Европейские критерии безопасности информационных технологий
Вслед за выходом “Оранжевой книги” страны Европы разработали согласованные “Критерии безопасности информационных технологий” (далее – “Европейские критерии”). Данный обзор основывается на версии 1.2 этого документа, опубликованной в июне 1991 г. от имени соответствующих органов четырех стран: Франции, Германии, Нидерландов и Великобритании.
Главное достижение этого документа – введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности. Необходимо отметить, что “Европейские критерии” тесно связаны с “Оранжевой книгой”, что делает их не вполне самостоятельным документом.
“Европейские критерии” рассматривают следующие задачи средств информационной безопасности:
защита информации от несанкционированного доступа с целью обеспечения конфиденциальности (поддержание конфиденциальности);
обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения (поддержание целостности);
обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании (поддержание доступности).
Для того чтобы удовлетворить требованиям конфиденциальности, целостности и доступности, необходимо реализовать соответствующий набор таких функций безопасности, как идентификация и аутентификация, управление доступом, восстановление после сбоев и т.д. Чтобы средства защиты можно было признать эффективными, требуется высокая степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в “Европейских критериях” впервые вводится понятие адекватности средств защиты.
Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Функциональные критерии
Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы-шаблоны. В “Европейских критериях” таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности “Оранжевой книги” с аналогичными обозначениями. Рассмотрим подробнее другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.
Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выполнение объектов.
Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, например, для систем управления технологическими процессами. В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельной аппаратной компоненты таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное максимальное время реакции системы на внешние события.
Класс F-DI ориентирован на распределенные системы обработки информации. Перед началом обмена и при получении данных стороны должны иметь возможность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок.
Класс F-DC уделяет особое внимание требованиям к конфиденциальности передаваемой информации. Информация по каналам связи должна передаваться только в зашифрованном виде. Ключи шифрования должны быть защищены от несанкционированного доступа.
Класс F-DX предъявляет повышенные требования и к целостности, и к конфиденциальности информации. Его можно рассматривать как функциональное объединение классов F-DI и F-DC с дополнительными возможностями шифрования и защиты от анализа трафика.
Критерии адекватности
Адекватность средств защиты включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым задачам, и корректность, характеризующую процесс их разработки и функционирования. Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты – их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Под корректностью понимается правильность и надежность реализации функций безопасности.
“Европейские критерии” определяют семь уровней адекватности – от Е0 до Е6 (в порядке возрастания). Уровень Е0 обозначает минимальную адекватность. При проверке адекватности анализируется весь жизненный цикл системы – от начальной фазы проектирования до эксплуатации и управления. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне Е3 к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.
Степень безопасности системы определяется самым слабым из критически важных механизмов защиты. В “Европейских критериях” определены три уровня безопасности – базовый, средний и высокий. Безопасность считается базовой, если средства защиты способны противостоять отдельным случайным атакам (злоумышленник – физическое лицо). Безопасность считается средней, если средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и возможностями (корпоративный злоумышленник). Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за рамки возможного (злоумышленник – государственная спецслужба).