Модель оценки эффективности технической защиты информации на основе оценочных уровней доверия
Наиболее полно требования доверия и оценочные уровни доверия к безопасности информации в ИС определены в международном стандарте ИСО/ МЭК 15408-3 [30]. В соответствии с этим стандартом доверие - это основа для уверенности в том, что ИС отвечает целям обеспечения безопасности информации. При этом используется шкала оценок в виде 7 уровней доверия, каждый из которых соответствует определенному набору требований доверия. Для упорядочения представлений об этих требованиях все множество требований разделено на классы, семейства, компоненты и элементы доверия.
Иерархическая структура представления требований доверия: класс-семейство-компонент-элемент
Требования доверия
Имя класса
Представление класса
Ссмейство доверия
Имя семейства
Цели:
Ранжирование семейства
Замечания по применению
Компонент доверия
Идентификация компонента
Цели
Замечания по применению
Зависимости
Элементы доверия
Краткая их характеристика приведена в таблице 2.1.
Краткая характеристика структурных элементов множества требований доверия
Класс доверия
Каждому классу доверия присвоено уникальное имя, которое указывает на тематические разделы, на которые распространяется класс доверия. Предусмотрена также уникальная краткая форма имени класса доверия. Она является основным средством для ссылки на класс доверия и включает в себя латинскую букву «А», за которой следуют еще две буквы латинского алфавита, относящиеся к имени класса. Каждый класс доверия имеет вводный подраздел, в котором изложены состав и назначение класса и содержит, по меньшей мере, одно семейство доверия.
Семейство доверия
Каждому семейству доверия присвоено уникальное имя. Это имя содержит описательную информацию по тематическим разделам, на которые распространяется данное семейство доверия. Каждое семейство доверия размещено в пределах класса доверия, который включает в себя другие семейства той же направленности. Предусмотрена также уникальная краткая форма имени семейства доверия. Она является основным средством для ссылки на семейство доверия и включает в себя краткую форму имени класса и символ подчеркивания, за которым следуют три буквы латинского алфавита, относящиеся к имени семейства. Пункт целей семейства доверия представляет назначение семейства доверия. Этот пункт семейства доверия содержит описание имеющихся компонентов и объяснение их отличительных признаков. В семействах доверия, содержащих более одного компонента, выполнено ранжирование компонентов и приведено его обоснование. Необязательный пункт замечаний по применению семейства доверия содержит дополнительную информацию о семействе. Эта информация предназначена непосредственно для пользователей семейства доверия (например, разработчиков профилей защиты). Представление неформально и включает в себя, например, предупреждения об ограничениях использования или областях, требующих особого внимания. Каждое семейство содержит как минимум один компонент доверия.
Компонент доверия
Пункт идентификации компонента содержит описательную информацию, необходимую для идентификации, категорирования, регистрации и ссылок на компонент. Каждому компоненту доверия присвоено уникальное имя, содержащее информацию о тематических разделах, на которые распространяется компонент доверия. Каждый компонент доверия входит в состав конкретного семейства доверия, с которым имеет общую цель безопасности. Предусмотрена также уникальная краткая форма имени компонента доверия. Она является основным средством для ссылки на компонент доверия и включает в себя краткую форму имени семейства, после которой ставится точка, а затем - цифра. Цифры для компонентов в пределах каждого семейства назначены последовательно, начиная с единицы.
Необязательный подпункт целей компонента доверия содержит конкретные цели этого компонента. Для компонентов доверия, которые имеют этот подпункт, он включает в себя конкретное назначение данного компонента и подробное разъяснение целей. Необязательный подпункт замечаний по применению компонента доверия содержит дополнительную информацию для облегчения использования компонента.
Для каждого компонента доверия приведен полный список зависимостей от других компонентов доверия. При отсутствии у компонента идентифицированных зависимостей вместо списка указано: «нет зависимостей». Компоненты, иерархичные по отношению к компоненту из списка зависимостей, также могут использоваться для удовлетворения данной зависимости. Каждый компонент доверия содержит набор элементов доверия.
Элемент доверия
Элемент доверия - требование безопасности, при дальнейшем разделении которого значимый результат оценки не изменяется. Элемент является наименьшим требованием безопасности.
Каждый элемент доверия принадлежит к одному из трех типов:
1) элементы действий разработчика, определяющие действия, которые должны выполняться разработчиком. Этот набор действий далее уточняется доказательным материалом, упоминаемым в следующем наборе элементов. Требования к действиям разработчика обозначены латинской буквой «О» после номера элемента;
2) элементы содержания и представления свидетельств, определяющие требуемые свидетельства и отражаемую в них информацию, а также, при необходимости, - конкретные характеристики, которыми должны обладать либо объект оценки (ИС), либо данные свидетельства доверия. Требования к содержанию и представлению свидетельств обозначены латинской буквой «С» после номера элемента;
3) элементы действий оценщика, определяющие действия, которые должны выполняться оценщиком. Этот набор действий непосредственно включает в себя подтверждение того, что требования, предписанные элементами содержания и представления свидетельств, выполнены, а также - конкретные действия и анализ, выполняемые в дополнение к уже проведенным разработчиком. Требования к действиям оценщика обозначены латинской буквой «Е» после номера элемента:
Действия оценщика определяют его ответственность в двух аспектах. Первый аспект - проверка правильности Профиля защиты/ Задания по безопасности в соответствии с требованиями классов АРЕ «Оценка профиля защиты» и ASE «Оценка задания по безопасности». Второй аспект - верификация соответствия ИС функциональным требованиям и требованиям доверия. Демонстрируя, что требования выполняются, оценщик может предоставить основание для уверенности в том. что ИС будет соответствовать поставленным целям безопасности.
Все требования задаются в виде подлежащих выполнению вербальных правил, например, эти правила для компонента AVA_VLA.l - «анализ уязвимостей разработчиком» формулируются следующим образом:
цель - разработчик выполняет анализ уязвимостей, чтобы установить присутствие явных уязвимостей безопасности (В разделе используется терминология стандарта) и подтвердить, что они не могут быть использованы в предполагаемой среде объекта оценки; элементы действий разработчика —
AVA_VLA. 1. ГО — разработчик должен выполнить анализ уязвимостей; AVA_VLA.1.2D - разработчик должен предоставить документацию по результатам анализа уязвимостей;
элементы содержания и представления свидетельств - AVA_VLA. 1.1С - документация анализа уязвимостей должна содержать описание анализа поставляемых материалов объекта оценки, выполненного для поиска явных способов, которыми пользователь может нарушить политику безопасности организации;
AVA_VLA. 1.2С- документация анализа уязвимостей должна содержать описание решения в отношении явных уязвимостей;
AVA_VLA.1.3C - документация анализа уязвимостей должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде объекта оценки; элементы действий оценщика -
AVA_VLA.1.1E - оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств;
АѴА_ѴЪА.1.2Е - оценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета явных уязвимостей.
Оценочные уровни доверия (ОУД) (Под оценочным уровнем доверия понимается «набор требований доверия, представляющий некоторое положение на предопределенной шкале доверия...») образуют возрастающую шкалу, которая позволяет соотнести получаемый уровень доверия с затратами на обеспечение безопасности и возможностью достижения этой степени доверия. Каждый последующий ОУД представляет более высокое доверие, чем любой из предыдущих. Увеличение доверия от предыдущего ОУД к последующему достигается заменой компонента доверия иерархичным компонентом из того же семейства доверия и добавлением компонентов из других семейств доверия (то есть добавлением новых требований). Сводка ОУД представлена в таблице.
Столбцы таблицы представляют собой иерархически упорядоченный набор ОУД. а строки - семейства доверия. Каждый номер в образованной ими матрице идентифицирует конкретный компонент доверия, применяемый в соответствующем ОУД. Каждый ОУД включает в себя не более одного компонента каждого семейства доверия, при этом все зависимости каждого компонента от других компонентов доверия учтены.
Краткая характеристика конкретных ОУД сводится к следующему.
Все ОУД условно разделены на две группы: первая - с ОУД1 по ОУД4 и вторая - с ОУД5 по ОУД7. Вторая группа отличается от первой указанием на необходимость применения (в возрастающем объеме) специальных «методов проектирования безопасности».
ОУД 1 применяют, если требуется «некоторая уверенность в правильном функционировании, а угрозы безопасности не рассматривают как серьезные». Он будет полезен в случае, если требуется доверие утверждению, что было уделено должное внимание защите информации, например, персональных данных или подобной им информации. ОУД1 обеспечивает оценку в том виде, в каком он доступен потребителю, путем независимого выявления соответствия спецификации и экспертизы представленной документации. Предполагается, что оценка может успешно проводиться без помощи разработчика ИС и с минимальными затратами.
При оценке на уровне ОУД1 предоставляется свидетельство, что ИС функционирует в соответствии с документацией и при этом обеспечивается приемлемая защита от идентифицированных угроз. ОУД1 предоставляет базовый уровень доверия и обеспечивает значимое увеличение доверия по сравнению с неоцененной ИС.
Для ОУД2 предусматривается структурное тестирование и содержит требование сотрудничества с разработчиком для получения информации о проекте и результатах тестирования. Поэтому ОУД2 применяют в случаях, если разработчикам или пользователям требуется независимо подтверждаемый уровень доверия от невысокого до умеренного при отсутствии доступа к полной документации по разработке. ОУД2 также обеспечивает доверие на основе предоставления списка конфигурации объекта оценки и свидетельства безопасных процедур поставки, а также посредством анализа функций безопасности (Под функцией безопасности в соответствии с ИСО/МЭК 15408-2 здесь понимается функция элемента или некоторой совокупности элементов ИС, выполнение которой направлено на корректную реализацию функциональных требований безопасности) с использованием функциональной спецификации, спецификации интерфейсов, руководств и эскизного проекта создаваемой (модернизируемой) ИС. Анализ поддерживается независимым тестированием функций безопасности, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций и свидетельством поиска разработчиком явных уязвимостей (например, из общедоступных источников). ОУД2 представляет значимое увеличение доверия по сравнению с ОУД1 за счет тестирования и анализа уязвимостей разработчиком.
Для ОУДЗ предусматривается методическое тестирование и проверка, это позволяет разработчику достичь максимального увеличения доверия путем применения надлежащего проектирования безопасности. ОУДЗ применяют в случаях, если разработчикам или пользователям требуется независимо подтверждаемый умеренный уровень доверия на основе всестороннего исследования ИС. Он обеспечивает доверие путем анализа функций безопасности с использованием функциональной спецификации, спецификации интерфейсов, руководств и эскизного проекта ИС. Анализ поддерживается независимым тестированием функций безопасности, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, выборочным независимым подтверждением результатов тестирования разработчиком, анализом «стойкости функций и свидетельством поиска разработчиком явных уязвимостей (например, из общедоступных источников)». ОУДЗ также обеспечивает доверие посредством использования мер управления средой разработки, управления конфигурацией ИС и свидетельства безопасных процедур поставки. Он представляет значимое увеличение доверия по сравнению с ОУД2 в связи с более полным покрытием тестированием функций и механизмов защиты (Под механизмом защиты понимается именованная совокупность действий, выполняемых с применением определенного набора мер и средств в интересах достижения сформулированной цели защиты.), что дает некоторую уверенность в том, что в ИС не будут внесены искажения во время разработки.
Для ОУД4 предусматривается методическое проектирование, тестирование и углубленная проверка, что позволяет разработчику достичь максимального увеличения доверия путем применения надлежащего проектирования системы защиты и при этом не требуется глубоких специальных знаний и навыков. ОУД4 - самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке уже существующих ИС, поэтому ОУД4 применяют, если разработчикам или пользователям требуется независимо подтверждаемый уровень доверия от умеренного до высокого и имеется готовность нести дополнительные затраты, связанные с обеспечением безопасности. ОУД4 обеспечивает доверие посредством анализа функций безопасности с использованием функциональной спецификации, полной спецификации интерфейсов, руководств и эскизного и технического проекта ИС и ее подсистем. Доверие дополнительно достигается применением неформальной модели политики безопасности ИС. Анализ поддерживается независимым тестированием функций безопасности, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с низким потенциалом нападения. ОУД4 также обеспечивает доверие посредством использования мер управления средой разработки, дополнительного управления конфигурацией ИС, включая автоматизацию, и свидетельства безопасных процедур поставки. ОУД4 представляет значимое увеличение доверия по сравнению с ОУДЗ, требуя более детального описания проекта, подсистем ИС и улучшенных механизмов и/или процедур, что дает уверенность в том, что в ИС не будут внесены искажения во время разработки или поставки.
Для ОУД5 предусматривается полуформальное проектирование и тестирование. Это позволяет разработчику достичь максимального увеличения доверия путем проектирования системы защиты информации, поддержанного «умеренным применением узкоспециализированных методов». Поэтому ОУД5 применяют, если разработчикам или пользователям требуется независимо получаемый высокий уровень доверия для запланированной разработки. ОУД5 обеспечивает доверие посредством анализа функций безопасности с использованием функциональной спецификации, полной спецификации интерфейсов, руководств, эскизного и технического проектов ИС и всех ее подсистем. Доверие дополнительно достигается применением «формальной модели политики безопасности» в ИС и полуформального представления функциональной спецификации. Кроме этого, требуется модульное проектирование ИС в защищенном исполнении. Анализ поддерживается независимым тестированием функций безопасности объекта оценки, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, выборочным независимым подтверждением результатов тестирования разработчиком, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с умеренным потенциалом нападения. Анализ также включает в себя проверку правильности анализа разработчиком скрытых каналов. ОУД5 также обеспечивает доверие посредством использования контроля среды разработки, всестороннего управления конфигурацией ИС, включая автоматизацию, и свидетельства безопасных процедур поставки, представляет значимое увеличение доверия по сравнению с ОУД4, в том числе за счет полуформального описания проекта, всех подсистем ИС, более структурированной (и, следовательно, лучше анализируемой) архитектуры, анализа скрытых каналов и улучшенных механизмов и/или процедур, что дает уверенность в том, что в ИС не будут внесены искажения во время разработки.
Для ОУД6 предусматривается полуформальная верификация решений по ЗИ в ИС и тестирование, что позволяет разработчикам достичь высокого уровня доверия путем применения специальных методов проектирования ИС в защищенном исполнении в строго контролируемой среде разработки с целью защиты высоко оцениваемых ресурсов (активов) от значительных рисков. Поэтому ОУД6 применяют при разработке защищенных ИС в ситуациях высокого риска, где такая защита оправдывает дополнительные затраты. ОУД6 обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств эскизного и технического проектов ИС и всех ее подсистем. Доверие дополнительно достигается применением формальной модели политики безопасности в ИС и полуформального представления функциональной спецификации, а также полуформальной демонстрации соответствия между ними. Кроме того, требуется модульное и иерархическое (по уровням) проектирование ИС. Анализ поддерживается независимым тестированием функций безопасности, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций безопасности, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с высоким потенциалом нападения. Анализ включает в себя проверку правильности систематического анализа разработчиком скрытых каналов. ОУД6 также обеспечивает доверие посредством использования структурированного процесса разработки, контроля среды разработки, всестороннего управления конфигурацией ИС, включая полную автоматизацию, и свидетельства безопасных процедур поставки, представляет значимое увеличение доверия по сравнению с 0УД5, требуя всестороннего анализа, структурированного представления реализации (структурных компонентов ИС), более стройной структуры (например, с разбиением на уровни), всестороннего независимого анализа уязвимостей, систематической идентификации скрытых каналов, улучшенного управления конфигурацией и улучшенного контроля среды разработки.
Для 0УД7 предусматривается формальная верификация решений по защите информации в ИС и тестирование. Этот уровень применим для использования в ситуациях чрезвычайно высокого риска и/или там. где высокая ценность ресурсов (активов) оправдывает повышенные затраты. ОУД7 обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, эскизного и технического проектов ИС, а также структурированного представления реализации (структурных компонентов ИС). Доверие дополнительно достигается применением формальной модели политики безопасности в ИС, формального представления функциональной спецификации для ИС. Кроме того, требуется модульное иерархическое (по уровням) проектирование ИС. Анализ поддерживается независимым тестированием функций безопасности ИС, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, полным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с высоким потенциалом нападения. Анализ также включает в себя проверку правильности систематического анализа разработчиком скрытых каналов. ОУД7, кроме того, обеспечивает доверие посредством использования структурированного процесса разработки средств контроля среды разработки, всестороннего управления конфигурацией ИС, включая полную автоматизацию, и свидетельства безопасных процедур поставки, представляет значимое увеличение доверия по сравнению с ОУД6, связан со всесторонним анализом с использованием формальных представлений и формального соответствия, а также со всесторонним тестированием.
Таким образом, применение оценочных уровней доверия охватывает широкий круг вопросов, касающихся не только функциональной эффективности защиты информации, но и доверия к среде разработки программного и аппаратного обеспечения ИС и ее подсистем, к поставкам оборудования и программного обеспечения и т.д. Вместе с тем, это дает ориентировочное представление о том, насколько можно доверять реализации требований, предъявленных к функциям безопасности объекта оценки - защищаемой ИС. Однако такой подход, на наш взгляд, имеет и заметные недостатки, к которым относятся, прежде всего, такие как:
сложность сравнения вариантов решений по защите информации в ИС при наличии огромного количества вербально определенных требований и правил при отсутствии единого показателя защищенности или оценки эффективности защиты информации;
невозможность строгой оценки влияния отклонений от установленных требований на защищенность информации в ИС;
отсутствие учета временного фактора при формировании оценочных уровней доверия.
В связи с этим более перспективным, на наш взгляд, является развитие методологии оценки эффективности защиты информации в ИС на основе теории риска.
