Animated navigation - turn offAnimated navigation - turn off
Animated navigation - turn offAnimated navigation - turn off

  • Лекция №3

    • [[activityicon]]
      Тема 3: "Оценочные стандарты в информационной безопасности"

      3.1 Роль стандартов ИБ. 

      Зачем нужны стандарты в области ИБ? В общем случае стандартом принято называть документ, в котором устанавливаются требуемые характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт может задавать и другие требования — например, к символике или терминологии. 

      Цель: 

      1)обеспечение необходимого уровня качества продуктов, товаров и услуг; 

      2)обеспечения единых характеристик продуктов, товаров и услуг. Причиной необходимости использования стандартов является то, что необходимость соблюдения некоторых из них закреплена законодательно. 

      Реальные причины гораздо глубже — обычно стандарт является обобщением опыта лучших специалистов в той или иной области, и потому представляет собой надёжный источник оптимальных и проверенных решений. 

      Стандартизация в области ИБ необходима по трем основным причинам: 

      1) необходимость выработки единых требований по ИБ (единый набор требований); 

      2) необходимость выработки единых подходов к решению проблем ИБ; 

      3) необходимость выработки единых качественных показателей для оценки безопасности ИС и средств защиты.

      Потребители (заказчики) продуктов информационных технологий бес стандартов не смогут сформулировать свои требования по ИБ производителям информационных систем (нужны какие-то критерии, показатели, единицы измерения ИБ и т.д.).

      Производители продукции ИТ и средств защиты (программных, технических) нуждаются в стандартах для того, чтобы можно было бы объективно оценить свою продукцию с точки зрения обеспечения ИБ, то есть СЕРТИФИЦИРОВАТЬ ее. Им также необходим стандартный набор требований для того, чтобы ограничить фантазию заказчика и заставить выбирать конкретные требования из этого набора.

       Стандарты нужны экспертам по ИБ и специалистам по сертификации как инструмент для оценки уровня безопасности, обеспечиваемого конкретными механизмами и средствами защиты информации (техническими, программными и т.д.) либо комплексами таких средств (КСЗИ). 

      В настоящее время существует довольно много стандартов, а также других нормативных и руководящих документов в области информационной безопасности. Все их рассмотреть в рамках данного курса не представляется возможным. Поэтому мы будем рассматривать только базовые стандарты в области информационной безопасности, которыми руководствуются при создании, сертификации и эксплуатации систем управления информационной безопасностью (СУИБ).

      3.2 «Оранжевая книга» как оценочный стандарт. 

      Стандарт «Критерии оценки доверенных компьютерных систем», более известный как «Оранжевая книга», был разработан Министерством обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности. 

      Требования «Оранжевой книги» имеют следующую структуру: 

      1. Политика безопасности (совокупность управленческих решений по защите информации и ресурсов). 

      1.1. Система должна поддерживать точно определённую политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. По мере необходимости должна использоваться политика мандатного управления доступом. 

      1.2. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать каждому объекту набор атрибутов, определяющих степень конфиденциальности объекта и режимы доступа к этому объекту. 

      2. Подотчётность

      2.1. Все субъекты должны имеет уникальные идентификаторы. 

      Контроль доступа должен осуществляться на основе идентификации субъекта и объекта доступа, аутентификации и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично сточки зрения безопасности. 

      2.2. Для определения степени ответственности пользователя за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищённом протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Протокол событий должен быть надёжно защищен от несанкционированного доступа, модификации и уничтожения.

      3. Гарантии 

      3.1. Средства защиты должны содержать независимые аппаратные или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, регистрацию и учёт, должны находиться под контролем средств, проверяющих корректность их функционирования. Средства контроля должны быть полностью независимы от средств защиты. 

      3.2. Все средства защиты должны быть защищены от несанкционированного вмешательства и отключения, причём эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и информационной системы в целом. Данное требование распространяется на весь жизненный цикл информационной системы. 

      Напомним, что «Оранжевая книга» является оценочным стандартом — а значит, предназначена в первую очередь для проведения анализа защищенности информационных систем. По результатам такого анализа ИС должна быть отнесена к одному из определённых в документе классов защищённости.

       «Оранжевая книга» определяет четыре группы классов защищённости: 

      А — содержит единственный класс А1. 

      В — содержит классы В1, В2 и В3.

       С — содержит классы 

      С1 и С2. D — содержит единственный класс D1. 

      Требуемый уровень защищенности системы возрастает от группы D к группе А, а в пределах одной группы — с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения информационной безопасности, реализованной в ИС.

      Приведём краткие характеристики каждого из классов защищенности. 

      1. Группа D — минимальная защита. К данной категории относятся те системы, которые были представлены для сертификации по требованиям одного из более высоких классов защищенности, но не прошли испытания. 

      2. Группа С - дискреционная защита. данная группа характеризуется наличием дискреционного управления доступом и регистрации действий субъектов.

       - Класс С1 — дискреционная защита. Система включает в себя средства контроля и управления доступом, позволяющие задавать ограничения для отдельных пользователей. Класс С1 рассчитан на однопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности. 

      - Класс С2 — управление доступом Система обеспечивает более избирательное управление доступом путём применения средств индивидуального контроля за действиями пользователей, регистрации, учёта событий и выделения ресурсов. 

      3. Группа В — мандатная защита Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе. 

      - Класс В1 — защита с применением меток безопасности

      Помимо выполнения всех требований к классу С2, система должна поддерживать маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке. 

      - Класс В2 — структурированная защита

      Ядро безопасности должно поддерживать формально определенную и чётко документированную модель безопасности, предусматривающую дискреционное и мандатное управление доступом, которое распространяется на все субъекты. Должен осуществляться контроль скрытых каналов передачи информации. В структуре ядра безопасности должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ядра безопасности должен быть чётко определён, а его архитектура и реализация должны быть выполнены с учётом возможности проведения тестовых испытаний. Управление безопасностью должно осуществляться администратором безопасности. - Класс В3 — домены безопасности 

      Ядро безопасности должно поддерживать монитор безопасности обращений, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Ядро безопасности содержит исключительно подсистемы, отвечающие за реализацию функций защиты, и является достаточно компактным для обеспечения возможности эффективного тестирования. Средства аудита должны включать механизмы оповещения администратора о событиях, имеющих значение для безопасности системы. Необходимо наличие средств восстановления работоспособности системы.

      4. Группа А — верифицированная защита 

      Группа характеризуется применением формальных методов верификации корректности функционирования механизмов управления доступом. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра безопасности отвечает требованиям безопасности. Функциональные требования совпадают с классом В3, однако на всех этапах разработки ИС требуется применение формальных методов верификации систем защиты.

       Разработка и публикация «Оранжевой книги» стали важнейшей вехой в становлении теории информационной безопасности. Такие базовые понятия, как «политика безопасности», «монитор безопасности обращений» или «администратор безопасности» впервые в открытой литературе появились именно в «Оранжевой книге».

      3.3 Международный стандарт ISO/IEC 15408. Критерии оценки безопасности информационных систем

      Как для «Оранжевой книги», так и для аналогичных ей руководящих документов, характерны многочисленные недостатки. Перечислим наиболее существенные из них:

       - документы ориентированы на обеспечение защиты информации от угроз нарушения конфиденциальности и, в определенной степени, целостности. Угрозы нарушения доступности практически не рассматриваются. 

      - Используемый «табличный» подход не позволяет учесть специфику конкретных систем или продуктов, в том числе порядок обработки информации в информационной системе. 

      - Документы содержат перечень механизмов, наличие которых необходимо для отнесения ИС к тому или иному классу защищенности. При этом совершенно не оговорены методы проверки корректности и адекватности реализации функциональных требований. 

      - Формулировки ряда требований чрезвычайно туманны и допускают неоднозначную интерпретацию.

      В целом, «Оранжевая книга», как и все другие оценочные стандарты первого поколения, создавались для давно ушедшей в прошлое материальнотехнической базы и по целому ряду аспектов являются морально устаревшими. 

      Стандарт ISО/IЕС 15408 был разработан совместными усилиями специалистов Канады, США, Великобритании, Германии, Нидерландов и Франции в период с 1990 по 1999 год, развитие стандарта непрерывно продолжается. Исторически за стандартом закрепилось разговорное название «Общие критерии». 

      В России перевод «Общих критериев» версии 2.0 принят в качестве ГОСТа в 2002 году и введён в действие с 1 января 2004 г.

       «Общие критерии» предназначены служить основой при оценке характеристик безопасности продуктов и систем ИТ. Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска