Политики безопасности

Излагаются положения политики безопасности, применяемые в организации,

которые имеют непосредственное отношение к ОО.

На основании сформулированных предположений безопасности, при учёте угроз и

политик формулируются цели безопасности для ОО, направленные на обеспечение

противостояния угрозам и выполнение положений политики безопасности.

Для достижения поставленных целей к ОО и его среде предъявляются требования

безопасности. Вторая и третья части «Общих критериев» представляют собой каталоги

требований безопасности следующих типов:

- Функциональные требования (Часть 2) – соответствуют активному аспекту

защиты и предъявляются к функциям безопасности ОО и реализующим их

механизмам.

- Требования доверия (Часть 3) – предъявляются к технологии и процессу

разработки, эксплуатации и оценки ОО и призваны гарантировать адекватность

реализации механизмов безопасности.

При формулировании требований к ОО могут быть разработаны два документа:

1. Профиль защиты – не зависящая от конкретной реализации совокупность

требований информационных технологий для некоторой категории ОО.

Профиль защиты (ПЗ) непривязан к конкретному ОО и представляет собой

обобщённый стандартный набор функциональных требований и требований

доверия для определённого класса продуктов или систем. Например, может

быть разработан профиль защиты на межсетевой экран корпоративного уровня

или на биллинговую систему.

Именно каталог утверждённых профилей защиты должен послужить заменой

традиционных руководящих документов Гостехкомиссии России.

2. Задание по безопасности – документ, содержащий требования безопасности

ля конкретного ОО и специфицирующий функции безопасности и меры

доверия, предлагаемые объектом оценки для выполнения установленных

требований. В задании по безопасности (ЗБ) может быть заявлено соответствие

одному или нескольким профилям защиты.

ЗБ можно рассматривать как техническое задание на подсистему обеспечения

информационной безопасности для ОО.

Задание по безопасности служит основой для проведения оценки ОО с целью

демонстрации соответствия его требованиям безопасности.

Нетрудно видеть, что по сравнению с традиционными стандартами «Общие

критерии» представляют собой принципиально более гибкий и универсальный

инструмент. Однако стандарт не претендует на всеобъемлющую универсальность и, в

частности, имеет следующие ограничения:

1. ОК не содержат критериев оценки, касающихся администрирования

механизмов безопасности, непосредственно не относящихся к мерам

безопасности информационных технологий (управление персоналом, вопросы

физической безопасности и т.д.). Соответствующие аспекты в рамках «Общих

критериев» могут рассматриваться исключительно в виде предположений

безопасности. Предполагается, что оценка соответствующих механизмов

должна проводиться с использованием других стандартов.

2. Вопросы защиты информации от утечки по техническим каналам, такие как

контроль ПЭМИН, непосредственно не затрагиваются, хотя многие концепции

ОК потенциально применимы и в данной области.

3. В ОК не рассматриваются ни методология оценки, ни административно-

правовая структура, в рамках которой критерии могут применяться органами

оценки.

4. Процедуры использования результатов оценки при аттестации продуктов и

систем находятся вне области действия ОК.

5. В ОК не входят критерии оценки специфических свойств криптографических

алгоритмов. Независимая оценка математических свойств криптографических

компонентов, встроенных в ОО, должна проводиться как самостоятельная

независимая процедура.

43) Структура и содержание профиля защиты

Структура профиля защиты приведена на рис. 3.4.3.

Введение ПЗ должно содержать информацию управления документооборотом и

обзорную информацию, необходимые для работы с реестром ПЗ:

- идентификация ПЗдолжна обеспечить маркировку и описательную

информацию, необходимые, чтобы идентифицировать, каталогизировать,

регистрировать ПЗ и ссылаться на него;

- аннотация ПЗдолжна дать общую характеристику ПЗ в описательной форме.

Она должна быть достаточно подробной, чтобы потенциальный пользователь

ПЗ мог решить, представляет ли ПЗ для него интерес. Аннотация должна быть

также применима для размещения в виде самостоятельного реферата в

каталогах и реестрах ПЗ.

Описание ОО служит цели лучшего понимания его требований безопасности и

даёт представление о типе продукта и основных характерных особенностях ИТ

применительно к ОО. Описание ОО предоставляет контекст для оценки. Информация,

содержащаяся в описании ОО, будет использована в процессе оценки для выявления

противоречий. Поскольку ПЗ обычно не ссылается на конкретную реализацию, то

характерные особенности ОО могут быть представлены в виде предположений.

Изложение среды безопасности ОО должно содержать описание аспектов

безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его

применения. Это изложение должно включать:

1. Описание предположений, содержащее аспекты безопасности среды, в которой

ОО будет использоваться или предполагается к использованию. Оно должно

включать в себя:

- информацию относительно предполагаемого использования ОО, включая

такие аспекты, как предполагаемая область применения, потенциальная

значимость активов и возможные ограничения использования;

- информацию относительно среды применения ОО, включая аспекты

физического окружения, персонала и внешних связей.

2. Описание угроз, включающее все те угрозы активам, против которых требуется

защита средствами ОО или его среды. Заметим, что необходимо приводить не

все угрозы, которые могут встретиться в среде, а только те из них, которые

влияют на безопасную эксплуатацию ОО. Если цели безопасности ОО следуют

только из политики безопасности организации и предположений, то описание

угроз может быть опущено.

3. Описание политики безопасности организации, идентифицирующее и, при

необходимости, объясняющее все положения политики безопасности

организации или правила, которым должен подчиняться объект оценки. Если

цели безопасности следуют только из угроз и предположений безопасности,

описание политики безопасности организации может быть опущено.

Изложение целей безопасности должно определять цели безопасности как для

ОО, так и для его среды. Цели безопасности должны учитывать все установленные

аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение

противостоять всем установленным угрозам и быть подходящими для этого, а также

охватывать все предположения безопасности и установленную политику безопасности

организации.

Цели безопасности для ОО должны быть четко изложены и сопоставлены с

аспектами установленных угроз, которым необходимо противостоять средствами ОО, или

с политикой безопасности организации, которой должен отвечать ОО.

Цели безопасности для среды ОО должны быть четко изложены и сопоставлены с

аспектами установленных угроз, которым не полностью противостоит ОО, или с

политикой безопасности организации и предположениями, не полностью

удовлетворяемыми ОО.

Цели безопасности для среды могут повторять, частично или полностью, некоторые

предположения, сделанные при изложении среды безопасности ОО.

Основы информационной безопасности 72

При изложении требований безопасности ОО должны быть определены

функциональные требования и требования доверия, которым должны удовлетворять ОО и

свидетельства поддержки его оценки для достижения целей безопасности ОО.

При изложении функциональных требований безопасности ОО следует

определять функциональные требования к ОО, где это возможно, как функциональные

компоненты, выбираемые из части 2 ОК. В случае необходимости, требования

формулируются в явном виде, однако при их изложении необходимо сохранять

стилистику «Общих критериев».

При выборе компонентов функциональных требований из части 2 ОК, над ними

могут быть осуществлены следующие операции:

- итерация, позволяющая неоднократно использовать компонент при различном

выполнении в нем операций;

- назначение, позволяющее специфицировать параметр, устанавливаемый при

использовании компонента;

- выбор, позволяющий специфицировать пункты, которые выбираются из

перечня, приведенного в компоненте;

- уточнение, позволяющее осуществлять дополнительную детализацию при

использовании компонента.

Требования доверия к безопасности ОО обычно формулируются как один из

приведённых в части 3 ОК оценочных уровней доверия (ОУД) – стандартных наборов

требований доверия. При этом допускается:

- усиливать выбранный уровень доверия компонентами из других ОУД;

- явным образом формулировать требования доверия, не содержащиеся в части 3

ОК.

Необязательное изложение требований безопасности для среды ИТ должно

определять требования безопасности ИТ, которым должна отвечать среда ИТ этого ОО.

Если безопасность ОО не зависит от среды ИТ, то эта часть ПЗ может быть опущена.

Хотя требования безопасности среды, не относящиеся к ИТ, часто бывают полезны на

практике, не требуется, чтобы они являлись формальной частью ПЗ, поскольку они не связаны

непосредственно с реализацией ОО.

Раздел ПЗ Замечания по применению является необязательным и может

содержать дополнительную информацию, которая считается уместной или полезной для

создания, оценки и использования ОО.

Обоснование ПЗ поддерживает утверждения о том, что ПЗ является полной и

взаимосвязанной совокупностью требований, и что соответствующий ему ОО обеспечит

эффективный набор контрмер безопасности ИТ в определенной среде безопасности.

Обоснование должно включать:

- логическое обоснование целей безопасности, демонстрирующее, что

изложенные цели безопасности сопоставлены со всеми идентифицированными

аспектами среды безопасности ОО и пригодны для их охвата

- логическое обоснование требований безопасности, демонстрирующее, что

совокупность требований безопасности ОО и его среды пригодна для

достижения целей безопасности и сопоставима с ними.

При изложении логического обоснования требований безопасностидолжно

быть продемонстрировано следующее:

1. Сочетание отдельных компонентов функциональных требований и требований

доверия для ОО и его среды ИТ в совокупности отвечает изложенным целям

безопасности.

2. Данный набор требований безопасности образует единое и внутренне

непротиворечивое целое. В частности, должны быть удовлетворены все

существующие зависимости между функциональными требованиями.

3. Выбор требований безопасности строго обоснован. Каждое из перечисленных

ниже условий должно быть строго обосновано:

- выбор требований, не содержащихся в частях 2 или 3 ОК;

- выбор требований доверия, не включенных в какой-либо ОУД;

- случаи неудовлетворения зависимостей.

4. Выбранный для ПЗ уровень стойкости функций и заявленная в явном виде

стойкость функций согласуются с целями безопасности для ОО.

44) Структура и содержание задания по безопасности

Структура задания по безопасности приведена на рис. 3.4.4. В целом структура ЗБ

аналогична ПЗ, все изменения связаны с включением информации, относящейся к

специфике реализации конкретного ОО.

В целом ЗБ должно быть оформлено как документ, максимально ориентированный

на пользователя – с минимумом ссылок на внешние материалы.

Раздел Соответствие ОК должен содержать все поддающиеся оценке

утверждение о соответствии ОО Общим критериям. Такие утверждения могут звучать

следующим образом:

- соответствие части 2, если в ЗБ при изложении функциональных требований

безопасности используются исключительно компоненты из части 2 ОК;

- расширение части 2, если в изложение функциональных требований

включены компоненты, отсутствующие в части2 ОК;

- соответствие части 3, если требования доверия представлены в виде ОУД из

части 3 ОК или пакета требований доверия, включающего только компоненты

доверия из части 3 ОК;

- усиление части 3, если требования доверия представлены в виде ОУД или

пакета требований доверия и включают другие компоненты доверия из части 3

ОК.

- расширение части 3, если требования доверия представлены в виде ОУД,

дополненного требованиями доверия не из части 3 ОК, или пакета требований

доверия, который включает требования доверия, не содержащиеся в части 3 ОК

или полностью состоит из них.

- соответствие ПЗ - ОО соответствует ПЗ только в том случае, если он

соответствует всем частям этого ПЗ.

Краткая спецификация ОО должна определить отображение требований

безопасности для ОО. Эта спецификация должна предоставить описание функций

безопасности и мер доверия к ОО, которые отвечают требованиям безопасности ОО.

Краткая спецификация должна включать:

1. Изложение функций безопасности ОО, которое должно охватывать все

функции безопасности ИТ и определять, каким образом эти функции

удовлетворяют функциональным требованиям безопасности ОО. Изложение

должно включать двунаправленное сопоставление функций и требований с

четким указанием, какие функции каким требованиям удовлетворяют, и что

удовлетворены все требования. Каждая функция безопасности должна

участвовать в удовлетворении, по меньшей мере, одного функционального

требования безопасности ОО.

Функции безопасности ИТ должны быть определены неформальным

образом на уровне детализации, необходимом для понимания их

предназначения. Все ссылки в ЗБ на механизмы безопасности должны быть

сопоставлены с соответствующими функциями безопасности так, чтобы было

видно, какие механизмы безопасности используются при реализации каждой

функции.

2. Изложение мер доверия, которое должно специфицировать меры доверия к

ОО, заявленные для удовлетворения изложенных требований доверия. Меры

доверия должны быть сопоставлены с требованиями таким образом, чтобы

было понятно, какие меры в удовлетворении каких требований участвуют

Там, где это возможно, меры доверия могут быть определены путем

ссылки на соответствующие планы обеспечения качества, жизненного цикла

или управления.

В утверждение о соответствии ПЗ включаются материалы, необходимые для

подтверждения факта соответствия.

Если сделано утверждение о соответствии одному или нескольким ПЗ, то

изложение утверждений о соответствии должно содержать следующий материалдля

каждого ПЗ:

- Ссылку на ПЗ, идентифицирующую ПЗ, соответствие которому утверждается,

плюс любые дополнительные материалы, которые могут потребоваться в

соответствии с этим утверждением. Обоснованное утверждение о соответствии

подразумевает, что ОО отвечает всем требованиям ПЗ.

- Конкретизацию ПЗ, идентифицирующую те требования безопасности ИТ, в

которых выполняются операции, разрешенные в ПЗ, или дополнительно

уточняются требования ПЗ.

- Дополнение ПЗ, идентифицирующее цели и требования безопасности ОО,

которые дополняют цели и требования ПЗ.

Случай, когда в ЗБ утверждается о частичном соответствии ПЗ, не приемлем для

оценки в рамках ОК.

Логическое обоснование краткой спецификации ОО, показывает, что функции

безопасности и меры доверия к ОО пригодны, чтобы отвечать требованиям безопасности

ОО. Должно быть продемонстрировано следующее:

- сочетание специфицированных для ОО функций безопасности ИТ при

совместном использовании удовлетворяет функциональным требованиям

безопасности ОО;

Основы информационной безопасности 76

- справедливы сделанные утверждения о стойкости функций безопасности ОО

либо заявление, что в таких утверждениях нет необходимости;

- строго обосновано утверждение, что изложенные меры доверия соответствуют

требованиям доверия.

Уровень детализации логического обоснования должен соответствовать уровню

детализации определения функций безопасности.

Логическое обоснование утверждений о соответствии ПЗ объясняет любые

различия между целями и требованиями безопасности ЗБ и любого ПЗ, соответствие

которому утверждается. Эта часть ЗБ может быть опущена, если не сделано утверждений

о соответствии ПЗ, или если цели и требования безопасности ЗБ и каждого ПЗ,

соответствие которому утверждается, полностью совпадают.

45) Функциональные требования безопасности

Систематизированный каталог функциональных требований безопасности

сосредоточен во второй части ОК [34]. Функциональные требования разбиты на 11

классов, 66 семейств и 135 компонентов.

Структура функционального класса приведена на рис. 3.4.5.1.

Имя класса содержит информацию, необходимую для идентификации

функционального класса и отнесения его к определенной категории. Каждый

функциональный класс имеет уникальное имя. Информация о категории предоставлена

кратким именем, состоящим из трех букв латинского алфавита. Краткое имя класса

используют при задании кратких имен семейств этого класса.

Представление класса содержит рисунок, показывающий все семейства этого

класса и иерархию компонентов в каждом семействе.

Структура функционального семейства приведена на рис. 3.4.5.2.

Каждое функциональное семейство имеет уникальное имя. Первые три символа

идентичны краткому имени класса, далее следуют символ подчеркивания и краткое имя

семейства в виде XXX_YYY.

Характеристика семейства – это описание функционального семейства, в

котором излагаются его цели безопасности и общее описание функциональных

требований. Цели безопасности семейства характеризуют задачу безопасности, которая

может быть решена с помощью ОО, включающего компонент из этого семейства.

Описание функциональных требований обобщает все требования, которые включены в

компоненты.

Цель ранжирования компонентов – предоставить пользователям информацию

для выбора подходящего функционального компонента из семейства.

Связи между компонентами в пределах функционального семейства могут быть

иерархическими и неиерархическими. Компонент иерархичен (т.е. расположен выше по

иерархии) по отношению к другому компоненту, если предлагает большую безопасность.

Требования управления содержат информацию для разработчиков ПЗ/ЗБ,

учитываемую при определении действий по управлению для данного компонента.

Требования управления детализированы в компонентах класса «Управление

безопасностью» (FMT).

Требования аудита содержат события, потенциально подвергаемые аудиту, для их

отбора разработчиками ПЗ/ЗБ при условии включения в ПЗ или ЗБ требований из класса

FAU «Аудит безопасности». Эти требования включают в себя события, относящиеся к

безопасности, применительно к различным уровням детализации, поддерживаемым

компонентами семейства FAU_GEN «Генерация данных аудита безопасности». Например,

Функциональное семейство

Аудит

Компоненты

Имя семейства

Характеристика семейства

Ранжирование компонентов

Управление

Основы информационной безопасности 78

запись аудита какого-либо механизма безопасности может включать на разных уровнях

детализации, которые раскрываются в следующих терминах:

− минимальный - успешное использование механизма безопасности;

− базовый - любое использование механизма безопасности, а также информация о

текущих значениях атрибутов безопасности.

− детализированный - любые изменения конфигурации механизма безопасности,

включая параметры конфигурации до и после изменения.

Структура функционального компонента приведена на рисунке 3.4.5.3.

Идентификация компонента включает описательную информацию,

необходимую для идентификации, категорирования, записи и реализации перекрестных

ссылок компонента. Для каждого функционального компонента представляется

следующая информация:

– уникальное имя, отражающее предназначение компонента;

– краткое имя, применяемое как основное имя ссылки для категорирования,

записи и реализации перекрестных ссылок компонента и уникально

отражающее класс и семейство, которым компонент принадлежит, а также

номер компонента в семействе;

– список иерархических связей, содержащий имена других компонентов, для

которых этот компонент иерархичен и вместо которых может использоваться

при удовлетворении зависимостей от перечисленных компонентов.

Каждый компонент включает набор элементов. Каждый элемент определяется

отдельно и является самодостаточным.

Функциональный элемент – это наименьшее функциональное требование

безопасности, идентифицируемое и признаваемое в ОК. При формировании ПЗ или ЗБ не

разрешается выбирать только часть элементов компонента – необходимо использовать

всю их совокупность.

Вводится уникальная краткая форма имени функционального элемента.

Например, имя FDP_IFF.4.2 читается следующим образом: F – функциональное

требование, DP – класс «Защита данных пользователя», IFF – семейство «Функции

управления информационными потоками», .4 – четвертый компонент «Частичное

устранение неразрешенных информационных потоков», 2 – второй элемент компонента.

Зависимости среди функциональных компонентов возникают, когда компонент не

самодостаточен и нуждается либо в функциональных возможностях другого компонента,

либо во взаимодействии с ним для поддержки собственного выполнения. Список

зависимостей идентифицирует минимум функциональных компонентов или компонентов

доверия, необходимых для удовлетворения требований безопасности, ассоциированных с

данным компонентом. Компоненты, которые иерархичны по отношению к компоненту из

списка, также могут быть использованы для удовлетворения зависимости.

Зависимости между компонентами, указанные в части 2 ОК, являются

обязательными, и их необходимо удовлетворить при разработке профиля защиты или

задания по безопасности. В тех редких случаях, когда эти зависимости удовлетворить

невозможно, соответствующее строгое обоснование должно быть приведено в ПЗ или ЗБ.

Классы и семейства представлены во второй части ОК в алфавитном порядке. В

начале каждого класса имеется рисунок, показывающий таксономию этого класса,

перечисляя семейства в этом классе и компоненты в каждом семействе. Рисунок также

иллюстрирует иерархию компонентов внутри каждого семейства.

Пример представления таксономии класса и иерархии компонентов в его

семействах приведен на рисунке 3.4.5.4.

Семейство 1 на рис. 3.4.5.4 содержит три иерархических компонента, где

компоненты 2 и 3 могут быть применены для выполнения зависимостей вместо

компонента 1. Компонент 3 иерархичен к компоненту 2 и может применяться для

выполнения зависимостей вместо компонента 2.

В семействе 2 имеются три компонента, не все из которых иерархически связаны.

Компоненты 1 и 2 не иерархичны к другим компонентам. Компонент 3 иерархичен к

компоненту 2 и может применяться для удовлетворения зависимостей вместо компонента

2, но не вместо компонента 1.

В семействе 3 компоненты 2 – 4 иерархичны к компоненту 1. Компоненты 2 и 3

иерархичны к компоненту 1, но несопоставимы по иерархии между собой. Компонент 4

иерархичен к компонентам 2 и 3.

В таблице 3.4.5 приведена краткая характеристика всех 66 семейств

функциональных требований.

Таблица 3.4.5. Семейства функциональных требований

Наличие каталога функциональных требований не предполагает их окончательный

и всеобъемлющий характер. В случае необходимости, функциональные требования

безопасности, которые отсутствуют в каталоге, могут быть сформулированы в явном виде.

46) Требования доверия

Требования доверия, приведённые в третьей части ОК [35], сгруппированы в 10

классов, 44 семейства и 93 компонента.

Основы информационной безопасности 88

Доверие – основа для уверенности в том, что продукт или система ИТ отвечают

целям безопасности. Доверие могло бы быть получено путем обращения к таким

источникам, как бездоказательное утверждение, предшествующий аналогичный опыт или

специфический опыт. Однако ОК обеспечивают доверие с использованием активного

исследования. Активное исследование – это оценка продукта или системы ИТ для

определения его свойств безопасности.

Методы оценкимогут включать:

− анализ и проверку процессов и процедур;

− проверку, что процессы и процедуры действительно применяются;

− анализ соответствия между представлениями проекта ОО;

− анализ соответствия каждого представления проекта ОО требованиям;

− верификацию доказательств;

− анализ руководств;

− анализ разработанных функциональных тестов и полученных результатов;

− независимое функциональное тестирование;

− анализ уязвимостей, включающий предположения о недостатках;

− тестирование проникновением.

Наиболее общую совокупность требований доверия называют классом. Каждый

класс содержит семейства доверия, которые разделены на компоненты доверия,

содержащие, в свою очередь, элементы доверия.

Структура класса доверия приведена на рис. 3.4.6.1.

Каждому классу доверия присвоено уникальное имя. Имя указывает на

тематические разделы, на которые распространяется данный класс доверия. Принятое

условное обозначение включает в себя букву «A», за которой следуют еще две буквы

латинского алфавита, относящиеся к имени класса.

Каждый класс доверия имеет вводный подраздел – представление класса, в

котором описаны состав и назначение класса.

Каждый класс доверия содержит по меньшей мере одно семейство доверия (см.

рис. 3.4.6.1).

Каждому семейству доверия присвоено уникальное имя. Имя содержит

описательную информацию u1087 по тематическим разделам, на которые распространяется

данное семейство доверия. Каждое семейство доверия размещено в пределах класса

доверия, который содержит другие семейства той же направленности.

Представлена также уникальная краткая форма имени семейства доверия. Она

является основным средством для ссылки на семейство доверия. Принятое условное

обозначение включает в себя краткую форму имени класса и символ подчеркивания, за

которым следуют три буквы латинского алфавита, относящиеся к имени семейства

Описание целей для семейства доверия представлено в общем виде. Любые

конкретные подробности, требуемые для достижения целей, включены в конкретный

компонент доверия.

Подраздел «Ранжирование компонентов» семейства доверия содержит описание

имеющихся компонентов и объяснение их разграничения. Его основная цель состоит в