Критерии оценки безопасности информационных технологий

Общие критерии оценки безопасности информационных технологий — (англ. Common Criteria for Information TechnologySecurity Evaluation). Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (IEC 15408^[1], ИСО/МЭК 15408-2002) по компьютерной безопасности. В отличие от стандарта FIPS 140^[2] , Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework) в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом Common Criteria позволяет быть обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведен с необходимой скурпулезностью.

Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году (см. историю разработки далее).

Основные понятия

Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.

Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.

Функциональные требования

Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.

1. Первая группа определяет элементарные сервисы безопасности:
   1. FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
   2. FIA — идентификация и аутентификация;
   3. FRU — использование ресурсов (для обеспечения отказоустойчивости).
2. Вторая группа описывает производные сервисы, реализованные на базе элементарных:
   1. FCO — связь (безопасность коммуникаций отправитель-получатель);
   2. FPR — приватность;
   3. FDP — защита данных пользователя;
   4. FPT — защита функций безопасности объекта оценки.
3. Третья группа классов связана с инфраструктурой объекта оценки:
   1. FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями);
   2. FMT — управление безопасностью;
   3. FTA — доступ к объекту оценки (управление сеансами работы пользователей);
   4. FTP — доверенный маршрут/канал;

Классы функциональных требований к элементарным сервисам безопасности

К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.

Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причем каждое семейство может содержать разное число компонентов.

Назначение компонент данного класса следующее.

FAU_GEN — генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).

Требования доверия

Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.

1. Первая группа содержит классы требований, предшествующих разработке и оценки объекта:
   1. APE — оценка профиля защиты;
   2. ASE — оценка задания по безопасности.
2. Вторая группа связана с этапами жизненного цикла объекта аттестации:
   1. ADV — разработка, проектирование объекта;
   2. ALC — поддержка жизненного цикла;
   3. ACM — управление конфигурацией;
   4. AGD — руководство администратора и пользователя;
   5. ATE — тестирование;
   6. AVA — оценка уязвимостей;
   7. ADO — требования к поставке и эксплуатации;
   8. АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.

История разработки

Разработке «Общих критериев» предшествовала разработка докомента «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), начатая в 1990 году, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации (Общие критерии оценки безопасности информационных технологий (англ. Common Criteria for IT Security Evaluation), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран (США, Канада, Германия, Великобритания, Франция, Нидерланды). В работе над проектом принимали участие следующие институты:

1. Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
2. Учреждение безопасности коммуникаций (Канада);
3. Агентство информационной безопасности (Германия);
4. Органы исполнения программы безопасности и сертификации ИТ (Англия);
5. Центр обеспечения безопасности систем (Франция);
6. Агентство национальной безопасности коммуникаций (Нидерланды).

Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408. В профессиональных кругах за этим документом впоследствии закрепилось короткое название — англ. Common Criteria, CC; русск. «Общие критерии», ОК.

Что это значит?

Итак, допустим некий продукт сертифицирован в соответствии со стандартом Common Criteria. О каком уровне защищённости это говорит?

В соответствии с методикой производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.

Операционная система Windows XP (исходная версия, без SP1) была сертифицирована на уровень Common Criteria EAL4+, после чего для неё было выпущено два пакета обновлений (service pack) и регулярно выпускаются новые критические обновления безопасности. Тем не менее Windows XP в исходной версии по прежнему обладает сертификатом EAL4+, никаких дополнительных сертификаций не проводилось. Это факт говорит о том, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.

Ссылки

• Скачать копию ISO/IEC 15408 (англ.).
• Официальный сайт Common Criteria Project (англ.)
  • Список продуктов сертифицированных по Common Criteria (англ.)

Примечания

1. ↑ Evaluation criteria for IT security
2. ↑ FIPS 140 (англ.)