Европейские критерии безопасности информационных технологий (ITSEC)
Обзор основывается на версии 1.2 этих критериев, опубликованной в июне 1991 года от имени четырех стран: Франции, Германии, Нидерландов и Великобритании.
Европейские критерии рассматривают следующие задачи средств информационной безопасности:
защита информации от несанкционированного доступа с целью обеспечение конфиденциальности;
обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения;
обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.
В «Европейских критериях» проводится различие между системами и продуктами.
Система - это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении.
Продукт - это аппаратно-программный «пакет», который можно купить и по своему усмотрению встроить в ту или иную систему.
Таким образом, с точки зрения информационной безопасности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях.
Угрозы безопасности системы носят вполне конкретный и реальный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело покупателя обеспечить выполнение этих условий.
Из практических соображений важно обеспечить единство критериев оценки продуктов и систем - облегчить и удешевить оценку системы, составленной из ранее сертифицированных продуктов. В этой связи для систем и продуктов вводится единый термин - объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключительно к системам, а какие - только к продуктам.
Для того чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, необходимо реализовать соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, восстановление после сбоев и т. д. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в «Европейских критериях» впервые вводится понятие адекватности (assurance) средств защиты.
Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Большинство требований безопасности совпадает с аналогичными требованиями Оранжевой книги.
В «Европейских критериях» определено десять классов безопасности. Классы F-C1, F-C2, F-B1, F-B2, F-B3 соответствуют классам безопасности Оранжевой книги с аналогичными обозначениями.
Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных.
Его описание основано на концепции «ролей», соответствующих видам деятельности пользователей, и предоставлении доступа к определённым объектам только посредством доверенных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выполнение объектов.
Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности. Это существенно, например для систем управления технологическими процессами.
В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компонента таким образом, чтобы все критически важные функции постоянно оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Независимо от уровня загрузки должно гарантироваться определенное время реакции системы на внешние события.
Класс F-DI ориентирован на распределенные системы обработки информации.
Перед началом обмена и при получении данных стороны должны иметь возможность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок. В частности, при пересылке данных должны обнаруживаться все случайные или намеренные искажения адресной и пользовательской информации. Знание алгоритма обнаружения искажений не должно позволять злоумышленнику производить нелегальную модификацию передаваемых данных. Необходимо обнаруживать попытки повторной передачи ранее переданных сообщений.
Класс F-DC уделяет особое внимание требованиями к конфиденциальности передаваемой информации.
Информация по каналам связи должна передаваться в зашифрованном виде. Ключи шифрования защищают от несанкционированного доступа.
Класс F-DX предъявляет повышенные требования и к целостности и к конфиденциальности информации.
Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и защиты от анализа трафика. Следует ограничить доступ к ранее переданной информации, которая в принципе может способствовать проведению криптоанализа.
Критерии адекватности. Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым за- дачам, и корректность, характеризующую процесс их разработки и функционирования.
Эффективность - соответствие между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты - их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты.
Корректность - правильность и надежность реализации функций безопасности.
Европейские критерии уделяют адекватности средств защиты значительно больше внимания, чем функциональным требованиям. Как уже говорилось, адекватность складывается из двух компонентов - эффективности и корректности работы средств защиты.
Европейские критерии определяют семь уровней адекватности - от Е0 до Е6. При проверке адекватности анализируется весь жизненный цикл системы - от начальной фазы проектирования до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне ЕЗ к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения.
На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.
В Европейских критериях определены три уровня безопасности - базовый, средний и высокий. Степень безопасности системы определяется самым слабым из критически важных механизмов защиты.
Безопасность считается базовой, если средства защиты способны противостоять отдельным случайным атакам.
Безопасность считается средней, если средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и возможностями.
Наконец, безопасность можно считать высокой, если есть уверенность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за рамки возможного.
Итак, Европейские критерии безопасности информационных технологий, появившиеся вслед за Оранжевой книгой, оказали существенное влияние на стандарты безопасности и методику сертификации.
Главное достижение этого документа - введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности. Как уже упоминалось, Европейские критерии придают адекватность средств защиты даже большее значение, чем их функциональности. Этот подход используется во многих появившихся позднее стандартах информационной безопасности.