Оранжевая книга» как оценочный стандарт

Роль стандартов ИБ.

Зачем нужны стандарты в области ИБ?

В общем случае стандартом принято называть документ, в котором устанавливаются требуемые характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт может задавать и другие требования — например, к символике или терминологии.

Цель: 1)обеспечение необходимого уровня качества продуктов, товаров и услуг;

2)обеспечения единых характеристик продуктов, товаров и услуг.

Причиной необходимости использования стандартов является то, что необходимость соблюдения некоторых из них закреплена законодательно. Реальные причины гораздо глубже — обычно стандарт является обобщением опыта лучших специалистов в той или иной области, и потому представляет собой надёжный источник оптимальных и проверенных решений.

Стандартизация в области ИБ необходима по трем основным причинам:

1) необходимость выработки единых требованийпо ИБ (единый набор требований);

2) необходимость выработки единых подходов к решению проблем ИБ;

3) необходимость выработки единых качественных показателей для оценки безопасности ИС и средств защиты.

Потребители (заказчики) продуктов информационных технологий бес стандартов не смогут сформулировать свои требования по ИБ производителям информационных систем (нужны какие-то критерии, показатели, единицы измерения ИБ и т.д.).

Производители продукции ИТ и средств защиты (программных, технических) нуждаются в стандартах для того, чтобы можно было бы объективно оценить свою продукцию с точки зрения обеспечения ИБ, то есть СЕРТИФИЦИРОВАТЬ ее. Им также необходим стандартный набор требований для того, чтобы ограничить фантазию заказчика и заставить выбирать конкретные требования из этого набора.

Стандарты нужны экспертам по ИБ и специалистам по сертификации как инструмент для оценки уровня безопасности, обеспечиваемого конкретными механизмами и средствами защиты информации (техническими, программными и т.д.) либо комплексами таких средств (КСЗИ).

В настоящее время существует довольно много стандартов, а также других нормативных и руководящих документов в области информационной безопасности. Все их рассмотреть в рамках данного курса не представляется возможным. Поэтому мы будем рассматривать только базовыестандарты в области информационной безопасности, которыми руководствуются при создании, сертификации и эксплуатации систем управления информационной безопасностью (СУИБ).

Эти стандарты можно разбить на две группы рис. 1.

1 группа – оценочные стандарты. Они предназначены для оценки и классификации информационных систем и средств защиты информации по требованиям безопасности. Ими руководствуются для того, чтобы ответить на вопрос: Соответствует ли ваша ИС и ваши механизмы и средства защиты требованиям безопасности? К ним относятся:

1) стандарт «Критерии оценки доверенных компьютерных систем» или разговорное название «Оранжевая книга»;

2) международный стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» или разговорное название «Общие критерии».

2 группа стандартов – это так называемые спецификации. Они регламентируют различные вопросы реализации и использования методов и средств защиты информации. Ими руководствуются для того, чтобы ответить на вопрос: Как обеспечить информационную безопасность, какие подходы, какие методы и какие средства необходимо для этого использовать? К этим стандартам относятся :

1) рекомендации Х.800, «Архитектура безопасности для взаимодействия открытых систем» – регламентирует методы и средства обеспечения ИБ в компьютерных сетях;

2) международный стандарт ISO/IEC 17799 «Практические правила управления информационной безопасностью», разработанный на основе одноименного британского стандарта BS 7799;

3) международный стандарт ISO/IEC 27001:2005 «Системы менеджмента информационной безопасности. Требования».

Далее мы рассмотрим более подробно названные стандарты.

Оранжевая книга» как оценочный стандарт.

Стандарт «Критерии оценки доверенных компьютерных систем», более известный как «Оранжевая книга», был разработан Министерством обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности.

Требования «Оранжевой книги» имеют следующую структуру:

1. Политика безопасности(совокупность управленческих решений по защите информации и ресурсов).

1.1. Система должна поддерживать точно определённую политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. По мере необходимости должна использоваться политика мандатного управления доступом.

1.2. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать каждому объекту набор атрибутов, определяющих степень конфиденциальности объекта и режимы доступа к этому объекту.

Подотчётность

2.1. Все субъекты должны имеет уникальные идентификаторы. Контроль доступа должен осуществляться на основе идентификации субъекта и объекта доступа, аутентификации и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично сточки зрения безопасности.

2.2. Для определения степени ответственности пользователя за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищённом протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Протокол событий должен быть надёжно защищен от несанкционированного доступа, модификации и уничтожения.

Гарантии

3.1. Средства защиты должны содержать независимые аппаратные или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, регистрацию и учёт, должны находиться под контролем средств, проверяющих корректность их функционирования. Средства контроля должны быть полностью независимы от средств защиты.

3.2. Все средства защиты должны быть защищены от несанкционированного вмешательства и отключения, причём эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и информационной системы в целом. Данное требование распространяется на весь жизненный цикл информационной системы.

Напомним, что «Оранжевая книга» является оценочным стандартом — а значит, предназначена в первую очередь для проведения анализа защищенности информационных систем. По результатам такого анализа ИС должна быть отнесена к одному из определённых в документе классов защищённости.

«Оранжевая книга» определяет четыре группы классов защищённости:

А — содержит единственный класс А1.

В — содержит классы В1, В2 и В3.

С — содержит классы С1 и С2.

D — содержит единственный класс D1.

Требуемый уровень защищенности системы возрастает от группы D к группе А, а в пределах одной группы — с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения информационной безопасности, реализованной в ИС.

Приведём краткие характеристики каждого из классов защищенности.

1. Группа D — минимальная защита.

К данной категории относятся те системы, которые были представлены для сертификации по требованиям одного из более высоких классов защищенности, но не прошли испытания.

2. Группа С - дискреционная защита.

данная группа характеризуется наличием дискреционного управления доступом и регистрации действий субъектов.

- Класс С1 — дискреционная защита.

Система включает в себя средства контроля и управления доступом, позволяющие задавать ограничения для отдельных пользователей. Класс С1 рассчитан на однопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.

- Класс С2 — управление доступом

Система обеспечивает более избирательное управление доступом путём применения средств индивидуального контроля за действиями пользователей, регистрации, учёта событий и выделения ресурсов.

3. Группа В — мандатная защита

Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе.

- Класс В1 — защита с применением меток безопасности

Помимо выполнения всех требований к классу С2, система должна поддерживать маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке.

- Класс В2 — структурированная защита

Ядро безопасности должно поддерживать формально определенную и чётко документированную модель безопасности, предусматривающую дискреционное и мандатное управление доступом, которое распространяется на все субъекты. Должен осуществляться контроль скрытых каналов передачи информации. В структуре ядра безопасности должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ядра безопасности должен быть чётко определён, а его архитектура и реализация должны быть выполнены с учётом возможности проведения тестовых испытаний. Управление безопасностью должно осуществляться администратором безопасности.

- Класс В3 — домены безопасности

Ядро безопасности должно поддерживать монитор безопасности обращений, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Ядро безопасности содержит исключительно подсистемы, отвечающие за реализацию функций защиты, и является достаточно компактным для обеспечения возможности эффективного тестирования. Средства аудита должны включать механизмы оповещения администратора о событиях, имеющих значение для безопасности системы. Необходимо наличие средств восстановления работоспособности системы.

4. Группа А — верифицированная защита

Группа характеризуется применением формальных методов верификации корректности функционирования механизмов управления доступом. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра безопасности отвечает требованиям безопасности. Функциональные требования совпадают с классом В3, однако на всех этапах разработки ИС требуется применение формальных методов верификации систем защиты.

Разработка и публикация «Оранжевой книги» стали важнейшей вехой в становлении теории информационной безопасности. Такие базовые понятия, как «политика безопасности», «монитор безопасности обращений» или «администратор безопасности» впервые в открытой литературе появились именно в «Оранжевой книге».

В то же время с течением времени стали проявляться многочисленные недостатки «Оранжевой книги» и предложенного подхода к классификации ИС в целом. Во многом её устаревание было связано с принципиальными изменениями аппаратной базы средств вычислительной техники, произошедшими с 1983 г. — и прежде всего, с распространением распределённых вычислительных систем и сетей, особенности которых в «Оранжевой книге» никак не учитываются.

Стараясь не отстать от развивающихся информационных технологий, разработчики «Оранжевой книги» вплоть до 1995 г. выпустили целый ряд вспомогательных документов, известных как «Радужная серия». Эти документы содержали рекомендации по применению положений «Оранжевой книги» для различных категорий информационных систем, а также вводили ряд дополнительных требований. Наибольший интерес в «Радужной серии» представляют три документа: «Интерпретация для защищённых сетей», «Интерпретация для защищённых СУБД» и «Руководство по управлению паролями».

В настоящее время «Оранжевая книга» не используется для оценки информационных систем и представляет интерес исключительно с исторической точки зрения.