Общие критерии оценки защищённости информационных технологий
,
Общие критерии
[1]
,
ОК
(
англ.
Common Criteria for Information Technology Security Evaluation
,
Common Criteria
,
CC
) ?
принятый в России
[2]
международный стандарт
[3]
по
компьютерной безопасности
. В отличие от стандарта
FIPS
140
[4]
,
Common Criteria
не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает
инфраструктуру
(
framework
), в которой
потребители
компьютерной системы могут описать требования,
разработчики
могут заявить о свойствах безопасности продуктов, а
эксперты
по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.
Прообразом данного документа послужили
≪
Критерии оценки безопасности информационных технологий
≫
(
англ.
Evaluation Criteria for IT Security
,
ECITS
), работа над которыми началась в 1990 году.
Стандарт содержит два основных вида требований безопасности:
функциональные
, предъявляемые к функциям безопасности и реализующим их механизмам, и
требования доверия
, предъявляемые к технологии и процессу разработки и эксплуатации.
Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, ≪предметную≫ группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент ? минимальный набор требований, фигурирующий как целое, элемент ? неделимое требование.
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.
- Первая группа определяет элементарные сервисы безопасности:
- FAU ?
аудит
, безопасность (требования к сервису, протоколирование и аудит);
- FIA ?
идентификация
и
аутентификация
;
- FRU ? использование ресурсов (для обеспечения отказоустойчивости).
- Вторая группа описывает производные сервисы, реализованные на базе элементарных:
- FCO ? связь (безопасность коммуникаций отправитель-получатель);
- FPR ? приватность;
- FDP ? защита данных пользователя;
- FPT ? защита функций безопасности объекта оценки.
- Третья группа классов связана с инфраструктурой объекта оценки:
- FCS ?
криптографическая поддержка
(обеспечивает управление криптоключами и крипто-операциями);
- FMT ? управление безопасностью;
- FTA ? доступ к объекту оценки (управление сеансами работы пользователей);
- FTP ? доверенный маршрут/канал;
Классы функциональных требований к элементарным сервисам безопасности
[
править
|
править код
]
К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.
Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причём каждое семейство может содержать разное число компонентов.
Назначение компонентов данного класса следующее.
FAU_GEN ? генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).
Требования гарантии безопасности (доверия) ? требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.
- Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
- APE ? оценка профиля защиты;
- ASE ? оценка задания по безопасности.
- Вторая группа связана с этапами жизненного цикла объекта аттестации:
- ADV ? разработка, проектирование объекта;
- ALC ? поддержка жизненного цикла;
- ACM ? управление конфигурацией;
- AGD ? руководство администратора и пользователя;
- ATE ? тестирование;
- AVA ? оценка
уязвимостей
;
- ADO ? требования к поставке и эксплуатации;
- АMA ? поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.
Разработке
≪Общих критериев≫
предшествовала разработка документа
≪Критерии оценки безопасности информационных технологий≫
(
англ.
Evaluation Criteria for IT Security, ECITS
), начатая в
1990 году
, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации (
ISO
).
Данный документ послужил основой для начала работы над документом
Общие критерии оценки безопасности информационных технологий
(
англ.
Common Criteria for IT Security Evaluation
), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран (
США
,
Канада
,
Германия
,
Великобритания
,
Франция
,
Нидерланды
). В работе над проектом принимали участие следующие институты:
- Национальный институт стандартов и технологии и Агентство национальной безопасности (
США
);
- Учреждение безопасности коммуникаций (
Канада
);
- Агентство информационной безопасности (
Германия
);
- Органы исполнения программы безопасности и сертификации ИТ (
Англия
);
- Центр обеспечения безопасности систем (
Франция
);
- Агентство национальной безопасности коммуникаций (
Нидерланды
).
Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер
ISO/IEC 15408
[2]
[3]
.
В профессиональных кругах за этим документом впоследствии закрепилось короткое название ?
англ.
Common Criteria, CC
;
рус.
≪Общие критерии≫, ОК
.
Прохождение сертификации неким продуктом в соответствии со стандартом
Common Criteria
может подтверждать или не подтверждать определенный уровень
защищённости
продукта, в зависимости от модели угроз и окружения.
В соответствии с методикой сертификации производитель сам определяет окружение и
модель злоумышленника
, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее
уязвимости
, производитель должен выпустить
обновление
и провести повторную сертификацию. В противном случае сертификат должен быть отозван.
Операционная система
Microsoft
Windows XP
(Professional SP2 и Embedded SP2), а также Windows Server 2003
[5]
[6]
[7]
[8]
были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP
[9]
в 2005-2007 годах, после чего для них были выпущены пакеты обновлений (
service pack
) и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в проверявшейся версии по-прежнему обладал сертификатом EAL4+,
[5]
[6]
. Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.
Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.
В 2002 году приказом председателя Гостехкомиссии России были введены в действие следующие руководящие документы
[10]
, разработанные на основе международных документов Common Criteria версии 2.3:
- ≪Безопасность информационных технологий. Критерии оценки безопасности информационных технологий≫;
- ≪Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности≫;
- ≪Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности≫.
С этого момента в отечественной системе сертификации была формально разрешена сертификация изделий информационных технологий по требованиям заданий по безопасности. Поскольку область применения (классы автоматизированных систем) подобных сертификатов соответствия не была определена в явном виде, подобная сертификация в большинстве случае носила рекламных характер ? производители предпочитали сертифицировать свои изделия по требованиям классических руководящих документов.
С 2012 года ФСТЭК России ведет активную работу по актуализации нормативной и методической базы сертификации средств защиты информации. В частности, были введены в действие требования к следующим типам средств защиты информации:
- система обнаружения вторжений;
[11]
- средство антивирусной защиты;
[12]
- средство доверенной загрузки;
[13]
- средство контроля съемных машинных носителей информации;
[14]
- межсетевой экран;
[15]
- операционная система.
[16]
Требования для отдельного типа средств защиты информации оформлены в виде комплекта документов:
- документ ≪Требования …≫: документ имеет пометку ≪для служебного пользования≫ и определяет классы и типы для отдельного типа изделий;
- профили защиты, определяющие номенклатуру функциональных требований безопасности и требования доверия к безопасности в зависимости от типа и класса изделия.
Профили защиты
доступны
Архивная копия
от 20 сентября 2017 на
Wayback Machine
на официальном сайте ФСТЭК России.Таким образом, в настоящее время сертификация изделий указанных типов проводится ФСТЭК России только на соответствие утверждённым профилям защиты.
- ↑
Общеизвестное более короткое название
- ↑
1
2
ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01
(неопр.)
. Дата обращения: 6 января 2016.
Архивировано
4 марта 2016 года.
- ↑
1
2
ISO
/
IEC
15408 -
Evaluation criteria for IT security
- ↑
FIPS 140
(англ.)
- ↑
1
2
https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf
Архивная копия
от 21 сентября 2012 на
Wayback Machine
Сертификация XP SP2, 2007
- ↑
1
2
https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf
Архивная копия
от 6 октября 2012 на
Wayback Machine
Сертификация XP SP2, 2005
- ↑
Microsoft Windows Receives EAL 4+ Certification
Архивная копия
от 8 сентября 2015 на
Wayback Machine
/ Schneier, 2005, по материалам
"Windows XP Gets Independent Security Certification" / eWeek, 2005-12-14
(англ.)
- ↑
Windows XP / Server 2003 Common Criteria Evaluation Technical Report
Архивная копия
от 19 июня 2015 на
Wayback Machine
/ Microsoft, 2005 (ZIP, DOC)
(англ.)
- ↑
Controlled Access Protection Profile (CAPP), version 1.d, October 8, 1999; ? ISO/IEC 15408:1999.
- ↑
Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 - ФСТЭК России
(рус.)
. fstec.ru. Дата обращения: 20 сентября 2017.
Архивировано
20 сентября 2017 года.
- ↑
"Информационное письмо ФСТЭК России (Требования к СОВ)"
.
Архивировано
6 октября 2017
. Дата обращения:
20 сентября 2017
.
- ↑
"Информационное письмо ФСТЭК России (Требования к САВЗ)"
.
Архивировано
23 сентября 2017
. Дата обращения:
20 сентября 2017
.
- ↑
"Информационное письмо ФСТЭК России (Требования к СДЗ)"
.
Архивировано
14 сентября 2017
. Дата обращения:
20 сентября 2017
.
- ↑
"Информационное письмо ФСТЭК России (Требования к СКН)"
.
Архивировано
14 сентября 2017
. Дата обращения:
20 сентября 2017
.
- ↑
"Информационное письмо ФСТЭК России (Требования к МЭ)"
.
Архивировано
16 сентября 2017
. Дата обращения:
20 сентября 2017
.
- ↑
"Информационное письмо ФСТЭК России (Требования к ОС)"
.
Архивировано
6 октября 2017
. Дата обращения:
20 сентября 2017
.
|
---|
|
1
по
9999
| |
---|
10000
по
19999
| |
---|
20000+
| |
---|
|