Европейские критерии безопасности информационных технологий

 

Вслед за выходом “Оранжевой книги” страны Европы разработали согласованные “Критерии безопасности информационных технологий” (далее – “Европей­ские критерии”). Данный обзор основывается на версии 1.2 этого до­кумента, опубликованной в июне 1991 г. от имени соответствующих органов четырех стран: Франции, Германии, Нидерландов и Велико­британии.

Главное достижение этого документа – введение понятия адекват­ности средств защиты и определение отдельной шкалы для критериев адекватности. Необходимо отметить, что “Европейские критерии” тесно связаны с “Оранжевой книгой”, что делает их не вполне самостоятельным до­кументом.

“Европейские критерии” рассматривают следующие задачи средств информационной безопасности:

 защита информации от несанкционированного доступа с целью обеспечения конфиденциальности (поддержание конфиденциально­сти);

 обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения (поддержание целостности);

 обеспечение работоспособности систем с помощью противодей­ствия угрозам отказа в обслуживании (поддержание доступности).

Для того чтобы удовлетворить требованиям конфиденциальности, целостности и доступности, необходимо реализовать соответствующий набор таких функций безопасности, как идентификация и аутентификация, управление доступом, восстановление после сбоев и т.д. Чтобы средства защиты можно было признать эффективными, требуется вы­сокая степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в “Европейских кри­териях” впервые вводится понятие адекватности средств защиты.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

 

Функциональные критерии

 

Набор функций безопасности может специфицироваться с исполь­зованием ссылок на заранее определенные классы-шаблоны. В “Евро­пейских критериях” таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности “Оранжевой кни­ги” с аналогичными обозначениями. Рассмотрим подробнее другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.

Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных. Должны различаться следующие виды доступа: чтение, запись, добав­ление, удаление, создание, переименование и выполнение объектов.

Класс F-AV характеризуется повышенными требованиями к обес­печению работоспособности. Это существенно, например, для систем управления технологическими процессами. В требованиях этого класса указывается, что система должна восстанавливаться после отказа от­дельной аппаратной компоненты таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же ре­жиме должна происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное максималь­ное время реакции системы на внешние события.

Класс F-DI ориентирован на распределенные системы обработки информации. Перед началом обмена и при получении данных стороны должны иметь возможность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок.

Класс F-DC уделяет особое внимание требованиям к конфиденци­альности передаваемой информации. Информация по каналам связи должна передаваться только в зашифрованном виде. Ключи шифрова­ния должны быть защищены от несанкционированного доступа.

Класс F-DX предъявляет повышенные требования и к целостности, и к конфиденциальности информации. Его можно рассматривать как функциональное объединение классов F-DI и F-DC с дополнительны­ми возможностями шифрования и защиты от анализа трафика.

 

Критерии адекватности

 

Адекватность средств защиты включает в себя два аспекта: эффективность, отра­жающую соответствие средств безопасности решаемым задачам, и корректность, характеризующую процесс их разработки и функциони­рования. Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным на­бором функций защиты – их функциональной полнотой и согласован­ностью, простотой использования, а также возможными последствия­ми использования злоумышленниками слабых мест защиты. Под кор­ректностью понимается правильность и надежность реализации функ­ций безопасности.

“Европейские критерии” определяют семь уровней адекватности – от Е0 до Е6 (в порядке возрастания). Уровень Е0 обозначает мини­мальную адекватность. При проверке адекватности анализируется весь жизненный цикл системы – от начальной фазы проектирования до экс­плуатации и управления. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне Е3 к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описа­ние функций безопасности, общей архитектуры, а также политики безопасности.

Степень безопасности системы определяется самым слабым из критически важных механизмов защиты. В “Европейских критериях” определены три уровня безопасности – базовый, средний и высокий. Безопасность считается базовой, если средства защиты способны про­тивостоять отдельным случайным атакам (злоумышленник – физиче­ское лицо). Безопасность считается средней, если средства защиты способны противостоять злоумышленникам, обладающим ограничен­ными ресурсами и возможностями (корпоративный злоумышленник). Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены только злоумышленни­ком с высокой квалификацией, набор возможностей и ресурсов кото­рого выходит за рамки возможного (злоумышленник – государствен­ная спецслужба).