:::::: ЧОУ ДПО «Центр предпринимательских рисков» :::::

Общие критерии оценки безопасности информационных технологий. История вопроса

Безопасность информационных технологий стоит в ряду актуальнейших проблем информатизации общества. Ее решение определяется в значительной степени совершенством соответствующей нормативно-методической базы. Данная статья открывает цикл публикаций, посвященных анализу принципов построения, сферы применения и перспектив внедрения в России международного стандарта ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий», разработанного в рамках проекта «Общие критерии».

В «Доктрине информационной безопасности Российской Федерации» одной из составляющих национальных интересов России в информационной сфере определена защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. К числу важнейших задач, поставленных в Доктрине, относятся:

• согласование отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения;

разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации;
сертификация систем и средств обеспечения информационной безопасности Российской Федерации на основе единых требований и подходов.

Решение этих задач связано, прежде всего, с развитием нормативно-методической базы обеспечения безопасности информационных технологий (ИТ), одним из направлений которого является внедрение в России международного стандарта ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».

В силу большого объема и значительной терминологической сложности стандарт ИСО/МЭК 15408-99 еще мало знаком широкому кругу российских специалистов в области безопасности ИТ. Отдельные публикации в изданиях и периодической печати носили обзорный характер и не содержали предметного материала и рекомендаций по практическому применению «Общих критериев» (ОК).

Авторы цикла, осуществлявшие перевод стандарта ИСО/МЭК 15408-99 и имеющие непосредственное отношение к подготовке на его основе российского стандарта, решили восполнить этот пробел и поделиться в доступной и в то же время предметной форме с читателями тем опытом, который они получили при освоении ОК [1, 2].

Международный стандарт ИСО/МЭК 15408-99 (исторически сложившееся название – «Общие критерии») представляет собой результат обобщения опыта различных государств по разработке и практическому использованию критериев оценки безопасности информационных технологий. Базовые документы, которые легли в основу «Общих критериев», и связи между ними представлены на рис. 1.

Анализ развития нормативной базы оценки безопасности ИТ позволяет понять те мотивационные посылки, которые привели к созданию «Общих критериев».

Критерии оценки доверенных компьютерных систем (ТCSEC)

В 1983 году в качестве стандарта оценки безопасности компьютерных систем Министерства обороны США были приняты «Критерии оценки доверенных компьютерных систем Министерства обороны» (Department of Defence Trusted Computer System Evaluation Criteria; TCSEC). Стандарт TCSEC (известен также под названием «Оранжевая книга») определил требования к средствам защиты информации, включенным в компьютерную систему, предназначенную для обработки критичной информации.

Требования TCSEC, предъявляемые к компьютерной системе (продукту) в процессе оценивания, условно можно разделить на четыре типа: требования проведения последовательной политики безопасности (security policy), требования ведения учета использования продукта (accounts), требования доверия к продукту (assurance) и требования к документации на продукт.

Согласно TCSEC компьютерные системы по уровню предъявляемых к ним требований безопасности были разделены на четыре основные группы (D, C, B, A), которые, в свою очередь, делятся на классы безопасности (D, C1, C2, B1, B2, B3, A1). Для каждого класса был определен строго установленный набор требований, который напрямую не был связан со средой и особенностями применения конкретных систем.

В 1987 году Национальный центр компьютерной безопасности США выпустил в свет интерпретацию TCSEC для сетевых конфигураций.

Следуя по пути интеграции, европейские страны (Франция, Германия, Великобритания и Нидерланды) в 1991 году приняли согласованные «Критерии оценки безопасности ИТ» (Information Technology Security Evaluation Criteria; ITSEC).

Основное отличие европейских критериев от Оранжевой книги заключалось в значительно большем внимании к вопросам гарантированности безопасности ИТ, затрагивающим два аспекта – эффективность и корректность средств обеспечения безопасности.

Эффективность определяла адекватность набора функций безопасности угрозам объекту оценки, взаимную согласованность функций, простоту их применения, а также возможные последствия использования известных слабых мест защиты.

Под корректностью понималась правильность реализации функций и механизмов безопасности. При проверке корректности анализируется весь жизненный цикл объекта оценки – от проектирования до эксплуатации и сопровождения. В ITSEC было определено семь возможных уровней гарантированности корректности – от Е0 до Е6.

Общая оценка системы складывается из минимальной стойкости механизмов безопасности и уровня гарантированности корректности.

Канадские критерии безопасности компьютерных систем (CTCPEC)

«Канадские критерии» (Canadian Trusted Computer Product Evaluation Criteria; CTCPEC) разрабатывались для использования в качестве национального стандарта безопасности компьютерных систем. В отличие от Оранжевой книги, ориентированной в основном на разработку и сертификацию многопользовательских операционных систем и требующей определенной интерпретации для других применений (например, для баз данных и сетей), «Канадские критерии» были изначально нацелены на широкий диапазон компьютерных систем. Этот стандарт использовался для разработки требований безопасности, спецификаций средств защиты и сертификации программного обеспечения рабочих станций и многопроцессорных вычислительных систем, персональных и многопользовательских операционных систем, систем управления базами данных, распределенных, сетевых, встроенных, объектно-ориентированных и других систем.

Возможность применения «Канадских критериев» к такому широкому кругу различных по назначению систем определяется используемым в них принципом дуального представления требований безопасности в виде функциональных требований к средствам защиты и требований к адекватности их реализации.

Степень безопасности компьютерной системы определялась как совокупность функциональных возможностей используемых средств защиты, характеризующихся частными показателями обеспечиваемого уровня безопасности, и одного обобщенного параметра – уровня адекватности реализации политики безопасности.

Федеральные критерии безопасности информационных технологий

«Федеральные критерии безопасности информационных технологий» (далее просто «Федеральные критерии» или FC) разрабатывались как одна из составляющих «Американского федерального стандарта по обработке информации» (Federal Information Processing Standard), призванного заменить Оранжевую книгу.

«Федеральные критерии» включают каталог следующих видов требований безопасности ИТ:

функциональные требования (восемь классов);
типовые требования к технологии разработки продуктов ИТ;
требования к процессу квалификационного анализа продуктов ИТ (три группы требований, регламентирующих анализ, контроль и тестирование продукта ИТ).

Ключевым понятием концепции информационной безопасности «Федеральных критериев» является понятие профиля защиты (protection profile). Согласно FC, профиль защиты (ПЗ) представляет собой нормативный документ, который регламентирует все аспекты безопасности продукта ИТ в виде требований к его проектированию, технологии разработки и квалификационному анализу. Как правило, один профиль защиты описывает несколько близких по структуре и назначению продуктов ИТ. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.

Общие критерии оценки безопасности информационных технологий

В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию международного стандарта в области оценки безопасности ИТ. Разработка этого стандарта преследовала следующие основные цели:

унификация национальных стандартов в области оценки безопасности ИТ;
повышение уровня доверия к оценке безопасности ИТ;
сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.

Разработка версии 1.0 ОК была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа.

В мае 1998 года была опубликована версия 2.0 ОК и на ее основе в июне 1999 года принят международный стандарт ИСО/МЭК 15408. Официальный текст стандарта издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию. В настоящее время на основании полученного опыта практического применения ОК готовится версия 3.0, выход которой ожидается в 2002 году.

Общие критерии обобщили содержание и опыт использования Оранжевой книги, развили уровни гарантированности европейских критериев, воплотили в реальные структуры концепцию профилей защиты «Федеральных критериев» США.

В ОК проведена классификация широкого набора функциональных требований и требований доверия к безопасности, определены структуры их группирования и принципы целевого использования.

Основными отличительными чертами ОК являются следующие:

1. Прежде всего, ОК – это определенная методология и система формирования требований и оценки безопасности ИТ. Системность прослеживается, начиная от терминологии и уровней абстракции представления требований и заканчивая их использованием при оценке безопасности на всех этапах жизненного цикла изделий ИТ.

2. Общие критерии характеризуются наиболее полной на сегодняшний день совокупностью требований к безопасности ИТ.

3. В ОК проведено четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к сервисам безопасности (идентификации, аутентификации, управлению доступом, аудиту и т. д.), а требования доверия – к технологии разработки, тестированию, анализу уязвимостей, эксплуатационной документации, поставке, сопровождению, то есть ко всем этапам жизненного цикла изделий ИТ.

4. Общие критерии включают шкалу доверия к безопасности (оценочные уровни доверия к безопасности), которая может использоваться для формирования различных уровней уверенности в безопасности продуктов ИТ.

5. Систематизация и классификация требований по иерархии «класс» – «семейство» – «компонент» – «элемент» с уникальными идентификаторами требований обеспечивает удобство их использования.

6. Компоненты требований в семействах и классах ранжированы по степени полноты и жесткости, а также сгруппированы в пакеты требований.

7. Гибкость в подходе к формированию требований безопасности для различных типов изделий ИТ и условий их применения обеспечивается возможностью целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности).

8. Общие критерии обладают открытостью для последующего наращивания совокупности требований.

Как показывают оценки специалистов в области информационной безопасности [3 – 6], по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональный стандарт, а методологию задания, оценки и каталог требований безопасности ИТ, который может наращиваться и уточняться.

В определенном смысле роль функциональных стандартов выполняют профили защиты, которые формируются с учетом рекомендаций и каталога требований ОК, но могут включать и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного изделия или типа изделий ИТ.

Наряду с официальным названием «Критерии оценки безопасности информационных технологий» рабочая группа ИСО (ISO/IEC JTC 1/SC 27/WG 3), ответственная за разработку критериев безопасности, продолжает использовать исторически сложившееся название – «Общие критерии».

Соглашение о взаимном признании сертификатов

В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и США было подписано соглашение о взаимном признании оценок (The International Mutual Recognition Arrangement – MRA), полученных на основе Общих критериев. В соответствии с этим Соглашением стороны намереваются признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения Общих критериев и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в MRA правила позволяют присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты.

Официальный знак Соглашения представлен ниже.

Сертифицированные продукты, на которые распространяется Соглашение о взаимном признании оценок, маркируются соответствующим знаком (рис. 2).

Количество стран, присоединившихся к международному Соглашению о признании ОК, достигло к настоящему времени 14. В ближайшее время планируется присоединение еще ряда стран, в том числе, Японии, Китая и Кореи.

Это, с одной стороны, является свидетельством признания международным сообществом ОК как единой методологической основы оценки безопасности ИТ, с другой стороны – демократичности самой организации.

В настоящее время в рамках MRA в 6 странах действует 8 аккредитованных органов по сертификации, имеющих право выдавать сертификаты соответствия ОК на продукты и системы ИТ, а также около 30 аккредитованных в этих странах органов оценки, которые к настоящему времени провели в рамках ОК оценку и сертификацию более 20 продуктов и систем ИТ.

Появление соглашения MRA ориентирует разработчиков на единые критерии, которым должны соответствовать их продукты ИТ, а также расширяет возможности выбора сертифицированных продуктов ИТ для потребителей.

В мае 2000 года было подписано более универсальное (по сравнению с MRA) Соглашение о признании сертификатов ОК (Arrangement on the Recognition of Common Criteria Certificates; CCRA).

Международные конференции по общим критериям

Первая Международная конференция по ОК была проведена в Балтиморе (США) летом 2000 года, вторая – в Брайтоне (Великобритания) в июле 2001 года.

В работе последней конференции приняли участие более 400 представителей из 23 стран. На пленарных заседаниях и секциях было представлено около 80 докладов и сообщений самой разнообразной тематической направленности.

Проявленный интерес к конференции свидетельствует о возрастающем интересе к ОК стран международного сообщества.

В докладах и других материалах конференции (проспектах аккредитованных органов по сертификации, органов оценки, перечнях сертифицированных ими продуктов и систем ИТ и др.) были приведены данные о действующих в странах-участниках международного Соглашения схемах оценки и сертификации, о количественных и качественных характеристиках сертифицированных продуктов и систем ИТ на соответствие требованиям ОК, а также данные о прошедших оценку профилях защиты.

В работе конференции приняла участие и делегация из России, в которую вошли представители Минатома России, Центра безопасности информации и Центрального банка России. Руководителем российской делегации А. С. Пискаревым был сделан доклад на тему: «Общие критерии и оценка безопасности ИТ в России».

Судя по докладам и ответам на вопросы, в ведущих странах мира наметилась устойчивая тенденция перехода от оценки безопасности продуктов и систем ИТ по национальным стандартам к их оценке и сертификации по ОК. Так, вСША с начала 2001 года полностью отказались от оценки безопасности коммерческих продуктов по TCSEC и FC и перешли на оценку по ОК. В Германии в настоящее время около 60 % продуктов ИТ оценивается по ITSEC, а 40 % – по ОК, причем, как правило, новые продукты – по ОК. Такая же примерно картина во Франции и других ведущих странах Европы.

Проведение очередной, 3-й Международной конференции по ОК планируется в мае 2002 года в Оттаве (Канада).

Общие критерии в странах содружества независимых государств

Сразу после выхода в 1996 году в свет версии 1.0 ОК работы по их анализу и адаптации практически одновременно были начаты в России и Республике Беларусь. В России эта работа в инициативном порядке проводилась Центром безопасности информации, а в Республике Беларусь – ИТК НАН Беларуси.

В течение 2000 и 2001 годов под эгидой Минатома России и Министерства энергетики США в России и Соединенных Штатах были проведены международные семинары с участием основных разработчиков ОК. На семинарах обсуждались проблемные вопросы концептуального и терминологического плана, возникшие в процессе разработки проекта Российского стандарта ГОСТ Р ИСО/МЭК 15408, и условия вхождения России в MRA. Результаты проведенных за эти годы работ были обсуждены на 5-й Международной конференции «Комплексная защита информации», проходившей в Минске в начале 2001 года. Проблеме принятия «Общих критериев» в качестве стандарта Союза Белоруссии и России была посвящена работа одной из секций конференции. Внедрение «Общих критериев» в России и республике Беларусь признано на конференции самым перспективным направлением совершенствования нормативно-методической базы оценки безопасности ИТ. При этом учитывалось, что, как и в других странах, период освоения, апробации и адаптации «Общих критериев» может быть длительным.

Другие страны СНГ, как показала, например, IV Международная научно-практическая конференция «Безопасность информации в информационно-телекоммуникационных системах» (Киев, май 2001 года), оказались не столь активными в освоении ОК. В то же время доклады, сделанные представителями делегации России на конференции в Киеве по совершенствованию нормативно-методической базы оценки безопасности ИТ на основе ОК, вызвали большой интерес со стороны как многочисленных представителей государственных организаций, ведущих предприятий и фирм Украины, так и делегаций других стран СНГ, участвовавших в конференции. Отмечена объективная необходимость создания нормативно-методической базы оценки безопасности ИТ на основе общих для стран СНГ критериев оценки (для этого может быть использован международный стандарт ИСО/МЭК 15408-99).

Материалы по ОК как основы для совершенствования нормативной базы оценки безопасности ИТ в России докладывались и обсуждались на научно-практическом семинаре в МИФИ (ноябрь 2000 года), 7-й Российской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2000 год), 3-й Международной конференции «Цифровая обработка сигналов и ее применение» (Москва, 2000 год), международной конференции в МГУ (Москва, 2001 год), совещании-семинаре представителей органов по сертификации и испытательных лабораторий, аккредитованных в Системе сертификации Гостехкомиссии России (Москва – Обнинск, 2001 год).

В результате проведенных семинаров и конференций у российских специалистов сформировалось устойчивое мнение о целесообразности использования основных положений и конструкций ОК при разработке комплекса нормативных документов, методического и инструментального обеспечения оценки безопасности изделий ИТ в России.

Первоочередным шагом в этом направлении является принятие российского стандарта ГОСТ Р ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий», аналогичного ИСО/МЭК 15408-99. Работы в этом направлении ведутся под эгидой Гостехкомиссии России (разработчики: Центр безопасности информации, Центр «Атомзащитаинформ», ЦНИИАтоминформ, ВНИИСтандарт).

Первая редакция стандарта была выпущена в июне 2000 года.

Вторая, окончательная, редакция стандарта выпущена в июне 2001 года, рассмотрена на совместном заседании технических комитетов по стандартизации ТК 362 «Защита информации» и ТК 22 «Информационные технологии» и рекомендована к представлению в Госстандарт России для утверждения и ввода в действие после соответствующей апробации. В подготовке второй редакции стандарта активное участие приняли эксперты международной рабочей группы по ОК.

Стандарт ИСО/МЭК 15408-99 является базовым стандартом. Непосредственное формирование требований безопасности ИТ осуществляется путем разработки на основе методологии и библиотеки требований ОК, профилей защиты и заданий по безопасности для изделий ИТ. Поэтому для обеспечения действия стандарта потребуется выпуск целого ряда организационно-методических документов, определяющих порядок разработки ПЗ и заданий по безопасности, их оценки, регистрации и применения.

При этом необходимо понимание, что переход на новую нормативную базу не может являться разовой акцией, а потребует значительного объема подготовительной работы и довольно продолжительного переходного периода, обусловленного различными причинами.

Во-первых, необходимо будет уточнить концептуальный подход к обеспечению безопасности ИТ с учетом новых понятий и терминологии, которые в настоящее время сформировались в области информационной безопасности, в частности, таких ключевых понятий, как политика безопасности, профиль защиты, задание по безопасности, функция безопасности и др.

Во-вторых, обеспечение безопасности современных ИТ предполагает более высокий, по сравнению с сегодняшним, уровень технологий разработки, испытаний и использования средств защиты информации (формализация представления проектов СЗИ, оценка полноты и глубины тестирования, всесторонний анализ уязвимостей, поддержка доверия к СЗИ в процессе эксплуатации и др.). Это потребует уточнения соответствующих нормативных документов в этой области.

В-третьих, предстоит усовершенствовать и развить методическую базу, включая разработку комплекса типовых методик проведения сертификационных испытаний. При этом в качестве исходного материала можно использовать разработанную в дополнение к ОК «Общую методологию оценки безопасности ИТ».

Результаты проведенных исследований, итоги работы конференций и семинаров позволяют сделать вывод о том, что разработка и ввод в действие в России пакета нормативных документов на основе ОК дадут возможность:

выйти на современный уровень критериальной базы оценки безопасности ИТ;
создать новое поколение межведомственных нормативно-методических документов по оценке безопасности ИТ на единой основе;
ускорить разработку функциональных стандартов по базовым видам ИТ, согласованных с уже разработанными в мире профилями защиты;
обеспечить взаимное признание сертификатов для коммерческих продуктов и сэкономить тем самым значительные финансовые и материальные средства.

1. Трубачев А. П., Долинин М. Ю., Сидак А. А., Кобзарь М. Т., Сороковиков В. И. Оценка безопасности информационных технологий // Под общ. ред. В. А. Галатенко. М.: Издательство СИП РИА, 2001. – 356 с.

2. Общие критерии оценки безопасности информационных технологий: Учебное пособие. Перевод с английского Е. А.Сидак / Под ред. М. Т. Кобзаря, А. А. Сидака. М.: МГУЛ, 2001. – 84 с.

3. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. М.: Горячая линия – Телеком, 2000. – 452 с.

4. Липаев В. В. Стандарты на страже без-опасности информационных систем // PC WEEC/RE. 2000. № 30.

5. Кобзарь М. Т, Калайда И. А. Общие критерии оценки безопасности информационных технологий и перспективы их использования // Jet Info. 1998. № 1.

6. Кобзарь М. Т., Трубачев А. П.. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России // Безопасность информационных технологий. 2000. № 4.