понедельник, 11 февраля 2013 г.

Критерии оценки безопасности информационных технологий (ГОСТ Р 15408)

Общие критерии (Common Criteria)

В начале 90-х годов прошлого века многие страны имели собственные национальные стандарты по сертификации средств защиты информации:
  • Канада - CSE
  • США - NIST и NSA
  • Франция - SCSSI
  • Великобритания - CESG
  • Нидерланды - NL-NCSA
  • Германия - BSI
  • Россия - РД ФСТЭК (ГТК)
Common Criteria стал попыткой сформировать международный стандарт по сертификации информационных систем по требованиям безопасности. В 1999г. был принят международный стандарт ISO 15408 "Common Criteria for Information Technology Security Evaluation". В 2004 году этот стандарт был принят в России, но сертифицировать по нему не торопились - приходилось формировать собственное задание по безопасности для оцениваемого объекта. В общем, процедура сложнее. Но теперь ситуация меняется...

РД ФСТЭК vs. ГОСТ Р 15408

Когда руководящие документы разрабатывались на рынке не было представлено многих современных систем защиты информации - антивирусов, систем обнаружения вторжений, DLP-систем и т.п.

ГОСТ Р 15408 - конструктор, из "деталей" которого требования к таким системам сформировать гораздо проще, что и сделала ФСТЭК сформировав профили для систем антивирусной защиты и систем обнаружения вторжений. Профили представляют из себя наборы таких "деталей" нашего конструктора. Сами "детали" в терминологии ГОСТ 15408 называются компонентами, которые систематизированы в семейства, а те в свою очередь составляют классы. ГОСТ Р 15408 Часть 2 "Функциональные требования" содержит 11 классов, 66 семейств и 135 компонентов, а ГОСТ Р 15408 Часть 3 "Требования доверия" - 8 классов, 44 семейства, 93 компонента. Компоненты могут состоять из нескольких элементов, но компоненты неделимы при формировании профилей защиты и заданий по безопасности.

К слову, оценочный уровень доверия (ОУД), который Вы можете увидеть в сертификатах ФСТЭК как раз получен на основе Части 3 ГОСТ Р 15408 (ОУД-1 - самый низкий уровень).

Чего нет в Общих Критериях:

  • организационных мер защиты информации
  • специфических технических аспектов (технических каналов утечки)
  • методологии оценки (она перенесена в ГОСТ 18045)
  • административно-правовой структурыа применения Общих Критериев
  • оценки специфических качеств криптоалгоритмов

Задания по безопасности и профили защиты (ЗБ и ПЗ)

Профили защиты - наборы требований безопасности, утверждаемые регулятором. Разработчик берет эти профили за основу своего задания по безопасности, в которое может вносить дополнительные сведения о реализованных функциях безопасности. Одно и то же средство может соответствовать нескольким профилям защиты (различных направлений), если, например, реализует функции МЭ и СОВ (хотя для МЭ профили еще не разработаны, но уже готовятся). Оценщик будет проводить проверку соответствия продукта заданию по безопасности по ГОСТ 18045.

Сертификация по ЗБ

Сертификация систем по требованиям безопасности осуществляется по следующему сценарию:
  • Разработчик определяет объект оценки, его границы и среду функционирования. Сертификации может подлежать не весь продукт, а лишь какие-то его компоненты. И напротив, может быть сертифицирована группа продуктов.
  • Формирования предположений, целей безопасности и политики безопасности:
  • Цели безопасности описывают для чего необходимо использование продукта (от каких угроз он защищает)
  • Предположения описывают в каких условиях продукт будет корректно выполнять свои функции безопасности (например, что администратор не рассматривается, как нарушитель).
  • Политика безопасности - особые требования, не вытекающие из угроз безопасности, но обязательные к выполнению (законодательные или договорные требования).
  • Результатом выполнения предыдущего пункта станет перечень требований к оцениваемому объекту и среде функционирования объекта.
  • Утверждение на соответствие определенному профилю защиты.

Профили защиты разрабатываемые сейчас:

  • Средства двухфакторной аутентификации
  • Средства доверенной загрузки
  • Средства учета и контроля съемных носителей информации
В ближайший год стоит ожидать их выхода в свет.