Рис. 2.9 Таксономия функциональных критериев «Канадских критериев».

Рис. 2.10. Таксономия критериев адекватности реализации политики безопасности «Канадских критериев».

Внутри каждой труппы критериев определены уров­ни безопасности, отражающие возможное и средств защиты по решению задач данного раздела. Ранжирование по уровням производится на основании мощности ис­пользуемых методов защиты и класса отражаемых угроз соответствующего типа. Уровни с большим номером обеспечивают более полную функциональность и, соот­ветственно, более высокую степень безопасности. Таксо­номия функциональных критериев показана на рис. 2.9, а в таб. 2.4 приведены идентификаторы уровней.

Адекватность реализации определяется тем, насколь­ко точно и последовательно средства, обеспечивающие защиту, реализуют принятую в компьютерной системе политику безопасности. Согласно «Канадским критери­ям», политика безопасности представляет собой множе­ство правил, регламентирующих обработку, хранение и использование информации. Критерии адекватности рассматриваются без разделения на подгруппы и опре­деляют требования к процессу проектирования и разра­ботки компьютерной системы. Уровень адекватности присваивается всей системе в целом, причем более высо­кий уровень означает более полную и корректную реа­лизацию политики безопасности. Таксономия критериев адекватности показана на рис. 2.10. Критерии адекватности отражают уровень корректное и реализации по­литики безопасности и охватывают все стадии проектирования, разработки и эксплуатации компьютерной системы. За некоторым исключением (контроль скрытых каналов) взаимосвязь между функциональными требо­ваниями к средствам защиты и требованиями адекват­ности реализации политики безопасности отсутствует.

Таким образом, «Канадские критерии» определяют степень безопасности компьютерной системы как сово­купность функциональных возможностей используемых средств защиты, характеризующуюся частными показа­телями обеспечиваемого уровня безопасности, и одного обобщенного параметра — уровня адекватности реали­зации политики безопасности.

В состав приложений к «Канадским критериям» вхо­дят руководства по применению функциональных критериев и критериев адекватности реализации, а также подробное описание предложенной в них концепции обеспечения безопасности информации. Присутствует приложение, включающее набор стандартных профилей защиты, содержащих типовые наборы требований к компьютерным системам, применяющимся в государст­венных учреждениях. Этот подход имеет много общего с концепцией профилей защиты, предлагаемой в «Феде­ральных критериях» (п. 2.8). Приложение 11 содержит ранжированный перечень функциональных критериев и критериев адекватности «Канадских критериев».

2.9.4. Выводы

«Канадские критерии оценки безопасности компьютерных систем явились первым стандартом информа­ционной безопасности, в котором на уровне структуры документа функциональные требования к средствам защиты отделены от требований адекватности и качества реализации политики безопасности. Функциональные требования к средствам защиты четко структурированы и описывают все аспекты функционирования ТСВ. Тре­бования к адекватности реализации политики безопас­ности, впервые появившиеся в виде отдельного раздела, позволяющего определить степень доверия к средствам обеспечения безопасности

Впервые столько внимания уделено взаимному соот­ветствию и взаимодействию всех систем средств обеспе­чения безопасности. Наиболее прогрессивными являют­ся требования доказательств корректности реализации функциональных требований и их формального соответ­ствия политике и модели безопасности.

В «Канадских критериях», как и в «Федеральных критериях», отвергается подход к оценке уровня безопасности с помощью универсальной шкалы и использу­ется независимое ранжирование требований по каждому разделу, образующее множество частых критериев, ха­рактеризующих работу подсистем обеспечения безопас­ности. Кроме того, уровень адекватности реализации политики безопасности характеризует качество всей сис­темы в целом. Однако по сравнению с «Федеральными критериями» требования к технологии разработки вы­ражены слабо и недостаточно конкретизированы в части используемых методов и средств.

«Канадские критерии оценки безопасности компью­терных систем» представляют собой хорошо сбаланси­рованный конгломерат «Оранжевой книги» и «Феде­ральных критериев», усиленный требованиями адекват­ности реализации политики безопасности, и наравне с другими стандартами послужили основой для разра­ботки «Единых критериев безопасности информацион­ных технологий» (п. 2.10).

2.10. Единые критерии безопасности информационных технологий

2.10.1. Цель разработки

«Единые критерии безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation, далее просто «Единые критерии») [19] являются результатом совместных усилий авторов «Европейских критериев безопасности информационных технологий», «Федеральных критериев безопасности информационных технологий» и «Канадских критериев безопасности компьютерных систем» по объединению этих стандартов в единый согласованный документ. Ра­бота над этим самым масштабным в истории стандартов информационной безопасности проектом началась в июне 1993 года с целью преодоления концептуальных и технических различий между указанными документами, их согласования и создания единого международного стандарта. Данный стандарт должен быть утвержден Международной организацией по стандартизации (ISO) в рамках начатого этой организацией в 1990 году проек­та по созданию международного стандарта информаци­онной безопасности.

Первая версия «Единых критериев» была опублико­вана 31 января 1996 года. Разработчиками документа выступили Национальный институт стандартов и техно­логий и Агентство национальной безопасности США, а также соответствующие организации Великобритании, Канады, Франции и Нидерландов. В течение 1997 года ожидается следующая версия с исправлениями и допол­нениями.

«Единые критерии» согласованы с существующими стандартами и развивают их путем введения новых кон­цепций, соответствующих современному уровню разви­тия информационных технологий. Этот документ разра­ботан на основе достижений многочисленных исследо­ваний в области безопасности информационных техно­логий 90-х годов и на результатах анализа опыта приме­нения положенных в его основу стандартов. «Единые критерии» оперируют 'уже знакомым нам по «Федераль­ным критериям» понятием «продукт информационных технологий», или ИТ-продукт, и используют предложен­ную в них концепцию профиля защиты.

«Единые критерии» разрабатывались в расчете на три группы специалистов, в равной степени являющихся пользователями этого документа: производителей и; по­требителей продуктов информационных технологий, а также экспертов по квалификации уровня безопасности (см. п. 2.2).

Потребители рассматривают квалификацию уровня безопасности ИT- продукта как метод определения соответствия ИТ-продукта запросам. Обычно эти запреты составляются на основании результатов проведенного анализа рисков и выбранной политики безопасноести. «Единые критерии» играют существенную роль в про­цессе формирования запросов потребителей, так как со­держат механизмы, позволяющие, сформулировать эти запросы в виде стандартизованных требований. Это по­зволяет потребителям принять обоснованное решение о возможности использования тех или иных продуктов. Наконец, «Единые критерии» предоставляют потребите­лям механизм профилей защиты, с помощью которого они могут выразить специфичные для них требования, не заботясь о механизмах их реализации.