Общие критерии

Эта статья находится на начальном уровне проработки, в одной из её версий выборочно используется текст из источника, распространяемого под свободной лицензией
Материал из энциклопедии Руниверсалис

Общие критерии оценки защищённости информационных технологий, Общие критерии[1], ОК (англ. Common Criteria for Information Technology Security Evaluation, Common Criteria, CC) — принятый в России[2] международный стандарт[3] по компьютерной безопасности. В отличие от стандарта FIPS 140[4], Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году.Перейти к разделу «#История разработки»

Основные понятия

Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.

Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.

Функциональные требования

Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.

  1. Первая группа определяет элементарные сервисы безопасности:
    1. FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
    2. FIA — идентификация и аутентификация;
    3. FRU — использование ресурсов (для обеспечения отказоустойчивости).
  2. Вторая группа описывает производные сервисы, реализованные на базе элементарных:
    1. FCO — связь (безопасность коммуникаций отправитель-получатель);
    2. FPR — приватность;
    3. FDP — защита данных пользователя;
    4. FPT — защита функций безопасности объекта оценки.
  3. Третья группа классов связана с инфраструктурой объекта оценки:
    1. FCS — криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
    2. FMT — управление безопасностью;
    3. FTA — доступ к объекту оценки (управление сеансами работы пользователей);
    4. FTP — доверенный маршрут/канал;

Классы функциональных требований к элементарным сервисам безопасности

К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.

Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причём каждое семейство может содержать разное число компонентов.

Назначение компонентов данного класса следующее.

FAU_GEN — генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).

Требования доверия

Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.

  1. Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
    1. APE — оценка профиля защиты;
    2. ASE — оценка задания по безопасности.
  2. Вторая группа связана с этапами жизненного цикла объекта аттестации:
    1. ADV — разработка, проектирование объекта;
    2. ALC — поддержка жизненного цикла;
    3. ACM — управление конфигурацией;
    4. AGD — руководство администратора и пользователя;
    5. ATE — тестирование;
    6. AVA — оценка уязвимостей;
    7. ADO — требования к поставке и эксплуатации;
    8. АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.

История разработки

Разработке «Общих критериев» предшествовала разработка документа «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), начатая в 1990 году, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации (ISO).

Данный документ послужил основой для начала работы над документом Общие критерии оценки безопасности информационных технологий (англ. Common Criteria for IT Security Evaluation), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран (США, Канада, Германия, Великобритания, Франция, Нидерланды). В работе над проектом принимали участие следующие институты:

  1. Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
  2. Учреждение безопасности коммуникаций (Канада);
  3. Агентство информационной безопасности (Германия);
  4. Органы исполнения программы безопасности и сертификации ИТ (Англия);
  5. Центр обеспечения безопасности систем (Франция);
  6. Агентство национальной безопасности коммуникаций (Нидерланды).

Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408[2][3]. В профессиональных кругах за этим документом впоследствии закрепилось короткое название — англ. Common Criteria, CC; рус. «Общие критерии», ОК.

Модель угроз при сертификации

Прохождение сертификации неким продуктом в соответствии со стандартом Common Criteria может подтверждать или не подтверждать определенный уровень защищённости продукта, в зависимости от модели угроз и окружения.

В соответствии с методикой сертификации производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.

Операционная система Microsoft Windows XP (Professional SP2 и Embedded SP2), а также Windows Server 2003[5][6][7][8] были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP[9] в 2005-2007 годах, после чего для них были выпущены пакеты обновлений (service pack) и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в проверявшейся версии по-прежнему обладал сертификатом EAL4+,[5][6]. Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.

Общие критерии в России

В 2002 году приказом председателя Гостехкомиссии России были введены в действие следующие руководящие документы[10], разработанные на основе международных документов Common Criteria версии 2.3:

  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»;
  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».

С этого момента в отечественной системе сертификации была формально разрешена сертификация изделий информационных технологий по требованиям заданий по безопасности. Поскольку область применения (классы автоматизированных систем) подобных сертификатов соответствия не была определена в явном виде, подобная сертификация в большинстве случае носила рекламных характер – производители предпочитали сертифицировать свои изделия по требованиям классических руководящих документов.

С 2012 года ФСТЭК России ведет активную работу по актуализации нормативной и методической базы сертификации средств защиты информации. В частности, были введены в действие требования к следующим типам средств защиты информации:

  • система обнаружения вторжений;[11]
  • средство антивирусной защиты;[12]
  • средство доверенной загрузки;[13]
  • средство контроля съемных машинных носителей информации;[14]
  • межсетевой экран;[15]
  • операционная система.[16]

Требования для отдельного типа средств защиты информации оформлены в виде комплекта документов:

  • документ «Требования …»: документ имеет пометку «для служебного пользования» и определяет классы и типы для отдельного типа изделий;
  • профили защиты, определяющие номенклатуру функциональных требований безопасности и требования доверия к безопасности в зависимости от типа и класса изделия.

Профили защиты доступны Архивная копия от 20 сентября 2017 на Wayback Machine на официальном сайте ФСТЭК России.Таким образом, в настоящее время сертификация изделий указанных типов проводится ФСТЭК России только на соответствие утверждённым профилям защиты.

Примечания

  1. Общеизвестное более короткое название
  2. 2,0 2,1 ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01. Дата обращения: 6 января 2016. Архивировано 4 марта 2016 года.
  3. 3,0 3,1 ISO/IEC 15408 - Evaluation criteria for IT security
  4. FIPS 140  (англ.)
  5. 5,0 5,1 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Архивная копия от 21 сентября 2012 на Wayback Machine Сертификация XP SP2, 2007
  6. 6,0 6,1 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Архивная копия от 6 октября 2012 на Wayback Machine Сертификация XP SP2, 2005
  7. Microsoft Windows Receives EAL 4+ Certification Архивная копия от 8 сентября 2015 на Wayback Machine / Schneier, 2005, по материалам "Windows XP Gets Independent Security Certification" / eWeek, 2005-12-14  (англ.)
  8. Windows XP / Server 2003 Common Criteria Evaluation Technical Report Архивная копия от 19 июня 2015 на Wayback Machine / Microsoft, 2005 (ZIP, DOC)  (англ.)
  9. Controlled Access Protection Profile (CAPP), version 1.d, October 8, 1999; – ISO/IEC 15408:1999.
  10. Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 - ФСТЭК России. fstec.ru. Дата обращения: 20 сентября 2017. Архивировано 20 сентября 2017 года.
  11. Информационное письмо ФСТЭК России (Требования к СОВ). Архивировано 6 октября 2017 года. Дата обращения 20 сентября 2017.
  12. Информационное письмо ФСТЭК России (Требования к САВЗ). Архивировано 23 сентября 2017 года. Дата обращения 20 сентября 2017.
  13. Информационное письмо ФСТЭК России (Требования к СДЗ). Архивировано 14 сентября 2017 года. Дата обращения 20 сентября 2017.
  14. Информационное письмо ФСТЭК России (Требования к СКН). Архивировано 14 сентября 2017 года. Дата обращения 20 сентября 2017.
  15. Информационное письмо ФСТЭК России (Требования к МЭ). Архивировано 16 сентября 2017 года. Дата обращения 20 сентября 2017.
  16. Информационное письмо ФСТЭК России (Требования к ОС). Архивировано 6 октября 2017 года. Дата обращения 20 сентября 2017.

Ссылки