Гармонизированные критерии ITSEC

Европейские критерии рассматривают следующие составляющие информационной безопасности:

1 конфиденциальность, т.е. защиту от несанкционированного получения информации;

2 целостность, т.е. защиту от несанкционированного изменения информации;

3 доступность, т.е. защиту от несанкционированного отказа в информации и ресурсов.

В Европейских Критериях средства, имеющие отношение к ИБ, рассматриваются на трех уровнях детализации. Наиболее абстрактный – первый уровень касается лишь целей безопасности, второй – спецификации функций безопасности, на третьем – содержится информация о механизмах безопасности, т.е. обеспечение декларированной функциональности.

Критерии рекомендуют выделить в этих спецификациях разделы со следующими заголовками: идентификация и аутентификация; управление доступом; подотчетность; аудит; повторное использование объектов; точность информации; надежность обслуживания; обмен данными.

Классы безопасности. Набор функций безопасности может специфицироваться с использованием ссылок на определенные классы функциональности. В Европейских Критериях таких классов десять. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги».

Класс F-IN предназначается для объектов оценки с высокими потребностями по обеспечению целостности данных и программ, что типично для систем управления базами данных.

Класс F-AV характеризуется повышенными требованиями к доступности.

Класс F-DI характеризуется повышенными требованиями к целостности передаваемых данных.

Класс F-DC определяет повышенные требования к конфиденциальности передаваемой информации.

Класс F-DX характеризуется повышенными требованиями и к целостности, и к конфиденциальности информации (можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями).

7. Модель OSI/ISO

В модели OSI/ISO сетевые функции распределены между семью уровнями.

7 Прикладной (Предоставление услуг на уровне конечного пользователя: почта, регистрация и т.д.)

6 Представления данных (Интерпретация и сжатие данных)

5 Сеансовый (Аутентификация и проверка полномочий)

4 Транспортный (Обеспечение корректной сквозной пересылки данных)

3 Сетевой (Маршрутизация и ведение учета)

2 Канальный (Передача и прием пакетов, определение аппаратных адресов)

1 Физический (Собственно кабель или физический носитель)

*Физический уровень определяет способ физического соединения компьютеров в сети. Функциями средств, относящихся к данному уровню, являются побитовое преобразование цифровых данных в сигналы, передаваемые по физической среде (например, по кабелю), а также собственно передача сигналов.

*Канальный уровень отвечает за организацию передачи данных между абонентами через физический уровень, поэтому на данном уровне предусмотрены средства адресации, позволяющие однозначно идентифицировать отправителя и получателя во всем множестве абонентов, подключенных к обще линии связи.

*Сетевой уровень обеспечивает доставку данных между компьютерами сети, представляющей собой объединение различных физических сетей.

*Транспортный уровень реализует передачу данных между двумя программами, функционирующими на разных компьютерах, обеспечивая при этом отсутствие потерь и дублирования информации, которые могут возникать в результате ошибок передачи нижних уровней.

*Сессионный (или сеансовый) уровень позволяет двум программам поддерживать продолжительное взаимодействие по сети, называемое сессией (session) или сеансом.

*Уровень представления осуществляет промежуточное преобразование данных исходящего сообщения в общий формат, который предусмотрен средствами нижних уровней, а также обратное преобразование входящих данных из общего формата в формат, понятный получающей программе.

*Прикладной уровень предоставляет высокоуровневые функции сетевого взаимодействия, такие, как передача файлов, отправка сообщений по электронной почте и т.п.

8. Структура и содержание " Общих критерий". Функциональные требования.

Структурно ОК версия 1.0 представлены как совокупность самостоятельных, но взаимосвязанных частей:

Часть 1. " Представление и общая модель". Определяются общая концепция, принципы и цели оценки безопасности ИТ. Приведены категории пользователей, для которых ОК представляют интерес.

Часть 2. " Требования к функциям безопасности". Приведены требования к функциям безопасности и определен набор показателей для оценки безопасности информационных технологий. Каталоги части 2 содержат наборы требований, сгруппированные в семейства и классы.

Часть 3. " Требования гарантии безопасности". Приведены требования гарантии безопасности, сгруппированные в семейства, классы и уровни гарантии оценки. Определены также критерии оценки для Профилей защиты

и Заданий по безопасности.

Часть 4. " Предопределенные профили защиты". Приведены примеры профилей защиты, включающих функциональные требования безопасности и требования гарантии оценки. Ряд подобных требований присутствовал в исходных критериях (ITSEC, CTCPEC, FC, TCSEC), другие впервые представлены в данном документе. Предполагается, что в конечном счете часть 4 станет каталогом профилей защиты, которые прошли процесс регистрации.

Часть 5 (планируется). " Процедуры регистрации". Определит процедуры регистрации профилей защиты и их поддержки в международном регистре.

Классы и семейства функциональных требований сгруппированы на основе определенной функции или цели безопасности. Всего в разделе " Требования к функциям безопасности" версии 1.0 ОК 9 классов, 76 семейств, 184 компонента и 380 элементов.

Класс FAU (аудит безопасности) состоит из 12 семейств, содержащих требования к распознаванию, регистрации, хранению и анализу информации, связанной с действиями, затрагивающими безопасность объекта оценки.

Класс FCO (связь) включает 2 семейства, связанных с аутентификацией сторон, участвующих в обмене данными.

Класс FDP (защита данных пользователя) подразделяется на пять групп семейств, которые относятся к защите данных пользователя в пределах объекта оценки в процессе ввода, вывода и хранения информации.

Класс FIA (идентификация и аутентификация) включает 9 семейств. Эффективность выполнения требований других классов зависит от правильной идентификации и аутентификации пользователей.

Класс FPR (секретность) включает 4 семейства и содержит требования к секретности, обеспечивающие защиту пользователя от раскрытия и несанкционированного использования его идентификаторов другими пользователями.

Класс FPT (защита функций безопасности) включает 22 семейства функциональных требований, которые касаются целостности и контроля данных ФБ и механизмов, обеспечивающих ФБ.

Класс FRU (использование ресурса) включает 3 семейства, которые определяют готовность требуемых ресурсов к обработке и/или хранению информации.

Класс FTA (доступ к ОО) включает 7 семейств, которые определяют функциональные требования, сверх требований идентификации и аутентификации, для управления сеансами работы пользователя.

Класс FTP (надежный маршрут/канал) включает 2 семейства, которые содержат требования к обеспечению надежного маршрута связи между пользователями и ФБ и надежного канала связи между ФБ.

9. Понятие " защищенности" компьютерной системы.

МО – это субъект, активизирующийся при возникновении потока от любого субъекта к любому объекту. Он может быть индикаторный и содержательный.

МБО – это МО, который разрешает поток, принадлежащий только множеству легального доступа L. Таким образом, МБО выступает субъектом реализации политики безопасности.

Представляется очевидным, что при изменении функционально ассоциированных с МБО объектов могут измениться и свойства самого МБО, заключающиеся в фильтрации потоков. Как следствие могут возникнуть потоки, принадлежащие множеству потоков нелегального доступа N.

Утверждение 1 (достаточное условие гарантированного выполнения политики безопасности в КС 1).

Монитор безопасности объектов разрешает порождение потоков только из множества легального доступа L, если все существующие в системе субъекты абсолютно корректны относительно него и друг друга.

Утверждение 2 (достаточное условие гарантированного выполнения политики безопасности в КС 2).

Если в абсолютно изолированной КС существует МБО, и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой КС реализуется только доступ, описанный в правилах разграничения доступа.

Утверждение 3 (базовая теорема ИПС)

Если в момент времени to в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени t> to КС также остается изолированной (абсолютно изолированной).

Исходя из выше приведенного, можно сформулировать методологию проектирования гарантированно защищенных КС. Сущность данной методологии состоит в том, что при проектировании защитных механизмов КС необходимо опираться на совокупность приведенных выше (утверждения 1-3) достаточных условий, которые должны быть реализованы для субъектов, что гарантирует защитные свойства, определенные при реализации МБО в КС (т. е. гарантированное выполнение заданной МБО политики безопасности).

Рассмотренная концепция изолированной программной среды является расширением зарубежных подходов к реализации ядра безопасности.