Общие критерии
Для улучшения этой статьи желательно:
|
Общие критерии оценки защищённости информационных технологий, Общие критерии[1], ОК (англ. Common Criteria for Information Technology Security Evaluation, Common Criteria, CC) — принятый в России[2] международный стандарт[3] по компьютерной безопасности. В отличие от стандарта FIPS 140[4], Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.
Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году.
Основные понятия
[править | править код]Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.
Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.
Функциональные требования
[править | править код]Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.
- Первая группа определяет элементарные сервисы безопасности:
- FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
- FIA — идентификация и аутентификация;
- FRU — использование ресурсов (для обеспечения отказоустойчивости).
- Вторая группа описывает производные сервисы, реализованные на базе элементарных:
- FCO — связь (безопасность коммуникаций отправитель-получатель);
- FPR — приватность;
- FDP — защита данных пользователя;
- FPT — защита функций безопасности объекта оценки.
- Третья группа классов связана с инфраструктурой объекта оценки:
- FCS — криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
- FMT — управление безопасностью;
- FTA — доступ к объекту оценки (управление сеансами работы пользователей);
- FTP — доверенный маршрут/канал;
Классы функциональных требований к элементарным сервисам безопасности
[править | править код]К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.
Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причём каждое семейство может содержать разное число компонентов.
Назначение компонентов данного класса следующее.
FAU_GEN — генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).
Требования доверия
[править | править код]Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.
- Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
- APE — оценка профиля защиты;
- ASE — оценка задания по безопасности.
- Вторая группа связана с этапами жизненного цикла объекта аттестации:
- ADV — разработка, проектирование объекта;
- ALC — поддержка жизненного цикла;
- ACM — управление конфигурацией;
- AGD — руководство администратора и пользователя;
- ATE — тестирование;
- AVA — оценка уязвимостей;
- ADO — требования к поставке и эксплуатации;
- АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.
История разработки
[править | править код]Разработке «Общих критериев» предшествовала разработка документа «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), начатая в 1990 году, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации (ISO).
Данный документ послужил основой для начала работы над документом Общие критерии оценки безопасности информационных технологий (англ. Common Criteria for IT Security Evaluation), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран (США, Канада, Германия, Великобритания, Франция, Нидерланды). В работе над проектом принимали участие следующие институты:
- Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
- Учреждение безопасности коммуникаций (Канада);
- Агентство информационной безопасности (Германия);
- Органы исполнения программы безопасности и сертификации ИТ (Англия);
- Центр обеспечения безопасности систем (Франция);
- Агентство национальной безопасности коммуникаций (Нидерланды).
Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408[2][3]. В профессиональных кругах за этим документом впоследствии закрепилось короткое название — англ. Common Criteria, CC; рус. «Общие критерии», ОК.
Модель угроз при сертификации
[править | править код]Прохождение сертификации неким продуктом в соответствии со стандартом Common Criteria может подтверждать или не подтверждать определенный уровень защищённости продукта, в зависимости от модели угроз и окружения.
В соответствии с методикой сертификации производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.
Операционная система Microsoft Windows XP (Professional SP2 и Embedded SP2), а также Windows Server 2003[5][6][7][8] были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP[9] в 2005-2007 годах, после чего для них были выпущены пакеты обновлений (service pack) и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в проверявшейся версии по-прежнему обладал сертификатом EAL4+,[5][6]. Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.
Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.
Общие критерии в России
[править | править код]В 2002 году приказом председателя Гостехкомиссии России были введены в действие следующие руководящие документы[10], разработанные на основе международных документов Common Criteria версии 2.3:
- «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»;
- «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
- «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».
С этого момента в отечественной системе сертификации была формально разрешена сертификация изделий информационных технологий по требованиям заданий по безопасности. Поскольку область применения (классы автоматизированных систем) подобных сертификатов соответствия не была определена в явном виде, подобная сертификация в большинстве случае носила рекламных характер – производители предпочитали сертифицировать свои изделия по требованиям классических руководящих документов.
С 2012 года ФСТЭК России ведет активную работу по актуализации нормативной и методической базы сертификации средств защиты информации. В частности, были введены в действие требования к следующим типам средств защиты информации:
- система обнаружения вторжений;[11]
- средство антивирусной защиты;[12]
- средство доверенной загрузки;[13]
- средство контроля съемных машинных носителей информации;[14]
- межсетевой экран;[15]
- операционная система.[16]
Требования для отдельного типа средств защиты информации оформлены в виде комплекта документов:
- документ «Требования …»: документ имеет пометку «для служебного пользования» и определяет классы и типы для отдельного типа изделий;
- профили защиты, определяющие номенклатуру функциональных требований безопасности и требования доверия к безопасности в зависимости от типа и класса изделия.
Профили защиты доступны Архивная копия от 20 сентября 2017 на Wayback Machine на официальном сайте ФСТЭК России.Таким образом, в настоящее время сертификация изделий указанных типов проводится ФСТЭК России только на соответствие утверждённым профилям защиты.
Примечания
[править | править код]- ↑ Общеизвестное более короткое название
- ↑ 1 2 ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01 . Дата обращения: 6 января 2016. Архивировано 4 марта 2016 года.
- ↑ 1 2 ISO/IEC 15408 - Evaluation criteria for IT security
- ↑ FIPS 140 (англ.)
- ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Архивная копия от 21 сентября 2012 на Wayback Machine Сертификация XP SP2, 2007
- ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Архивная копия от 6 октября 2012 на Wayback Machine Сертификация XP SP2, 2005
- ↑ Microsoft Windows Receives EAL 4+ Certification Архивная копия от 8 сентября 2015 на Wayback Machine / Schneier, 2005, по материалам "Windows XP Gets Independent Security Certification" / eWeek, 2005-12-14 (англ.)
- ↑ Windows XP / Server 2003 Common Criteria Evaluation Technical Report Архивная копия от 19 июня 2015 на Wayback Machine / Microsoft, 2005 (ZIP, DOC) (англ.)
- ↑ Controlled Access Protection Profile (CAPP), version 1.d, October 8, 1999; – ISO/IEC 15408:1999.
- ↑ Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 - ФСТЭК России . fstec.ru. Дата обращения: 20 сентября 2017. Архивировано 20 сентября 2017 года.
- ↑ "Информационное письмо ФСТЭК России (Требования к СОВ)". Архивировано 6 октября 2017. Дата обращения: 20 сентября 2017.
- ↑ "Информационное письмо ФСТЭК России (Требования к САВЗ)". Архивировано 23 сентября 2017. Дата обращения: 20 сентября 2017.
- ↑ "Информационное письмо ФСТЭК России (Требования к СДЗ)". Архивировано 14 сентября 2017. Дата обращения: 20 сентября 2017.
- ↑ "Информационное письмо ФСТЭК России (Требования к СКН)". Архивировано 14 сентября 2017. Дата обращения: 20 сентября 2017.
- ↑ "Информационное письмо ФСТЭК России (Требования к МЭ)". Архивировано 16 сентября 2017. Дата обращения: 20 сентября 2017.
- ↑ "Информационное письмо ФСТЭК России (Требования к ОС)". Архивировано 6 октября 2017. Дата обращения: 20 сентября 2017.
Ссылки
[править | править код]- Текст стандартов ISO/IEC 15408 Архивная копия от 12 мая 2008 на Wayback Machine бесплатно доступен на сайте iso.org (англ.).
- Официальный сайт Common Criteria Project (англ.)
- Аналитические материалы Центра компетенции АО "НПО "Эшелон" по стандарту Общие критерии Архивная копия от 21 сентября 2017 на Wayback Machine
Для улучшения этой статьи желательно:
|