Критерии оценки безопасности информационных технологий


Критерии оценки безопасности информационных технологий

Общие критерии оценки безопасности информационных технологий — (англ. Common Criteria for Information TechnologySecurity Evaluation). Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (IEC 15408[1], ИСО/МЭК 15408-2002) по компьютерной безопасности. В отличие от стандарта FIPS 140[2] , Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework) в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом Common Criteria позволяет быть обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведен с необходимой скурпулезностью.

Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году (см. историю разработки далее).

Содержание

Основные понятия

Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.

Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.

Функциональные требования

Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.

  1. Первая группа определяет элементарные сервисы безопасности:
    1. FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
    2. FIA — идентификация и аутентификация;
    3. FRU — использование ресурсов (для обеспечения отказоустойчивости).
  2. Вторая группа описывает производные сервисы, реализованные на базе элементарных:
    1. FCO — связь (безопасность коммуникаций отправитель-получатель);
    2. FPR — приватность;
    3. FDP — защита данных пользователя;
    4. FPT — защита функций безопасности объекта оценки.
  3. Третья группа классов связана с инфраструктурой объекта оценки:
    1. FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями);
    2. FMT — управление безопасностью;
    3. FTA — доступ к объекту оценки (управление сеансами работы пользователей);
    4. FTP — доверенный маршрут/канал;

Классы функциональных требований к элементарным сервисам безопасности

К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.

Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причем каждое семейство может содержать разное число компонентов.

Назначение компонент данного класса следующее.

FAU_GEN — генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).

Требования доверия

Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.

  1. Первая группа содержит классы требований, предшествующих разработке и оценки объекта:
    1. APE — оценка профиля защиты;
    2. ASE — оценка задания по безопасности.
  2. Вторая группа связана с этапами жизненного цикла объекта аттестации:
    1. ADV — разработка, проектирование объекта;
    2. ALC — поддержка жизненного цикла;
    3. ACM — управление конфигурацией;
    4. AGD — руководство администратора и пользователя;
    5. ATE — тестирование;
    6. AVA — оценка уязвимостей;
    7. ADO — требования к поставке и эксплуатации;
    8. АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.

История разработки

Разработке «Общих критериев» предшествовала разработка докомента «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), начатая в 1990 году, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации (Общие критерии оценки безопасности информационных технологий (англ. Common Criteria for IT Security Evaluation), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран (США, Канада, Германия, Великобритания, Франция, Нидерланды). В работе над проектом принимали участие следующие институты:

  1. Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
  2. Учреждение безопасности коммуникаций (Канада);
  3. Агентство информационной безопасности (Германия);
  4. Органы исполнения программы безопасности и сертификации ИТ (Англия);
  5. Центр обеспечения безопасности систем (Франция);
  6. Агентство национальной безопасности коммуникаций (Нидерланды).

Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408. В профессиональных кругах за этим документом впоследствии закрепилось короткое название — англ. Common Criteria, CC; русск. «Общие критерии», ОК.

Что это значит?

Итак, допустим некий продукт сертифицирован в соответствии со стандартом Common Criteria. О каком уровне защищённости это говорит?

В соответствии с методикой производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.

Операционная система Windows XP (исходная версия, без SP1) была сертифицирована на уровень Common Criteria EAL4+, после чего для неё было выпущено два пакета обновлений (service pack) и регулярно выпускаются новые критические обновления безопасности. Тем не менее Windows XP в исходной версии по прежнему обладает сертификатом EAL4+, никаких дополнительных сертификаций не проводилось. Это факт говорит о том, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.

Ссылки

Примечания



Wikimedia Foundation. 2010.

Смотреть что такое "Критерии оценки безопасности информационных технологий" в других словарях:

  • Общие критерии оценки безопасности информационных технологий — (англ. Common Criteria for Information TechnologySecurity Evaluation). Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (IEC 15408[1], ИСО/МЭК 15408 2002) по компьютерной… …   Википедия

  • Общие критерии — оценки безопасности информационных технологий (англ. Common Criteria for Information TechnologySecurity Evaluation). Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (IEC 15408[1] …   Википедия

  • Стандарты информационной безопасности — Содержание 1 Международные стандарты 2 Государственные (национальные) стандарты РФ …   Википедия

  • Политика безопасности организации — (organisational security policies): одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности... Источник: ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ.… …   Официальная терминология

  • ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 54581-2011: Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы — Терминология ГОСТ Р 54581 2011: Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы оригинал документа: 2.6 аргумент доверия (assurance argument): Совокупность… …   Словарь-справочник терминов нормативно-технической документации

  • Common Criteria — Для улучшения этой статьи желательно?: Викифицировать статью. Общие критерии оценки защищённости информационных технологий  ( …   Википедия

  • /МЭК 15408-2 — ГОСТ Р ИСО/МЭК 15408 2{ 2002} Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ОКС: 35.040 КГС: П85 Виды представления… …   Справочник ГОСТов

  • /МЭК 15408-3 — ГОСТ Р ИСО/МЭК 15408 3{ 2002} Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ОКС: 35.040 КГС: П85 Виды представления… …   Справочник ГОСТов

  • /МЭК 15408-1 — ГОСТ Р ИСО/МЭК 15408 1{ 2002} Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ОКС: 35.040 КГС: П85 Виды представления информации и… …   Справочник ГОСТов


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.