і всієї системи в цілому.
Запропоновано також чотири групи критеріїв рівня захищеності. Мінімальний захист (група D) містить один клас (D); дискреційний захист (група С) містить два класи (СІ, С2); мандатний захист (група В) містить три класи (Bl, B2, ВЗ); верифікований захист (група А) містить один клас (А). Усі групи і класи в них характеризуються зростаючими вимогами безпеки для системи захисту.
У подальшому виявилося, що ряд положень документа застаріли і він був розвинутий (було створено понад чотири десятки допоміжних документів - «Райдужна серія»). Значення «Оранжевої книги» важко переоцінити - це була перша спроба створення єдиного стандарту
безпеки, і це був справжній прорив у галузі безпеки інформаційних технологій. Цей документ став точкою відліку для подальших досліджень і розробок. Основною його відмінністю є орієнтація на системи військового застосування, причому в основному на ОС.
Історично другими були розроблені «Критерії безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, далі «Європейські критерії»). Вони були розроблені Францією, Німеччиною, Нідерландами та Великобританією і вперше опубліковані в 1991 році.
«Європейські критерії» розглядають такі основні завдання інформаційної безпеки:
захист інформації від НСД з метою забезпечення конфіденційності;
забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації або знищення;
забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.
Для забезпечення вимог конфіденційності, цілісності і працездатності в системі необхідно реалізувати відповідний набір функцій безпеки, таких як ідентифікація й автентифікація, керування доступом, аудит і т. д. Ступінь впевненості у правильності їх вибору і надійності функціонування визначається за допомогою адекватності (assurance), яка включає в себе два аспекти: ефективність (відповідність засобів безпеки завданням безпеки) і коректність (правильність і надійність реалізації функцій безпеки). Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їх реалізації.
Ефективність визначається функціональними критеріями, які розглядаються на трьох рівнях деталізації: перший - цілі безпеки, другий -специфікації функцій захисту, третій - механізми захисту. Специфікації функцій захисту розглядаються з точки зору таких вимог:
ідентифікація й автентифікація;
керування доступом;
підзвітність;
аудит;
повторне використання об'єктів;
цілісність інформації;
надійність обслуговування;
безпечний обмін даними.
Набір функцій безпеки специфікується за допомогою визначених класів-шаблонів. Всього визначено десять класів (F-Cl, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX) за зростаючими вимогами.
«Європейські критерії» визначають також сім рівнів адекватності -від ЕО до Е6 (за зростанням вимог при аналізі ефективності та коректності засобів захисту).
Головне досягнення цього документа - введення поняття адекватності засобів захисту і визначення окремої шкали для адекватності. Крім того, були визначені основні властивості захищеної інформації -конфіденційність, цілісність.
У 1992 р. Держтехкомісія (ДТК) при президенті Російської Федерації опублікувала п'ять Керівних документів з питань захисту інформації від НСД:
1. Захист від несанкціонованого доступу до інформації. Терміни і
визначення.
Концепція захисту ЗОТ і АС від НСД до інформації.
Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги до захисту інформації.
Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації.
Тимчасове положення при організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.
Найцікавішими є другий, третій та четвертий документи.
Ідейною основою цих документів є другий документ, який містить систему поглядів ДТК на проблему інформаційної безпеки й основні принципи захисту комп'ютерних систем. З точки зору розробників даних документів, основне завдання засобів безпеки - це забезпечення захисту від НСД до інформації. Якщо засобам контролю і забезпеченню цілісності деяка увага і приділяється, то про підтримку працездатності систем обробки інформації взагалі не згадується.
Керівні документи ДТК розглядають дві групи критеріїв безпеки -показники захищеності ЗОТ від НСД і критерії захищеності АС обробки даних. Перша група дає змогу оцінити ступінь захищеності окремих компонентів АС, а друга - повнофункціональні системи обробки даних.
Встановлено сім класів захищеності ЗОТ від НСД до інформації. Найнижчий клас сьомий, найвищий - перший. Для кожного з класів визначено певні вимоги для ЗОТ.
Для оцінки рівня захищеності АС від НСД встановлено дев'ять класів. Клас підрозділяються на три групи, які відрізняються специфікою обробки інформації в АС. Група АС визначається на основі таких ознак:
наявність в АС інформації різного рівня конфіденційності;
рівень повноважень користувачів АС на доступ до конфіденційної інформації;
• режим обробки даних в АС (колективний або індивідуальний).Наведемо склад кожної групи за зростанням рівня захищеності.
Отже, третя група включає АС, у яких працює один користувач,
допущений до всієї інформації АС, що розміщена на носіях одного рівня конфіденційності. Група містить два класи - ЗБ і ЗА.
Друга група включає АС, у яких користувачі мають однакові повноваження доступу до інформації, яка обробляється на носіях різного рівня конфіденційності. Вона має два класи - 2Б і 2А.
Перша група включає багатокористувацькі АС, у яких водночас обробляється інформація різних рівнів конфіденційності. Користувачі мають різні права доступу. Група містить п'ять класів - ІД, ЇМ, ЇВ, 1Б, 1А.
Розробка стандарту з ІБ ДТК була дуже важливим новим кроком для тогочасного рівня розвитку інформаційних технологій Росії. Великий вплив на нього справила «Оранжева книга», оскільки і той і інший стандарти були орієнтовані на системи військового застосування. До недоліків даного стандарту слід віднести відсутність вимог до захисту від загроз працездатності, орієнтація тільки на захист від НСД, відсутність вимог до адекватності реалізації політики безпеки. Поняття політики безпеки трактується виключно як підтримка секретності і недопущення НСД, що принципово неправильно.
«Федеральні критерії безпеки інформаційних технологій» (Federal Criteria for Information Technology Security) розроблялись як одна із складових «Американського федерального стандарту з обробки інформації» (Federal for Information Processing Standard) і мали замінити «Оранжеву книгу». Розробниками стандарту виступили Національний інститут стандартів і технологій США (National Institute of Standards and Technology - NIST) та Агентство національної безпеки США (National Security Agency - NSA). Перша версія документа була опублікована в грудні 1992 р.
Цей документ розроблений на основі результатів численних досліджень у галузі забезпечення інформаційних технологій 80-х - початку 90-х років, а також на основі досвіду використання «Оранжевої книги». Документ являє собою основу для розробки і сертифікації компонентів інформаційних технологій з погляду забезпечення безпеки. Створення документа мало такі цілі:
Визначення універсального й відкритого для подальшого розвитку базового набору вимог безпеки до сучасних інформаційних технологій. Вимоги до безпеки і критерії оцінки рівня захищеності повинні відповідати сучасному рівню розвитку інформаційних технологій і враховувати його прогрес у майбутньому.
Удосконалення існуючих вимог і критеріїв безпеки. У зв'язку з розвитком інформаційних технологій назріла необхідність перегляду фундаментальних принципів безпеки з урахуванням появи нових сфер їх застосування як у державному, так і в приватному секторі.
Приведення у відповідність прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.
4. Нормативне закріплення основних принципів інформаційної безпеки. Стандарт є узагальненням основних принципів забезпечення безпеки інформаційних технологій, розроблених у 80-ті роки, і забезпечує наступність стосовно них з метою збереження досягнень у галузі захисту інформації.
Основними об'єктами вимог безпеки «Федеральних критеріїв» є продукти ІТ, під якими розуміється сукупність апаратних і/чи програмних засобів, яка являє собою готовий до використання засіб обробки інформації і постачається споживачеві. Як правило, ІТ-продукт експлуатується не автономно, а інтегрується в систему обробки інформації, що являє собою сукупність ІТ-продуктів, об'єднаних у функціонально повний комплекс, призначений для розв'язання прикладних задач. З погляду безпеки принципове розходження між ІТ-продуктом і системою обробки інформації визначається середовищем їх експлуатації. Продукт IT звичайно розробляється в розрахунку на те, що він буде використовуватися в багатьох системах обробки інформації, і, отже, розробник повинен орієнтуватися тільки на найзагальніші припущення про середовище експлуатації свого продукту, що включають умови застосування і загальні загрози. Навпаки, системи обробки інформації розробляються для розв'язання прикладних задач у розрахунку на вимоги кінцевих споживачів, що дозволяє враховувати специфіку впливів з боку конкретного середовища експлуатації.
«Федеральні критерії» містять положення, що стосуються тільки окремих продуктів IT, а саме - власних засобів забезпечення безпеки ІТ-продуктів, тобто механізмів захисту, вбудованих безпосередньо в ці продукти у вигляді відповідних програмних, апаратних чи спеціальних засобів. Для підвищення ефективності їх роботи можуть використовуватися зовнішні системи захисту і засоби забезпечення безпеки, до яких належать як технічні засоби, так і організаційні заходи, правові і юридичні норми. У кінцевому підсумку безпека ІТ-продукту визначається сукупністю власних засобів забезпечення безпеки і зовнішніх засобів, що є частиною середовища експлуатації.
Ключовим поняттям «Федеральних критеріїв» є поняття профілю захисту - нормативного документа, що регламентує всі аспекти безпеки ІТ-продукту у вигляді вимог до його проектування, технології розробки і кваліфікаційного аналізу.
«Федеральні критерії» представляють процес розробки інформації у вигляді трьох основних етапів:
Розробка й аналіз профілю захисту. Вимоги, викладені в профілі захисту, визначають функціональні можливості ІТ-продукту із забезпечення безпеки. Профіль безпеки аналізується на повноту, несуперечність і технічну коректність.
Розробка і кваліфікаційний аналіз ІТ-продукту.
Компонування і сертифікація системи обробки інформації в цілому.
«Федеральні критерії» регламентують тільки перший етап цієї схеми - розробку й аналіз профілю захисту, наступні етапи залишаються поза рамками цього стандарту.
«Федеральні критерії» є першим стандартом ІБ, у якому визначаються три незалежні групи вимог: функціональні вимоги до засобів захисту, вимоги до технології розробки і до процесу кваліфікаційного аналізу. Вперше запропоновано концепцію профілю захисту, що містить опис усіх вимог безпеки як до самого ІТ-продукту, так і до процесу його проектування, розробки, тестування і кваліфікаційного аналізу. В документі не використовувався єдиний підхід до оцінки рівня безпеки ІТ-продукту, а запропоновано незалежне ранжування вимог кожної групи.
«Канадські критерії безпеки комп'ютерних систем» (Canadian Trusted Computer Product Evaluation Criteria) були розроблені в Центрі безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) для використання як національного стандарту безпеки комп'ютерних систем. Першу версію стандарту було опубліковано в 1992 р.
При розробці «Канадських критеріїв» ставилися такі цілі:
Запропонувати єдину шкалу критеріїв оцінки безпеки КС для порівняння систем за ступенем забезпечення безпеки.
Створити основу для розробки специфікацій безпечних КС, яка могла б використовуватися розробниками при проектуванні систем як керівництво.
Запропонувати уніфікований підхід і стандартні засоби для опису характеристик безпечних КС.
Базовим поняттям стандарту є об'єкт, що може перебувати в трьох станах: об'єкт-користувач, об'єкт-процес, пасивний об'єкт.
Функціональні критерії розділяються на чотири групи: критерії конфіденційності, цілісності, працездатності й аудита. Кожна з цих груп (крім аудита) відбиває функціональні можливості системи відображати відповідний клас загроз. У кожній групі критеріїв визначено рівні безпеки, що відбивають можливості засобів захисту щодо вирішення завдань даного розділу. Ранжування за рівнями здійснюється на підставі потужності використовуваних методів захисту і класу відбиваних загроз. Рівні з великим номером забезпечують більш високий ступінь безпеки.
Адекватність реалізації визначається тим, наскільки точно і послідовно засоби, що забезпечують захист, реалізують прийняту в системі політику безпеки. Критерії адекватності відбивають рівень коректності реалізації політики безпеки й охоплюють усі стадії проектування, розробки й експлуатації комп'ютерної системи.
У такий спосіб «Канадські критерії» визначають ступінь безпеки комп'ютерної системи як сукупність функціональних можливостей використовуваних засобів захисту, що характеризується окремими показниками забезпечуваного рівня безпеки й одного узагальненого параметра - рівня адекватності реалізації політики безпеки.
«Канадські критерії» були першим стандартом ІБ, у якому на рівні структури документа функціональні вимоги до засобів захисту відділені від вимог адекватності і якості реалізації політики безпеки. Вперше багато уваги приділяється взаємній відповідності і взаємодії всіх систем забезпечення безпеки. Прогресивними також є вимоги доведення коректності реалізації функціональних вимог і їх формальної відповідності політиці і моделі безпеки.
«Єдині критерії безпеки інформаційних технологій» (Common Criteria for Information Technology Security Evaluation) є результатом спільних зусиль авторів європейських «Критеріїв безпеки інформаційних технологій», «Федеральних критеріїв безпеки інформаційних технологій» і «Канадських критеріїв безпеки комп'ютерних систем», спрямованих на об'єднання основних положень цих документів і створення єдиного міжнародного стандарту безпеки інформаційних технологій. Робота над цим наймасштабнішим в історії стандартів інформаційної безпеки проектом почалася в червні 1993 року з метою подолання концептуальних і технічних розбіжностей між указаними документами, їх узгодження і створення єдиного міжнародного стандарту. Перша версія «Єдиних критеріїв» була опублікована в січні 1996 р. Розробниками документа виступили США, Велика Британія, Канада, Франція і Нідерланди. Розробка цього стандарту мала такі основні цілі:
уніфікація національних стандартів у сфері оцінки безпеки IT;
підвищення рівня довіри до оцінки безпеки IT;
скорочення витрат на оцінку безпеки ІТ на основі взаємного визнання сертифікатів.
Нові критерії були покликані забезпечити взаємне визнання результатів стандартизованої оцінки безпеки на світовому ринку IT.
Розробка версії 1.0 критеріїв була завершена в січні 1996 року і схвалена ISO (Міжнародна організація зі стандартизації) у квітні 1996 року. Був проведений ряд експериментальних оцінок на основі версії 1.0, а також організоване широке обговорення документа.
У травні 1998 року була опублікована версія 2.0 документа і на її основі в червні 1999 року був прийнятий міжнародний стандарт ІСО/МЕК 15408. Офіційний текст стандарту видано 1 грудня 1999 року. Зміни, внесені в стандарт на завершальній стадії його прийняття, враховані у версії 2.1, ідентичній початковій основі.
Єдині критерії узагальнили зміст і досвід використання «Оранжевої книги», розвинули рівні гарантованості європейських критеріїв, втілили в реальні структури концепцію профілів захисту «Федеральних критеріїв США».
У єдиних критеріях здійснено класифікацію широкого набору функціональних вимог і вимог довіри до безпеки, визначено структури їх групування і принципи цільового використання.
Основними відмітними рисами стандарту є:
1. Насамперед, стандарт - це певна методологія і система формування вимог і оцінки безпеки IT. Системність простежується
починаючи від термінології і рівнів абстракції висування вимог і закінчуючи їх використанням при оцінці безпеки на всіх етапах життєвого циклу виробів IT.
Єдині критерії характеризуються найповнішою на сьогоднішній день сукупністю вимог до безпеки IT.
У єдиних критеріях проведено чіткий поділ вимог безпеки на функціональні вимоги і вимоги довіри до безпеки. Функціональні вимоги стосуються сервісів безпеки (ідентифікації, автентифікації, керування доступом, аудита і т. д.), а вимоги довіри -технології розробки, тестування, аналізу вразливостей, експлуатаційної документації, постачання, супроводу, тобто всіх етапів життєвого циклу виробів IT.
Єдині критерії включають шкалу довіри до безпеки (оцінні рівні довіри до безпеки), що може використовуватися для формування різних рівнів впевненості в безпеці продуктів IT.
Систематизація і класифікація вимог за ієрархією «клас»-«сімей-ство»-«компоненти»-«елемент» з унікальними ідентифікаторами вимог забезпечує зручність їх використання.
Компоненти вимог у сімействах і класах ранжовані за ступенем повноти і жорсткості, а також згруповані в пакети вимог.
Гнучкість у підході до формування вимог безпеки для різних типів виробів IT і умов їх застосування забезпечується можливістю цілеспрямованого формування необхідних наборів вимог у вигляді певних стандартизованих структур (профілів захисту і завдань безпеки).
Єдині критерії є відкритими для наступного нарощування сукупності вимог.
Як показують оцінки фахівців у сфері інформаційної безпеки, за рівнем систематизації, повноти і можливості деталізації вимог, універсальності і гнучкості в застосуванні стандарт являє собою найбільш розроблений із існуючих у даний час стандартів. Причому, що дуже важливо, внаслідок особливостей побудови він має практично необмежені можливості для розвитку, являє собою не функціональний стандарт, а методологію завдання, оцінки і каталог вимог безпеки IT, що може нарощуватися й уточнюватися.
Основними документами, що описують усі аспекти безпеки ІТ-продукту з погляду користувачів і розробників, є відповідно профіль захисту і проект захисту.
Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів і не уточнює методів і засобів їх реалізації. Це дуже докладний документ, що містить такі розділи: вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, додаткові відомості, обґрунтування завдань захисту і вимог безпеки.
Проект захисту містить вимоги і завдання ІТ-продукту, а також описує рівень функціональних можливостей реалізованих у ньому
засобів захисту, їх обґрунтування і підтвердження ступеня їхньої адекватності. Проект захисту, з одного боку, є точкою відліку для розробника системи, а з іншого - являє собою еталон системи в ході кваліфікаційного аналізу. Документ містить такі розділи: вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, загальні специфікації ІТ-продукту, заявка на відповідність профілю захисту, обгрунтування.
Профіль і проект захисту вичерпно регламентують взаємодію споживачів, виробників і експертів із кваліфікації в процесі створення ІТ-продукту. Фактично ці документи визначають технологію розробки захищених систем. Найважливішим елементом цієї технології є вимоги безпеки.
«Єдині критерії» розділяють вимоги безпеки на дві категорії: функціональні вимоги і вимоги адекватності.
Функціональні вимоги регламентують функціонування компонентів ІТ-продукту, що забезпечують безпеку, і визначають можливості засобів захисту. Функціональні вимоги представляються у вигляді складної, але добре опрацьованої формальної ієрархічної структури, що складається з класів, розбитих на розділи.
Адекватність являє собою характеристику ІТ-продукту, що показує, наскільки ефективно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту. Вимоги адекватності жорстко структуровані і регламентують усі етапи проектування, створення й експлуатації ІТ-продукту з погляду надійності роботи засобів захисту і їхньої адекватності функціональним вимогам, завданням захисту і загрозам безпеки. Є сім стандартних рівнів адекватності, причому рівень вимог адекватності зростає від першого рівня до сьомого. Кожен рівень характеризується набором вимог адекватності, що регламентують застосування різних методів і технологій розробки, тестування, контролю і верифікації ІТ-продукту:
Рівень 1. Функціональне тестування.
Рівень 2. Структурне тестування.
Рівень 3. Методичне тестування і перевірка.
Рівень 4. Методична розробка, тестування й аналіз.
Рівень 5. Напівформальні методи розробки і тестування.
Рівень 6. Напівформальні методи верифікації розробки і тестування.
Рівень 7. Формальні методи верифікації розробки і тестування.
Таким чином, вимоги «Єдиних критеріїв» охоплюють практично всі аспекти безпеки ІТ-продуктів і технології їх створення, а також містять усі вихідні матеріали, необхідні споживачам і розробникам для формування профілів і проектів захисту. Крім того, стандарт є практично всеосяжною енциклопедією інформаційної безпеки, тому може використовуватися як довідник з безпеки інформаційних технологій.
Цей стандарт ознаменував собою новий рівень стандартизації інформаційних технологій, піднявши його на міждержавний рівень. За цим
уже бачиться реальна перспектива створення єдиного безпечного інформаційного простору, у якому сертифікація систем безпеки обробки інформації буде здійснюватися на глобальному рівні, що надасть можливості для інтеграції національних інформаційних систем, а це, у свою чергу, відкриє зовсім нові сфери застосування інформаційних технологій.
9.3. Державний стандарт (Критерії) України із ЗІ
У 1997 р. Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України була розроблена перша версія системи нормативних документів із технічного захисту інформації в комп'ютерних системах від НСД. Ця система включає чотири документи:
Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.
Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Розглянемо більш детально кожен з наведених документів.
Нормативний документ технічного захисту інформації (НД ТЗІ) «Загальні положення...» визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, що регламентують питання:
визначення вимог щодо захисту КС від несанкціонованого доступу;
створення захищених КС і засобш їх захисту від несанкціонованого доступу;
оцінки захищеності КС і їх придатності для вирішення завдань споживача.
Документ призначено для постачальників (розробників), споживачів (замовників, користувачів) КС, які використовуються для обробки (у тому числі збирання, збереження, передачі і т. п.) критичної інформації (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.
Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб являють собою певну цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю сутністю впливів, які можуть призвести до зниження цінності інформаційних ресурсів.
Захист інформації, що обробляється в АС, полягає у створенні і підтримці в дієздатному стані системи заходів, як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що запобігають або ускладнюють можливість реалізації загроз, а також знижують потенційні збитки. Інакше кажучи, захист інформації спрямовано на забезпечення безпеки оброблюваної інформації й АС у цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації й АС, що її обробляє. Система зазначених заходів, що забезпечує захист інформації в АС, називається комплексною системою захисту інформації (КСЗІ).
Істотна частина проблем забезпечення захисту інформації в АС може бути вирішена організаційними заходами. Проте з розвитком інформаційних технологій спостерігається тенденція зростання потреби застосування технічних заходів і засобів захисту.
АС являє собою організаційно-технічну систему, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію. Прийнято розрізняти два основні напрями ТЗІ в АС - це захист АС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень).
Цей документ і комплект НД, що базується на ньому, присвячений питанням організації захисту від НСД і побудови засобів захисту від НСД, що функціонують у складі обчислювальної системи АС. Організаційні і фізичні заходи захисту, включаючи захист від фізичного НСД до компонентів ОС, як і захист від витоку технічними каналами, не є предметом розгляду. Незважаючи на це, при викладі увага приділяється також і деяким нетехнічним аспектам, але тільки там, де це впливає на оцінку технічної захищеності.
З точки зору методології в проблемі захисту інформації від НСД слід виділити два напрями:
забезпечення й оцінка захищеності інформації в АС;
реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки та ін.), поза конкретним середовищем експлуатації.
Кінцевою метою всіх заходів щодо захисту інформації є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних етапах обробки інформації й в усіх режимах функціонування. Життєвий цикл АС включає розробку, впровадження, експлуатацію та виведення з експлуатації.
У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить
державну таємницю), то для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої КСЗІ встановленим нормам.
Якщо порядок обробки і захисту інформації не регламентується законодавством, експертиза може виконуватись у необов'язковому порядку за поданням замовника (власника АС або інформації).
У процесі експертизи оцінюється КСЗІ АС у цілому. У тому числі виконується й оцінка реалізованих у КС засобів захисту. Засоби захисту від НСД, реалізовані в комп'ютерній системі, слід розглядати як підсистему захисту від НСД у складі КСЗІ. Характеристики фізичного середовища, персоналу, оброблюваної інформації, організаційної підсистеми істотно впливають на вимоги до функцій захисту, що реалізуються КС.
Обчислювальна система автоматизованої системи являє собою сукупність апаратних засобів, програмних засобів (у тому числі програм ПЗП), призначених для обробки інформації. Кожний з компонентів ОС може розроблятись і надходити на ринок як незалежний продукт. Кожний з цих компонентів може реалізовувати певні функції захисту інформації, оцінка яких може виконуватись незалежно від процесу експертизи АС і має характер сертифікації. За підсумками сертифікації видається сертифікат відповідності реалізованих засобів захисту певним вимогам (критеріям). Наявність сертифіката на обчислювальну систему АС або її окремі компоненти може полегшити процес експертизи АС.
Як у процесі експертизи, так і сертифікації оцінка реалізованих функцій захисту інформації виконується відповідно до встановлених критеріїв. Ці критерії встановлюються НД ТЗІ «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» (далі - Критерії). З метою уніфікації критеріїв і забезпечення можливості їх застосування як у процесі експертизи АС (тобто оцінки функцій захисту інформації, реалізованих ОС автоматизованої системи, що реально функціонують), так і в процесі сертифікації програмно-апаратних засобів поза конкретним середовищем експлуатації, обидві ці категорії об'єднуються поняттям комп'ютерна система. Під КС слід розуміти представлену для оцінки сукупність апаратури, програмно-апаратних засобів, окремих організаційних заходів, що впливають на захищеність інформації.
Як КС можуть виступати: ЕОМ загального призначення або персональна ЕОМ; операційна система; прикладна або інструментальна програма (пакет програм); КЗЗ, що окремо постачається, або підсистема захисту від НСД, наприклад, мережа, яка являє собою надбудову над ОС; локальна обчислювальна мережа, як сукупність апаратних засобів, ПЗ, що реалізує протоколи взаємодій, мережевої операційної системи і т. ін., ОС автоматизованої системи, яка реально функціонує, у найбільш загальному випадку - сама АС або її частина.
Далі використовується термін КС. Якщо необхідно підкреслити певні специфічні моменти, безпосередньо зазначається, стосується викладене АС (обчислювальної системи АС) чи сукупності програмно-апаратних засобів, що окремо постачаються, які розглядаються поза конкретним оточенням.
Можлива ситуація, коли для побудови певної КС використовуються компоненти, кожний або деякі з яких мають сертифікат, який підтверджує, що ці компоненти реалізують певні функції захисту інформації. Це, однак, не означає, що КС, яка складається з таких компонентів, буде реалізовувати всі ці функції. Для гарантії останнього має бути виконано проектування КС з метою інтеграції засобів захисту, що надаються кожним компонентом, у єдиний комплекс засобів захисту. Таким чином, наявність сертифіката слід розглядати як потенційну можливість КС реалізовувати певні функції захисту оброблюваної інформації від певних загроз.
Далі викладається концепція забезпечення ЗІ. Визначаються поняття загрози інформації, політики безпеки, комплекс засобів захисту та об'єкти комп'ютерної системи, визначення несанкціонованого доступу і модель порушника.
Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу КС, що порушує встановлені ПРД. Несанкціонований доступ може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором у процесі експлуатації, що входять у затверджену конфігурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС зловмисником.
До основних способів НСД належать:
безпосереднє звертання до об'єктів з метою одержання певного виду доступу;
створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів захисту;
модифікація засобів захисту, що дозволяє здійснити НСД;
впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і дозволяють здійснити НСД.
Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання ПРД шляхом створення і підтримки в дієздатному стані системи заходів із захисту інформації. Поняття (термін) «захист від НСД» є сталим і тому використовується в цьому НД і документах, що на ньому базуються. Проте зміст даного поняття дещо вужчий, ніж коло розглядуваних питань. Так, політика безпеки КС може містити вимоги щодо забезпечення доступності інформації, які, наприклад, регламентують, що КС має бути стійка до відмов окремих компонентів. Цю вимогу не можна віднести до ПРД, проте її реалізація здійснюється засобами, що входять до складу КЗЗ.
Тому система НД щодо захисту інформації в КС від НСД охоплює коло питань, пов'язаних зі створенням і підтримкою в дієздатному стані системи заходів, що спрямовані на забезпечення додержання вимог політики безпеки інформації під час її обробки в КС.
У наступному пункті подаються основні принципи забезпечення захисту інформації:
планування захисту і керування системою захисту;
принципи керування доступом (безперервний захист, наявність атрибутів доступу, довірче й адміністративне керування доступом, забезпечення персональної відповідальності);
послуги безпеки;
гарантії.
Далі викладаються основні принципи реалізації програмно-технічних засобів:
визначаються функції механізмів захисту;
реалізація комплексу засобів захисту;
концепція диспетчера доступу.
Наступний документ присвячений класифікації автоматизованих систем і подає функціональні профілі захищеності оброблюваної інформації від НСД («Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу»).
Спочатку дається класифікація автоматизованих систем. Автоматизована система являє собою організаційно-технічну систему, що об'єднує ОС, фізичне середовище, персонал і оброблювану інформацію. Вимоги до функціонального складу КЗЗ залежать від характеристик оброблюваної інформації, самої ОС, фізичного середовища, персоналу й організаційної підсистеми. Вимоги до гарантій визначаються насамперед характером (важливістю) оброблюваної інформації і призначенням АС.
У цьому документі за сукупністю характеристик АС (конфігурація апаратних засобів ОС і їх фізичне розміщення, кількість різноманітних категорій оброблюваної інформації, кількість користувачів і категорій користувачів) виділено три ієрархічні класи АС, вимоги до функціонального складу КЗЗ яких істотно відрізняються.
Клас «1» - одномашинний однокористувацький комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності.
Істотні особливості:
у кожний момент часу з комплексом може працювати тільки один користувач, хоча у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі вони повинні мати однакові повноваження (права) щодо доступу до інформації, яка обробляється;
технічні засоби (носії інформації і засоби В/У) з точки зору захищеності належать до однієї категорії і всі можуть використовуватись для збереження і/або обробки всієї інформації.
Приклад - автономна персональна ЕОМ, доступ до якої контролюється з використанням організаційних заходів.
Клас «2» - локалізований багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності.
Істотна відмінність від попереднього класу - наявність користувачів з різними повноваженнями щодо доступу і/або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності.
Приклад - ЛОМ.
Клас «З» - розподілений багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності.
Істотна відмінність від попереднього класу - необхідність передачі інформації через незахшцене середовище або, у загальному випадку, наявність вузлів, що реалізують різну політику безпеки.
Приклад - глобальна мережа.
У межах кожного класу АС класифікуються на підставі вимог до забезпечення певних властивостей інформації. З точки зору безпеки інформація характеризується трьома властивостями: конфіденційністю, цілісністю і доступністю. У зв'язку з цим у кожному класі АС виділяються такі підкласи:
автоматизована система, у якій підвищені вимоги до забезпечення конфіденційності оброблюваної інформації (підкласи «х. К»);
автоматизована система, у якій підвищені вимоги до забезпечення цілісності оброблюваної інформації (підкласи «х. Ц»);
автоматизована система, у якій підвищені вимоги до забезпечення доступності оброблюваної інформації (підкласи «х. Д»);
автоматизована система, у якій підвищені вимоги до забезпечення конфіденційності і цілісності оброблюваної інформації (підкласи «х. КЦ»);
автоматизована система, у якій підвищені вимоги до забезпечення конфіденційності і доступності оброблюваної інформації (підкласи «х. КД»);
автоматизована система, у якій підвищені вимоги до забезпечення цілісності і доступності оброблюваної інформації (підкласи «х. ЦД»);
автоматизована система, у якій підвищені вимоги до забезпечення конфіденційності, цілісності і доступності оброблюваної інформації (підкласи «х. КЦД»).
Для кожного з підкласів кожного класу вводиться певна кількість ієрархічних стандартних функціональних профілів, яка може бути різною для кожного класу і підкласу АС. Профілі є ієрархічними в тому розумінні, що їх реалізація забезпечує дедалі більшу захищеність від загроз відповідного типу (конфіденційності, цілісності і доступності). Підвищення ступеня захищеності може досягатись як підси-
ленням певних послуг, тобто включенням до профілю більш високого рівня послуги, так і включенням до профілю нових послуг.
Така класифікація корисна для полегшення вибору переліку функцій, які повинен реалізовувати КЗЗ ОС, проектованої або існуючої АС. Цей підхід допомагає мінімізувати витрати на початкових етапах створення КСЗІ АС. Проте слід визнати, що для створення КЗЗ, який найповніше відповідає характеристикам і вимогам до конкретної АС, необхідне проведення в повному обсязі аналізу загроз і оцінки ризиків. Далі подається визначення та семантика профілю.
Стандартний функціональний профіль захищеності являє собою перелік мінімально необхідних рівнів послуг, які повинен реалізовувати КЗЗ обчислювальної системи АС, щоб задовольняти певні вимоги щодо захищеності інформації, яка обробляється в даній АС.
Стандартні функціональні профілі будуються на підставі існуючих вимог щодо захисту певної інформації від певних загроз і відомих на сьогоднішній день функціональних послуг, що дають можливість протистояти даним загрозам і забезпечувати виконання поставлених вимог.
Для стандартних функціональних профілів захищеності не вимагається ні пов'язаної з ними політики безпеки, ні рівня гарантій, хоч їх наявність і допускається в разі необхідності. Політика безпеки КС, що реалізує певний стандартний профіль, має бути «успадкована» з відповідних документів, що встановлюють вимоги до порядку обробки певної інформації в АС. Так, один і той же профіль захищеності може використовуватись для опису функціональних вимог з захисту оброблюваної інформації і для ОС, і для СУБД, у той час як їх політика безпеки, зокрема визначення об'єктів, буде різною.
Єдина вимога, якої слід дотримуватися при утворенні нових профілів,- це додержання описаних у НД ТЗІ «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» необхідних умов для кожної із послуг, що включаються до профілю.
Функціональні профілі можуть використовуватись також для порівняння оцінки функціональності КС за критеріями інших держав з оцінкою за національними критеріями.
Опис профілю складається з трьох частин: буквено-числового ідентифікатора, знака рівності і переліку рівнів послуг, взятого у фігурні дужки. Ідентифікатор, у свою чергу, включає: позначення класу АС (1,2 або 3), буквену частину, що характеризує види загроз, від яких забезпечується захист (К, і/або Ц, і/або Д), номер профілю і необов'язкове буквене позначення версії. Усі частини ідентифікатора відділяються один від одного крапкою.
Наприклад, 2.К.4 - функціональний профіль номер чотири, що визначає вимоги до АС класу 2, призначених для обробки інформації, основною вимогою щодо захисту якої є забезпечення конфіденційності.
Версія може служити, зокрема, для вказівки на підсилення певної послуги всередині профілю. Наприклад, нарощування можливостей реєстрації приведе до появи нової версії. Утім внесення деяких істотних змін, особливо додання нових послуг, може або привести до появи нового профілю, або до того, що профіль належатиме до іншого класу чи підкласу АС.
Перелік функціональних послуг безпеки та рівнів гарантій, їх структура і семантичне позначення наведені в НД ТЗІ «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».
Наступний документ - «Критерії оцінки захищеності інформації в комп'ютерних системах від НСД». Спочатку подається побудова і структура критеріїв захищеності інформації.
У процесі оцінки спроможності КС забезпечувати захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:
вимоги до функцій захисту (послуг безпеки);
вимоги до гарантій.
У контексті Критеріїв КС розглядається як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз. Кожна послуга може включати декілька рівнів. Чим вищий рівень послуги, тим повніше забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого і зростають до значення п, де п - унікальне для кожного виду послуг.
Функціональні критерії розбито на чотири групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного з чотирьох основних типів.
Конфіденційність. Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги треба шукати в розділі «Критерії конфіденційності». У цьому розділі описано такі послуги (у дужках наведено умовні позначення для кожної послуги): довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).
Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують вимоги щодо обмеження можливості модифікації інформації, то відповідні послуги треба шукати в розділі «Критерії цілісності». У цьому розділі описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і цілісність при обміні.
Доступність. Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації,
становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то відповідні послуги треба шукати в розділі «Критерії доступності». У цьому розділі описано такі послуги: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
Спостереженість. Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостерєженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні послуги треба шукати в розділі «Критерії спостерєженості». У цьому розділі описані такі послуги: реєстрація, ідентифікація й автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (не-відмова від одержання).
Крім функціональних критеріїв, що дають змогу оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування й експлуатаційної документації. У Критеріях введено сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, у свою чергу, коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації КС.
Всі описані послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як необхідні умови для даної послуги (або її рівня). За винятком послуги аналіз прихованих каналів залежність між функціональними послугами і гарантіями відсутня. Рівень послуги цілісність комплексу засобів захисту НЦ-1 є необхідною умовою абсолютно для всіх рівнів інших послуг.
Порядок оцінки КС на предмет відповідності цим Критеріям визначається відповідними нормативними документами. Експертна комісія, яка проводить оцінку КС, визначає, які послуги і на якому рівні реалізовані в даній КС і як дотримані вимоги гарантій. Результатом оцінки є рейтинг, що являє собою упорядкований ряд (перелічення) буквено-числових комбінацій, що позначають рівні реалізованих послуг, у поєднанні з рівнем гарантій. Комбінації упорядковуються в порядку опису послуг у критеріях. Для того, щоб до рейтингу КС міг бути включений певний рівень послуги чи гарантій, повинні бути
виконані всі вимоги, перелічені в критеріях для даного рівня послуги або гарантій.
Для того, щоб КС могла бути оцінена на предмет відповідності критеріям конфіденційності, КЗЗ оцінюваної КС має надавати послуги із захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні.
Для того, щоб КС могла бути оцінена на предмет відповідності критеріям цілісності, КЗЗ оцінюваної КС має надавати послуги із захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.
Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС має надавати послуги щодо забезпечення можливості використання КС у цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
Для того, щоб КС могла бути оцінена на предмет відповідності критеріям спостереженості, КЗЗ оцінюваної КС має надавати послуги із забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація й автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація й автентифікація при обміні, автентифікація відправника, автентифікація отримувача.
Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. У цих критеріях введено сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб КС одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, що визначені для даного рівня в кожному з розділів.
Останнім документом є «Термінологія в галузі захисту інформації в комп'ютерних системах від НСД». У ньому визначено та пояснено 128 основних найбільш поширених термінів, які подані українською, російською та англійською мовами.