Стандарты и регулирование
Следует различать следующие три понятия:
добровольные стандарты;
регулирующие стандарты;
регулятивное использование добровольных стандартов.
Добровольные стандарты разрабатываются организациями, производящими стандарты. Они являются добровольными в том смысле, что их существование не делает обязательным их применение. То есть, производители добровольно создают продукт, соответствующий стандарту, если они видят в этом выгоду для самих себя. Никаких юридических обязательств в этом нет. Эти стандарты также являются добровольными в том смысле, что они были разработаны добровольцами, предпринимаемые усилия которых не оплачивались организацией, производящей стандарты и управляющей этим процессом. Эти добровольцы являются служащими заинтересованных организаций, например производителей и государственных организаций. Работоспособность добровольных стандартов объясняется тем, что, как правило, эти стандарты разрабатывались на основе широкого консенсуса и что потребительский спрос на стандартизированные продукты поощрял применение этих стандартов производителями.
Регулирующие стандарты, напротив, разрабатываются государственными регулятивными управлениями для достижения определенной общественной цели, например в области безопасности. Эти стандарты обладают регулятивной силой и должны выполняться производителями в контексте применения данных предписаний. Но предписания могут применяться к широкому спектру продуктов, включая компьютеры и средства связи.
Регулятивное использование добровольных стандартов — относительно новое или, по меньшей мере, недавно ставшее превалирующим явление. Типичный пример этого — предписание, требующее от государственных организаций, чтобы они приобретали только продукт, соответствующий некоторому набору добровольных стандартов. У такого подхода есть ряд достоинств:
Он уменьшает бремя производства стандартов, лежащее на государственных организациях.
Он поощряет сотрудничество между государством и организациями по стандартизации в области производства стандартов широкого применения.
Он уменьшает число стандартов, которые должны выполнять производители.
Исторически первым широко распространившимся документом, получившем статус стандарта, были Критерии безопасности компьютерных систем Министерства обороны США.
Впоследствии они были приняты другими ведомствами этой страны и даже другими государствами либо в исходном виде, либо после переработки с учетом развития информационных технологий. Так появились Европейские, Федеральные, Канадские критерии безопасности компьютерных систем. В настоящее время в большинстве стран, в том числе и в России, силу стандарта приобрели так называемые Общие критерии.
Интересно посмотреть на краткое содержание предыдущих разработок, чтобы показать эволюцию научно-технической мысли в сфере стандартизации вопросов обеспечения информационной безопасности в ее узком, компьютерном понимании.
Критерии безопасности компьютерных систем Министерства обороны США – "Оранжевая книга"
Критерии безопасности компьютерных систем (TCSEC – Trusted Computer System Evaluation Criteria), получившие неформальное, но прочно закрепившееся название "Оранжевая книга" (по цвету изданной брошюры), были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
В 1985 г. "Оранжевая книга" была принята в качестве стандарта Министерства обороны США (DoD TCSEC). В 1987 и 1991 гг. стандарт был дополнен требованиями для гарантированной поддержки политики безопасности в распределённых вычислительных сетях и базах данных.
В данном документе впервые нормативно определены такие понятия, как "политика безопасности", вычислительная база защиты или ядро защиты (ТCB, Trusted Computing Base) и т.д.
Согласно "Оранжевой книге", безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.
В "Оранжевой книге" предложены три категории требований безопасности – политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних – на качество самих средств защиты. Рассмотрим эти требования подробнее.
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности объекта и/или режимы доступа к этому объекту.
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификация) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения. Они должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Это необходимо для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные функции защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 6. Непрерывность защиты. Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.
Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.
Все системы в соответствии с "Оранжевой книгой" распределяются по следующим классам защищенности (в порядке возрастания защищенности, более защищенный класс включает в себя все требования предыдущих классов):
Класс D – минимальная защита. Зарезервирован для отнесения систем, не удовлетворяющих ни одному из других классов защиты.
Класс С1 – защита, основанная на разграничении доступа (DAC). Обеспечивается разграничение пользователей и данных.
Класс С2 – защита, основанная на управляемом контроле доступом. Наличие усовершенствованных средств управления доступом и распространения прав, аудит событий, имеющих отношение к безопасности системы и разделению ресурсов. Общие ресурсы должны очищаться перед повторным использование другими процессами.
Класс В1 – мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ. Необходима реализация механизма присваивания меток экспортируемым данным.
Класс В2 – структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. Анализ побочных каналов утечки информации. Специальные процедуры изменения конфигурации. Возможность тестирования и полного анализа ТСВ. Разбиение ее структуры на критические с точки зрения защиты и некритические элементы.
Класс В3 – домены безопасности. Реализация концепции монитора обращений, который гарантированно защищен от несанкционированного доступа, порчи и подделки, обрабатывает все обращения, прост для анализа и тестирования (предоставляется полная система тестов, полнота которой доказана).
Класс А1 – верифицированный проект. Проект ТСВ должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.
Выбор класса защиты системы рекомендуется осуществлять на основе ее режима функционирования. Определяется пять таких режимов:
1. Режим, в котором система постоянно обрабатывает ценную информацию одного класса в окружении, которое обеспечивает безопасность для работы с этим классом.
2. Режим особой секретности самой системы. Все пользователи и элементы системы имеют один класс и могут получить доступ к любой информации.
3. Многоуровневый режим. Обработка информации разных классов, не все пользователи имеют доступ ко всем классам информации.
4. Контролирующий режим. Многоуровневый режим, в котором защищенность ТСВ полностью не гарантируется.
5. Режим изолированной безопасности. Изолированная обработка информации различных классов. Например, защищаться может лишь один класс информации, а остальные нет.
Основой для выбора класса является индекс риска: разность между максимальным классом (грифом) информации и минимальным классом пользователей. Чем выше разность, тем больший класс защиты требуется.
Следует отметить, что "Критерии безопасности компьютерных систем" Министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем.
Основной отличительной чертой этого документа является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации и исключение возможностей ее разглашения.
Критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, что явно недостаточно.
Дата добавления: 2015-02-03; просмотров: 1508;