«Федеральные критерии» представляют процесс раз­работки систем обработки информации, начинающийся с формулирования требований потребителями и закан­чивающийся введением в эксплуатацию в виде последо­вательности следующих основных этапов:

1. Разработка и анализ профиля защиты. Требова­ния, изложенные в профиле защиты, определяют функ­циональные возможности ИТ-продуктов по обеспече­нию безопасности и условия эксплуатации, при соблю­дении которых гарантируется соответствие предъявляе­мым требованиям. Кроме требований безопасности про­филь содержит требования по соблюдению технологиче­ской дисциплины в процессе разработки, тестирования и квалификационного анализа ИТ-продукта. Профиль безопасности анализируется на полноту, непротиворе­чивость и техническую корректность.

2. Разработка и квалификационный анализ ИТ-про­дуктов. Разработанные ИТ-продукты подвергаются не­зависимому анализу, целью которого является определе­ние степени соответствия характерно гик продукта сформулированным в профиле защиты требованиям и специ­фикациям.

3. Компоновка и сертификация системы обработки информации в целом. Успешно прошедшие квалифика­цию уровня безопасности ИТ-продукты интегрируются в систему обработки информации. Полученная в результа­те система должна удовлетворять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.

«Федеральные критерии» регламентируют только первый этап этой схемы — разработку и анализ профиля защиты. Процесс создания ИТ-продуктов и компоновка систем обработки информации остаются вне рамок этого стандарта.

2.8.3. Профиль защиты

Как уже говорилось, профиль защиты является цен­тральным понятием «Федеральных критериев», большая часть содержания которых представляет собой описание разделов профиля защиты, включающее таксономию требований безопасности и их ранжирование. Рассмот­рим назначение, структуру и этапы разработки профиля защиты.

2.8.3.1. Назначение и структура профиля защиты

Профиль защиты предназначен для определения и обоснования состава и содержания средств защиты, спе­цификации технологии разработки и регламентации процесса квалификационного анализа ИТ-продукта. Профиль защиты состоит из следующих пяти разделов:

· описание;

· обоснование;

· функциональные требования к ИТ-продукту;

· требования к технологии разработки ИТ-про­дукта;

· требования к процессу квалификационного анали­за ИТ-продукта.

Описание профиля содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. «Федеральные критерии» пред­лагают поддерживать такую картотеку на общегосудар­ственном уровне. Это позволит любой организации вос­пользоваться созданными ранее профилями защиты не­посредственно или использовать их в качестве прототи­пов для разработки новых. В описании профиля защиты должна быть охарактеризована основная проблема или группа проблем обеспечения безопасности, решаемых с помощью применения данною профиля.

Обоснование содержит описание среды эксплуата­ции, предполагаемых угроз безопасности и методов ис­пользования ИТ-продукта. Кроме того, этот раздел со­держит подробный перечень задач по обеспечению безопасности, решаемых с помощью данного профиля. Эта информация дает возможность определить, в какой мере данный профиль защиты пригоден для примене­ния в той или иной ситуации. Предполагается, что дан­ный раздел ориентирован на службы безопасности ор­ганизаций. которые изучают возможность использова­ния ИТ-продукта, соответствующего данному профилю защиты.

Раздел функциональные требовании к ИТ-продукту содержит описание функциональных возможностей средств защиты ИТ-продукта и определяет условия, в которых обеспечивается безопасность в виде перечня уг­роз, которым успешно противостоят предложенные средства защиты. Угрозы, лежащие вне этого диапазона, должны быть устранены с помощью дополнительных, не входящих в состав продукта, средств обеспечения безо­пасности. Очевидно, что чем сильнее и опаснее угрозы, тем более мощными и стойкими должны быть средства, реализующие функции защиты.

Раздел требований к технологии разработки ИТ-продукта охватывает все этапы его создания, начиная от разработки проекта и заканчивая вводом готовой систе­мы в эксплуатацию. Раздел содержит требования как к самому процессу разработки, так и к условиям, в кото­рых она проводится, к используемым технологическим средствам, а также к документированию этого процесса. Выполнение требований этого раздела является непре­менным условием для проведения квалификационного анализа и сертификации ИТ-продукта.

Раздел требований к процессу квалификационного ана­лиза ИТ-продукта регламентирует порядок проведения квалификационного анализа в виде методики исследова­ний и тестирования ИТ-продукта. Объем и глубина требуемых исследований зависят от наиболее вероятных типов угроз, среды применения и планируемой техноло­гии эксплуатации.

«Федеральные критерии» содержат подробное опи­сание всех трех разделов профиля защиты, посвященных требованиям, включающее их таксономию и ранжиро­вание для каждого раздела. В данном обзоре основное внимание уделено функциональным требованиям, так как именно в этой области «Федеральные критерии» проделали значительный шаг вперед по сравнению с предшествующими стандартами.

2.8.3.2 Этапы разработки профиля защиты

Разработка профиля защиты осуществляется в три этапа: анализ среды применения ИТ-продукта с точки зрения безопасности, выбор профиля-прототипа и синтез требований. На рис. 2.4 приведена общая схема разра­ботки профиля защиты.

На первой стадии проводится анализ информации о среде предполагаемого применения ИТ-продукта, дейст­вующих в этой среде угрозах безопасности и используе­мых этими угрозами недостатках защиты. Анализ про­водится с учетом технологии использования продукта, а также существующих стандартов и нормативов, регла­ментирующих его эксплуатацию. Второй этап состоит в поиске профиля, который может быть использован в ка­честве прототипа. Как уже говорилось, «Федеральные критерии» предусматривают создание специальной, дос­тупной для разработчиков ИТ-продуктов картотеки, в которую должны быть помещены все разработанные ко­гда-либо профили защиты. Это позволит минимизиро­вать затраты на создание профилей и учесть опыт пре­дыдущих разработок.

Рис. 2.4. Схема разработки профиля согласно «Федеральным критериям».

Этап синтеза требований включает выбор наиболее существенных для условий функционирования продукта функций защиты и их ранжирование по степени важно­сти с точки зрения обеспечения качества защиты. Выбор специфичных для среды требований безопасности дол­жен быть основан на их эффективности для решения за­дачи противодействия угрозам. Разработчик профиля должен показать, что выполнение выдвинутых требова­ний ведет к обеспечению требуемого уровня безопасно­сти посредством успешного противостояния заданному множеству угроз и устранения недостатков защиты.