Общие критерии

Материал из Википедии ? свободной энциклопедии
Перейти к навигации Перейти к поиску

Общие критерии оценки защищённости информационных технологий , Общие критерии [1] , ОК  ( англ.   Common Criteria for Information Technology Security Evaluation , Common Criteria , CC ) ? принятый в России [2] международный стандарт [3] по компьютерной безопасности . В отличие от стандарта FIPS 140 [4] , Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру ( framework ), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

Прообразом данного документа послужили Критерии оценки безопасности информационных технологий ( англ.   Evaluation Criteria for IT Security , ECITS ), работа над которыми началась в 1990 году. Перейти к разделу «#История разработки»

Основные понятия

[ править | править код ]

Стандарт содержит два основных вида требований безопасности: функциональные , предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия , предъявляемые к технологии и процессу разработки и эксплуатации.

Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, ≪предметную≫ группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент ? минимальный набор требований, фигурирующий как целое, элемент ? неделимое требование.

Функциональные требования

[ править | править код ]

Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.

  1. Первая группа определяет элементарные сервисы безопасности:
    1. FAU ? аудит , безопасность (требования к сервису, протоколирование и аудит);
    2. FIA ? идентификация и аутентификация ;
    3. FRU ? использование ресурсов (для обеспечения отказоустойчивости).
  2. Вторая группа описывает производные сервисы, реализованные на базе элементарных:
    1. FCO ? связь (безопасность коммуникаций отправитель-получатель);
    2. FPR ? приватность;
    3. FDP ? защита данных пользователя;
    4. FPT ? защита функций безопасности объекта оценки.
  3. Третья группа классов связана с инфраструктурой объекта оценки:
    1. FCS ? криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
    2. FMT ? управление безопасностью;
    3. FTA ? доступ к объекту оценки (управление сеансами работы пользователей);
    4. FTP ? доверенный маршрут/канал;

Классы функциональных требований к элементарным сервисам безопасности

[ править | править код ]

К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.

Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причём каждое семейство может содержать разное число компонентов.

Назначение компонентов данного класса следующее.

FAU_GEN ? генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).

Требования доверия

[ править | править код ]

Требования гарантии безопасности (доверия) ? требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.

  1. Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
    1. APE ? оценка профиля защиты;
    2. ASE ? оценка задания по безопасности.
  2. Вторая группа связана с этапами жизненного цикла объекта аттестации:
    1. ADV ? разработка, проектирование объекта;
    2. ALC ? поддержка жизненного цикла;
    3. ACM ? управление конфигурацией;
    4. AGD ? руководство администратора и пользователя;
    5. ATE ? тестирование;
    6. AVA ? оценка уязвимостей ;
    7. ADO ? требования к поставке и эксплуатации;
    8. АMA ? поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.

История разработки

[ править | править код ]

Разработке ≪Общих критериев≫ предшествовала разработка документа ≪Критерии оценки безопасности информационных технологий≫ ( англ.   Evaluation Criteria for IT Security, ECITS ), начатая в 1990 году , и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации ( ISO ).

Данный документ послужил основой для начала работы над документом Общие критерии оценки безопасности информационных технологий ( англ.   Common Criteria for IT Security Evaluation ), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран ( США , Канада , Германия , Великобритания , Франция , Нидерланды ). В работе над проектом принимали участие следующие институты:

  1. Национальный институт стандартов и технологии и Агентство национальной безопасности ( США );
  2. Учреждение безопасности коммуникаций ( Канада );
  3. Агентство информационной безопасности ( Германия );
  4. Органы исполнения программы безопасности и сертификации ИТ ( Англия );
  5. Центр обеспечения безопасности систем ( Франция );
  6. Агентство национальной безопасности коммуникаций ( Нидерланды ).

Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408 [2] [3] . В профессиональных кругах за этим документом впоследствии закрепилось короткое название ? англ.   Common Criteria, CC ; рус. ≪Общие критерии≫, ОК .

Модель угроз при сертификации

[ править | править код ]

Прохождение сертификации неким продуктом в соответствии со стандартом Common Criteria может подтверждать или не подтверждать определенный уровень защищённости продукта, в зависимости от модели угроз и окружения.

В соответствии с методикой сертификации производитель сам определяет окружение и модель злоумышленника , в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости , производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.

Операционная система Microsoft Windows XP (Professional SP2 и Embedded SP2), а также Windows Server 2003 [5] [6] [7] [8] были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP [9] в 2005-2007 годах, после чего для них были выпущены пакеты обновлений ( service pack ) и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в проверявшейся версии по-прежнему обладал сертификатом EAL4+, [5] [6] . Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.

Общие критерии в России

[ править | править код ]

В 2002 году приказом председателя Гостехкомиссии России были введены в действие следующие руководящие документы [10] , разработанные на основе международных документов Common Criteria версии 2.3:

  • ≪Безопасность информационных технологий. Критерии оценки безопасности информационных технологий≫;
  • ≪Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности≫;
  • ≪Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности≫.

С этого момента в отечественной системе сертификации была формально разрешена сертификация изделий информационных технологий по требованиям заданий по безопасности. Поскольку область применения (классы автоматизированных систем) подобных сертификатов соответствия не была определена в явном виде, подобная сертификация в большинстве случае носила рекламных характер ? производители предпочитали сертифицировать свои изделия по требованиям классических руководящих документов.

С 2012 года ФСТЭК России ведет активную работу по актуализации нормативной и методической базы сертификации средств защиты информации. В частности, были введены в действие требования к следующим типам средств защиты информации:

  • система обнаружения вторжений; [11]
  • средство антивирусной защиты; [12]
  • средство доверенной загрузки; [13]
  • средство контроля съемных машинных носителей информации; [14]
  • межсетевой экран; [15]
  • операционная система. [16]

Требования для отдельного типа средств защиты информации оформлены в виде комплекта документов:

  • документ ≪Требования …≫: документ имеет пометку ≪для служебного пользования≫ и определяет классы и типы для отдельного типа изделий;
  • профили защиты, определяющие номенклатуру функциональных требований безопасности и требования доверия к безопасности в зависимости от типа и класса изделия.

Профили защиты доступны Архивная копия от 20 сентября 2017 на Wayback Machine на официальном сайте ФСТЭК России.Таким образом, в настоящее время сертификация изделий указанных типов проводится ФСТЭК России только на соответствие утверждённым профилям защиты.

Примечания

[ править | править код ]
  1. Общеизвестное более короткое название
  2. 1 2 ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01 . Дата обращения: 6 января 2016. Архивировано 4 марта 2016 года.
  3. 1 2 ISO / IEC 15408 - Evaluation criteria for IT security
  4. FIPS 140   (англ.)
  5. 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Архивная копия от 21 сентября 2012 на Wayback Machine Сертификация XP SP2, 2007
  6. 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Архивная копия от 6 октября 2012 на Wayback Machine Сертификация XP SP2, 2005
  7. Microsoft Windows Receives EAL 4+ Certification Архивная копия от 8 сентября 2015 на Wayback Machine / Schneier, 2005, по материалам "Windows XP Gets Independent Security Certification" / eWeek, 2005-12-14   (англ.)
  8. Windows XP / Server 2003 Common Criteria Evaluation Technical Report Архивная копия от 19 июня 2015 на Wayback Machine / Microsoft, 2005 (ZIP, DOC)   (англ.)
  9. Controlled Access Protection Profile (CAPP), version 1.d, October 8, 1999; ? ISO/IEC 15408:1999.
  10. Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 - ФСТЭК России . fstec.ru. Дата обращения: 20 сентября 2017. Архивировано 20 сентября 2017 года.
  11. "Информационное письмо ФСТЭК России (Требования к СОВ)" . Архивировано 6 октября 2017 . Дата обращения: 20 сентября 2017 .
  12. "Информационное письмо ФСТЭК России (Требования к САВЗ)" . Архивировано 23 сентября 2017 . Дата обращения: 20 сентября 2017 .
  13. "Информационное письмо ФСТЭК России (Требования к СДЗ)" . Архивировано 14 сентября 2017 . Дата обращения: 20 сентября 2017 .
  14. "Информационное письмо ФСТЭК России (Требования к СКН)" . Архивировано 14 сентября 2017 . Дата обращения: 20 сентября 2017 .
  15. "Информационное письмо ФСТЭК России (Требования к МЭ)" . Архивировано 16 сентября 2017 . Дата обращения: 20 сентября 2017 .
  16. "Информационное письмо ФСТЭК России (Требования к ОС)" . Архивировано 6 октября 2017 . Дата обращения: 20 сентября 2017 .

Ссылки

[ править | править код ]
Источник ? https://ru.wikipedia.org/w/index.php?title=Общие_критерии&oldid=120649648