Сравнительный анализ стандартов информационной безопасности

Опыт эксплуатации существующих компьютерных систем обработки информации показывает, что проблема обеспечения безопасности еще далека от своего решения, а предлагаемые производителями различных систем средства защиты сильно различаются как по решаемым задачам и используемым методам, так и по достигнутым результатам. Это определяет актуальность проблемы построения защищенных систем обработки информации, решение которой следует начать с анализа причин сложившейся ситуации.

Проблема защиты машинной информации на современном уровне развития информатизации общества столь важна и многогранна, что заслуживает более подробного рассмотрения, чем другие аспекты автоматизации профессиональной деятельности. Более подробные сведения можно найти в других источниках (например, [14, 19, 20, 31, 33]).

Для того чтобы объединить усилия всех специалистов в направлении конструктивной работы над созданием защищенных систем, необходимо определить, что является целью исследований, что мы хотим получить в результате и чего в состоянии достичь. Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают разрабатываться стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие «защищенная система» посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности вычислительных систем (ВС). В соответствии с этими документами защищенная система обработки информации представляет собой систему, отвечающую тому или иному стандарту информационной безопасности. Этот факт позволяет сопоставлять степени защищенности различных систем относительно установленного стандарта.

Основные понятия и определения.Политика безопасности — совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз.

Модель безопасности — формальное представление политики безопасности.

Дискреционное, или произвольное, управление доступом — управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от грифа секретности информации и уровня допуска пользователя.

Ядро безопасности — совокупность аппаратных, программных и специальных компонентов ВС, реализующих функции защиты и обеспечения безопасности.

Идентификация — процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов).

Аутентификация — проверка подлинности идентификаторов сущностей с помощью различных (преимущественно криптографических) методов.

Адекватность — показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам (в большинстве случаев это задача реализации политики безопасности).

Квалификационный анализ, квалификация уровня безопасности — анализ ВС с целью определения уровня ее защищенности и соответствия требованиям безопасности на основе критериев стандарта безопасности.

Таксономия — наука о систематизации и классификации сложноорганизованных объектов и явлений, имеющих иерархическое строение. Таксономия основана на декомпозиции явлений и поэтапном уточнении свойств объектов (иерархия строится сверху вниз).

Прямое взаимодействие — принцип организации информационного взаимодействия (как правило, между пользователем и системой), гарантирующий, что передаваемая информация не подвергается перехвату или искажению.

Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность (доступность, конфиденциальность и целостность) обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз.

Под защищенной системой обработки информации предлагается понимать систему, которая:

· осуществляет автоматизацию некоторого процесса обработки конфиденциальной информации, включая все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации;

· успешно противостоит угрозам безопасности, действующим в определенной среде;

· соответствует требованиям и критериям стандартов информационной безопасности.

Отсюда вытекают следующие задачи, которые необходимо и достаточно решить, для того чтобы создать защищенную систему обработки информации, а именно:

· в ходе автоматизации процесса обработки конфиденциальной информации реализовать все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации;

· обеспечить противодействие угрозам безопасности, действующим в среде эксплуатации защищенной системы;

· реализовать необходимые требования соответствующих стандартов информационной безопасности.

Угрозы безопасности компьютерных систем.Под угрозой безопасности компьютерных систем понимаются воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности. Приведем наиболее общую классификацию возможных угроз безопасности. Все угрозы можно разделить по их источнику и характеру проявления.

Случайные угрозы возникают независимо от воли и желания людей. Данный тип угроз связан прежде всего с прямым физическим воздействием на элементы компьютерной системы (чаще всего природного характера) и ведет к нарушению работы этой системы и/или физическому уничтожению носителей информации, средств обработки и передачи данных, физических линий связи.

Причиной возникновения технических угроз случайного характера могут быть как сбои вследствие ошибок персонала (порожденные людьми), так и случайные нарушения в работе оборудования системы (например, вследствие поломки какого-либо узла или устройства, сбоя в работе ПО или элементарное короткое замыкание). Последствиями подобных событий могут быть отказы и сбои аппаратуры, искажение или уничтожение информации, нарушение линий связи, ошибки и физический вред персоналу.

Примером реализации случайной угрозы, созданной людьми, может быть физическое нарушение проводных линий связи из-за проведения строительных работ. Другими словами, угрозы данного типа возникают вследствие каких-либо действий людей, целью которых не является нанесение физического вреда и нарушение функционирования работы компьютерной системы и/или отдельных ее сегментов и ресурсов, однако побочный эффект данных действий приводит к нарушениям и сбоям в работе системы.

Преднамеренные угрозы в отличие от случайных могут быть созданы только людьми и направлены именно на дезорганизацию компьютерной системы. Примером реализации такой угрозы может быть как физическое уничтожение аппаратуры и сетевых коммуникаций системы, так и нарушение ее целостности и доступности, а также конфиденциальности обрабатываемой и хранимой ею информации с применением средств и ресурсов самой системы, а также с использованием дополнительного оборудования.

Ниже приведена более подробная классификация угроз информационной безопасности в зависимости от их источника.

1. Природные угрозы.

1.1. Стихийные бедствия.

1.2. Магнитные бури.

1.3. Радиоактивное излучение и осадки.

1.4. Другие.

2. Угрозы техногенного характера.

2.1. Отключения или колебания электропитания и сбои в работе других средств обеспечения функционирования системы.

2.2. Отказы и сбои в работе аппаратно-программных средств компьютерной системы.

2.3. Электромагнитные излучения и наводки.

2.4. Утечки через каналы связи: оптические, электрические, звуковые.

2.5. Другие.

3. Угрозы, созданные людьми.

3.1. Непреднамеренные действия.

3.1.1. Обслуживающего персонала.

3.1.2. Управленческого персонала.

3.1.3. Программистов.

3.1.4. Пользователей.

3.1.5. Архивной службы.

3.1.6. Службы безопасности.

3.2. Преднамеренные действия.

3.2.1. Обслуживающего персонала.

3.2.2. Управленческого персонала.

3.2.3. Программистов.

3.2.4. Пользователей.

3.2.5. Архивной службы.

3.2.6. Службы безопасности.

3.2.7. Хакерские атаки.

Угрозы техногенного характера связаны с надежностью работы аппаратно-программных средств компьютерной системы. При этом угрозы подгруппы 2.1 связаны с внезапным временным прекращением работы системы и ведут к потерям информации и управления объектами системы. Угрозы подгруппы 2.2 связаны с надежностью работы аппаратно-программных средств и ведут к искажению и потерям информации, нарушениям в управлении объектами. Угрозы подгруппы 2.3 связаны с наличием электромагнитных излучений, за счет которых может происходить несанкционированный перенос информации за пределы защищаемой системы. Угрозы подгруппы 2.4 связаны с утечкой информации через легальные каналы связи за счет использования специального оборудования.

Угрозы группы 3 связаны с людьми, непосредственно работающими с компьютерной системой. Непреднамеренные угрозы связаны со случайными действиями пользователей, ошибками операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению функционирования, управления и безопасности системы, а также ошибкам и сбоям в работе программно-аппаратных средств.

Угрозы, «носителями» которых являются хакерские атаки, связаны с преднамеренными действиями людей, направленными на нанесение ущерба системе с использованием средств и возможностей штатного оборудования системы и любых других возможностей, которые могут быть получены с применением всех имеющихся на данный момент времени информационных технологий. Данная группа угроз является наиболее многочисленной.

Необходимо особо отметить такой вид угроз, как внедрение компьютерных вирусов, программ — «троянских коней», логических бомб и т.д. Данный вид угроз может относиться как к группе 3.1, так и к группе 3.2 в связи с тем, что программы такого типа могут быть специально разработанными «боевыми вирусами» или специально внедренными программными закладками для выведения из строя объектов системы, однако схожими по возможным последствиям могут быть и результаты проявления так называемых недокументированных возможностей вполне «мирного» ПО (например, сетевой ОС), являющиеся следствием непреднамеренных ошибок, допущенных создателями программно-аппаратных средств. Самым ярким примером проявления недокументированных возможностей является инцидент с «червем» Морриса, первым сетевым компьютерным вирусом. Изначально данная программа предназначалась для удаленного тестирования UNIX-машин, однако после запуска 2 ноября 1988 г. программа вышла из-под контроля автора и начала быстро перемещаться по сети, загружая ОС хостов сети своими копиями и вызывая отказы в обслуживании. Формально данное программное средство не наносило ущерба информации на «зараженных» им хостах, однако вызывало необходимость проведения комплекса профилактических работ по восстановлению работоспособности данных хостов. Общие потери от описанного выше инцидента составили почти 100 млн долл. США.

Таким образом, перед защитой систем обработки информации стоит довольно сложная задача — противодействие бурно развивающимся угрозам безопасности. Следовательно, безопасная, или защищенная, система — это система, обладающая средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий (ИТ). Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности. Таким образом, перед стандартами информационной безопасности стоит непростая задача — примирить взгляды этих сторон и создать эффективный механизм взаимодействия между ними.

Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»).Они были разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах экономического назначения.

Согласно «Оранжевой книге», безопасная компьютерная система — это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.

В «Оранжевой книге» предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности.

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа.

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом.

Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.

«Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.

Группа D. Минимальная защита.

Класс D. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов.

Группа С. Дискреционная защита.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользователей и информации и включают средства контроля и управления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей.

Класс С2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.

Группа В. Мандатная защита.

Класс В1. Защита с применением меток безопасности.

Класс В2. Структурированная защита. Угроза безопасности системы должна поддерживать формально определенную и четко документированную модель безопасности, предусматривающую произвольное нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты.

Класс В3. Домены безопасности. Угроза безопасности системы должна поддерживать монитор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, угроза безопасности должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и быть достаточно компактной для эффективного тестирования и анализа.

Группа А. Верифицированная защита.

Класс А1. Формальная верификация. Системы класса А1функционально эквивалентны системам класса В3, к ним не предъявляются никакие дополнительные функциональные требования. В отличие от систем класса В3 в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты.

Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты.

Для того чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:

1) руководство по произвольному управлению доступом в безопасных системах;

2) руководство по управлению паролями;

3) руководство по применению критериев безопасности компьютерных систем в специфических средах.

В 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием «Интерпретация критериев безопасности компьютерных систем», объединяющий все дополнения и разъяснения.

Европейские критерии безопасности информационных технологий.Для того чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, в Европейских критериях впервые вводится понятие «адекватность средств защиты».

Адекватность включает в себя:

· эффективность, отражающую соответствие средств безопасности решаемым задачам;

· корректность, характеризующую процесс их разработки и функционирования.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы-шаблоны. В Европейских критериях таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют соответствующим классам безопасности «Оранжевой книги» с аналогичными обозначениями. Рассмотрим другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.

Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных.

Класс F-A V характеризуется повышенными требованиями к обеспечению работоспособности.

Класс F-DI ориентирован на распределенные системы обработки информации.

Класс F-DC уделяет особое внимание требованиям конфиденциальности передаваемой информации.

Класс F-DX предъявляет повышенные требования и к целостности, и к конфиденциальности информации.

Европейские критерии определяют семь уровней адекватности — от Е0 до Е6 (в порядке возрастания). Уровень ЕО обозначает минимальную адекватность (аналог уровня D «Оранжевой книги»). При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектирования до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне E1 анализируется общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне Е3 к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.

Руководящие документы Гостехкомиссии России.В 1992 г. Гостехкомиссия при Президенте РФ опубликовала пять руководящих документов (РД), посвященных вопросам защиты от несанкционированного доступа (НСД) к информации. Важнейшие из них:

1) «Концепция защиты средств вычислительной техники от НСД к информации»;

2) «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации»;

3) «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации».

Идейной основой этих документов является «Концепция защиты средств вычислительной техники от НСД к информации», содержащая систему взглядов Гостехкомиссии на проблему информационной безопасности и основные принципы защиты компьютерных систем.

Основная и едва ли не единственная задача средств безопасности в этих документах — это обеспечение защиты от НСД к информации. Если средствам контроля и обеспечения целостности еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации вообще не упоминается. Все это объясняется тем, что эти документы были разработаны в расчете на применение в информационных системах Министерства обороны Российской Федерации и спецслужб, а также недостаточно высоким уровнем информационных технологий этих систем по сравнению с современным.

Руководящие документы Гостехкомиссии предлагают две группы критериев безопасности:

· показатели защищенности средств вычислительной техники (СВТ) от НСД;

· критерии защищенности автоматизированных систем (АС) обработки данных.

Данный РД устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам. Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований.

Установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.

В отличие от остальных стандартов отсутствует раздел, содержащий требования по обеспечению работоспособности системы, зато присутствует раздел, посвященный криптографическим средствам.

Требования к средствам защиты АС от НСД включают следующие подсистемы.

1. Подсистема управления доступом.

2. Подсистема регистрации и учета.

3. Криптографическая подсистема.

4. Подсистема обеспечения целостности.

Документы Гостехкомиссии устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:

· наличие в АС информации различного уровня конфиденциальности.

· уровень полномочий пользователей АС на доступ к конфиденциальной информации.

· режим обработки данных в АС (коллективный или индивидуальный).

Федеральные критерии безопасности информационных технологий.Это первый стандарт информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа. Авторами этого стандарта впервые предложена концепция Профиля защиты — документа, содержащего описание всех требований безопасности как к самому продукту информационных технологий (ИТ-продукту), так и к процессу его проектирования, разработки, тестирования и квалификационного анализа.

Функциональные требования безопасности хорошо структурированы и описывают все аспекты функционирования угрозы безопасности. Требования к технологии разработки, впервые появившиеся в этом документе, побуждают производителей использовать современные технологии программирования как основу для подтверждения безопасности своего продукта.

Разработчики Федеральных критериев отказались от используемого в «Оранжевой книге» подхода к оценке уровня безопасности ИТ-продукта на основании обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т.е. вместо единой шкалы используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требований для каждого конкретного ИТ-продукта и среды его эксплуатации.

Этот стандарт рассматривает устранение недостатков существующих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией модели безопасности.

Единые критерии безопасности информационных технологий.Представляют собой результат обобщения всех достижений последних лет в области информационной безопасности. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экспертам по квалификации ИТ-продуктов.

Предложенные Едиными критериями механизмы Профиля защиты и Проекта защиты позволяют потребителям и производителям в полной мере выразить свой взгляд на требования безопасности и задачи защиты и дают возможность экспертам по квалификации проанализировать взаимное соответствие между требованиями, нуждами потребителей, задачами защиты и средствами защиты ИТ-продукта.

В отличие от Профиля защиты Федеральных критериев, который ориентирован исключительно на среду применения ИТ-продукта, Профиль защиты Единых критериев предназначен непосредственно для удовлетворения запросов потребителей.

Разработчики Единых критериев отказались (как и разработчики Федеральных критериев) от единой шкалы безопасности и усилили гибкость предложенных в них решений путем введения частично упорядоченных шкал, благодаря чему потребители и производители получили дополнительные возможности по выбору требований и их адаптации к своим прикладным задачам.

Особое внимание этот стандарт уделяет адекватности реализации функциональных требований, которая обеспечивается как независимым тестированием и анализом ИТ-продукта, так и применением соответствующих технологий на всех этапах его проектирования и реализации. Таким образом, требования Единых критериев охватывают практически все аспекты безопасности ИТ-продуктов и технологии их создания, а также содержат все исходные материалы, необходимые потребителям и разработчикам для формирования Профилей и Проектов защиты.

Кроме того, требования Единых критериев являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника безопасности информационных технологий.

Анализ стандартов информационной безопасности.Главная задача стандартов информационной безопасности — согласовать позиции и цели производителей, потребителей и аналитиков-классификаторов в процессе создания и эксплуатации продуктов информационных технологий. Каждая из перечисленных категорий специалистов оценивает стандарты и содержащиеся в них требования и критерии по своим собственным параметрам.

В качестве обобщенных показателей, характеризующих стандарты информационной безопасности и имеющих значение для всех трех сторон, предлагается использовать универсальность, гибкость, гарантированность, реализуемость и актуальность.

Универсальность. «Оранжевая книга» предназначалась для систем военного времени, ее адаптация для распределенных систем и баз данных потребовала разработки дополнительных документов.

В Европейские критерии вошли распределенные системы, сети, системы телекоммуникаций и СУБД, но в нем по-прежнему явным образом оговаривается архитектура и назначение систем, к которым он может быть применен, и никак не регламентируется среда их эксплуатации.

Документы Гостехкомиссии имеют довольно ограниченную сферу применения — это персональные и многопользовательские системы, причем ориентация системы на обслуживание конечных пользователей является обязательным условием.

Федеральные критерии подняли область применения стандартов на новый уровень, начав рассматривать в качестве объекта их применения любые продукты информационных технологий независимо от их назначения, проводя различие только между характеристиками среды их эксплуатации.

Канадские критерии рассматривают в качестве области своего применения все типы компьютерных систем.

Единые критерии предложили такую технологию создания ИТ-продуктов, при которой использование данного стандарта является неотъемлемым компонентом.

Гибкость. Требования «Оранжевой книги» оказались слишком абстрактными для непосредственного применения во многих случаях, что потребовало их дополнения.

Европейские критерии предусмотрели специальные уровни и требования, рассчитанные на типовые системы (СУБД, телекоммуникации и т.д.).

Документы Гостехкомиссии подробно регламентируют реализацию функций защиты (например, это единственный стандарт, который в ультимативной форме требует применения криптографии), что значительно снижает удобство их использования — в конкретных ситуациях многие требования часто оказываются избыточными и ненужными.

Федеральные критерии впервые предложили механизм Профилей защиты, с помощью которых можно создавать специальные наборы требований, соответствующие запросам потребителей конкретного продукта и угрозам среды его эксплуатации.

Канадские критерии не рассматривают Профиль защиты в качестве обязательного элемента безопасности информационных технологий, и также обладают определенной спецификой в своем подходе к основным понятиям безопасности, поэтому их гибкость можно оценить только как достаточную.

Единые критерии обладают практически совершенной гибкостью, так как позволяют потребителям выразить свои требования с помощью механизма Профилей защиты, в форме инвариантной к механизмам реализации, а производителям — продемонстрировать с помощью Проекта защиты, как эти требования преобразуются в задачи и реализуются на практике.

Гарантированность. «Оранжевая книга» предусматривала обязательное применение формальных методов верификации только при создании систем высшего класса защищенности (класс А).

В Европейских критериях появляется специальный раздел требований — требования адекватности, которые регламентируют технологию и инструментарий разработки, а также контроль за процессами проектирования и разработки.

Документы Гостехкомиссии практически полностью проигнорировали этот ключевой аспект безопасности информационных технологий и обходят данный вопрос молчанием.

Федеральные критерии содержат два специальных раздела требований, посвященных этому аспекту безопасности, содержащие требования к технологии разработки и к процессу квалификационного анализа.

Канадские критерии включают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функциональных требований.

Единые критерии рассматривают гарантированность реализации защиты как самый важный компонент информационной безопасности и предусматривают многоэтапный контроль на каждой стадии разработки ИТ-продукта, позволяющий подтвердить соответствие полученных результатов поставленным целям путем доказательства адекватности задач защиты требованиям потребителей, адекватности Проекта защиты Единым критериям и адекватности ИТ-продукта Проекту защиты.

Реализуемость. Плохие показатели реализуемости говорят о практической бесполезности стандарта, поэтому все документы отвечают этому показателю в достаточной или высокой степени.

Единые критерии и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет потрясающей степени подробности функциональных требований (135 требований), фактически служащих исчерпывающим руководством по разработке защищенных систем.

Отметим, что это единственный показатель, по которому документы Гостехкомиссии не отстают от остальных стандартов информационной безопасности.

Актуальность. «Оранжевая книга» содержит требования, в основном направленные на противодействие угрозам конфиденциальности, что объясняется ее ориентированностью на системы экономического назначения.

Европейские критерии находятся примерно на том же уровне, хотя и уделяют угрозам целостности гораздо больше внимания.

Документы Гостехкомиссии с точки зрения этого показателя выглядят наиболее отсталыми — уже в самом их названии определена единственная рассматриваемая в них угроза — НСД.

Федеральные критерии рассматривают все виды угроз достаточно подробно и предлагают механизм Профилей защиты для описания угроз безопасности, присущих среде эксплуатации конкретного ИТ-продукта, что позволяет учитывать специфичные виды угроз.

Канадские критерии ограничиваются типовым набором угроз безопасности.

Единые критерии ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы (Профиль и Проект защиты), что дает возможность выстроить на их основе динамичную и постоянно адаптирующуюся к новым задачам технологию создания безопасных информационных систем.

Наши рекомендации