ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ВОПРОСАМ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГЕРМАНИИ (ФАБИТ) Адрес: Германия, 53175 Бонн, Аллея Годесбергер, 183 А/я: Германия, 53133 Бонн, а/я 200363 Тел: (0228) 9582-0 Факс: (0228) 9582-400 Дитер Шенвальд Сертификация информационных систем и их компонентов в аспекте информационной безопасности ддддддддддддддддддддддддддддддддддддддддддддддддддд (Доклад представителя ФАБИТ на семинаре в рамках выставки CeBIT'96) Во всех секторах общественной жизни использование информационной техники постоянно растет. Постоянно растущая зависимость от информационных технологий обуславливает требования к применяемым информационным системам и их компонентам. Не только функциональные возможности, но и защищенность является для пользователя важным критерием выбора. Защищенность подтверждается в процессе тестирования и оценки систем и их компонентов по объективным критериям незаинтересованными организациями. За ФАБИТ, основанным первого января 1991г., основной функцией которого является обеспечение безопасности информационных технологий, законодательно закреплена задача "тестирования и оценки безопасности информационных систем и их компонентов и выдачи Сертификатов безопасности" (цитата из Закона о создании ФАБИТ от 17.12.1990г.). Целью сертификации - сделать защищенность информационных систем очевидной и сравнимой, с тем, чтобы: - с одной стороны, предоставить пользователям детализированную информацию и помощь при выборе систем; - с другой стороны, дать заинтересованным изготовителям подтверждение качества их продукции. 1. Критерии безопасности. ддддддддддддддддддддддддд Испытание и оценка информационных систем и их компонентов выполняется на основе критериев безопасности, в которых формулировка требований к уровням безопасности имеет иерархическую структуру. С ростом номера уровня безопасности растет глубина тестирования. Совокупность функций защиты определяется изготовителем без ссылки на класс или характеризуется классом функциональности. В Федеративной республике Германии принятыми критериями являлись Критерии безопасности ИТС, которые с июня 1991г. заменены на согласованные европейские "Критерии оценки безопасности информационных систем " (ИТСЕК), разработанные на основе национальных Критериев некоторых европейских государств. Предпосылкой разработки этих европейских Критериев была необходимость взаимного признания сертификатов в связи с развитием об0;1 - 2 - щеевропейского рынка. С этим связана необходимость разработки общих основ для оценки информационных систем. 1.1. Функции защиты. дддддддддддддддддддд Технические требования к информационным системам и компонентам в первую очередь предполагают наличие определенных функций защиты, таких, как идентификация и аутентификация пользователей, контроль доступа (предоставление и проверка прав), протоколирование (обнаружение фактических нарушений или попыток нарушений), очистка памяти перед повторным использованием, защита передачи данных. Детальные требования к этим функциям защиты могут значительно различаться для различных приложений. Для многих стандартных ситуаций в вышеназванных Критериях предусмотрены классы функциональности. В следующей таблице приведен перечень этих классов: здддддрддддддбддддддрдддддбдддддбдддддрдддддрдддддрдддддбдддддбддддд ИТСЕК F-C1 F-C2 F-B1 F-B2 F-B3 F-IN F-AV F-DI F-DC F-DX цдддддвддддддеддддддвдддддедддддедддддвдддддвдддддвдддддедддддеддддд ИТС F1 F2 F3 F4 F5 F6 F7 F8 F9 F10 фмммммьммммммоммммммьмммммомммммомммммьмммммймммммймммммомммммоммммм Типично для Типично для Смотри пояснения защиты данных криптообработки юдддддадддддддддддддадддддддддддддддддаддддддддддддддддддддддддддддды Требования к классам функциональности от F-C1 до F-B3 (соответственно от F1 до F5) в основном относятся к операционным системам. На первом плане здесь находится вопрос конфиденциальности данных. Класс функциональности F-IN содержит требования к целостности банков данных или программных систем разработки приложений. В классе F-AV сформулированы требования к доступности данных и услуг. Функциональные классы F-DI, F-DC и F-DX относятся к системам и компонентам для передачи данных. Ниже дается более подробная характеристика классов функциональности от F-C1 до F-B3 (соответственно от F1 до F5). Совокупность классов имеет иерархическую структуру, от класса к классу добавляются дополнительные требования. F-C1 (F1): Имеется определяемая пользователем система контроля доступа ("знает только тот, кому это необходимо"). F-C2 (F2): Имеется более детализированная система контроля доступа, чем в классе F-C1. Устанавливается ответственность пользователей за их дествия благодаря идентификации, регистрации событий, разделению ресурсов. F-B1 (F3): Дополнительно к системе контроля вводится функция управления атрибутами секретности. Она представляет собой совокупность правил доступа относительно всех контролируемых субъектов информационных отношений и носителей информации, обеспечивает правильное присвоение атрибутов поступающей извне информации. 0;1 - 3 - F-B2 (F4): Расширяются обязательные требования по контролю доступа относительно всех субъектов и объектов, усиливаются требования по аутентификации по сравнению с классом F-B1. F-B3 (F5): Дополнительно к функциям класса F-B2 вводятся функции поддержки определенных административных процедур безопасности, расширяется диапазон регистрируемых событий, имеющих отношение к безопасности. 1.2. Качество защиты. ддддддддддддддддддддд Наряду с объемом функций защиты решающую роль играет качество защиты информационных систем. Необходимо рассматривать два аспекта: - предпосылкой разумной оценки защитных свойств является корректное функционирование механизмов защиты; - основываясь на корректности, необходимо охарактеризовать эффективность защитных функций. В старых критериях ИТС оба аспекта в совокупности характеризовались уровнем от Q1 до Q7, причем Q1 был самым нижним уровнем, а Q7 - высшим уровнем. В новых критериях ИТСЕК эти аспекты разделены. Корректность характеризуется уровнем корректности от E1 до E6, а для характеристики эффективности имеется шкала оценки стойкости механизмов защиты (низкая, средняя, высокая стойкость). Уровень качества обозначается комбинацией, например, (E2,средняя). Условно качество защищенности можно грубо охарактеризовать с помощью четырех уровней (см.Табл.2): - низкое качество: грубо протестированная корректность, слабая защита от манипуляций или отсутствие таковой; - удовлетворительное: обстоятельно протестированная корректность, удовлетворительное действие защиты против манипуляций; - хорошее или очень хорошее: тщательно протестированная корректность, хорошая или очень хорошая защита от манипуляций; - отличное: максимальные требования по подтверждению корректности, практически непреодолеваемая защита от манипуляций. Таблица 2. здддддддддрдддддддддбддддддддддддбддддддддддддддддбдддддддддддддддд Уровни низкое удовлетво- хорошее или отличное качества рительное очень хорошее фмммммммммнмммммммммьммммммммммммьммммммммммммммммьмммммммммммммммм ИТС Q1 Q2 Q3-Q4-Q5 Q6-Q7 цдддддддддвдддддддддеддддддддддддеддддддддддддддддедддддддддддддддд ИТСЕК E1 E2 E3-E4-E5 E6 низкая средняя высокая юдддддддддпдддддддддадддддддддддддддддддддддддддддадддддддддддддддды 0;1 - 4 - При определении уровня качества защиты учитываются многие факторы. Вот их краткое перечисление: - корректность разработки продукта (требования к защищенности, архитектурный проект, подробный проект, реализация); - эффективность конструкции продукта (пригодность, совместное проявление функций, оценка уязвимых мест, стойкость механизмов защиты); - безопасность среды разработки (контроль конфигурации, язык программирования, компилятор, безопасность при разработке); - рабочая документация (документация пользователя, документация администратора системы); - область использования (поставка и конфигурирование, начало использования, техническое обслуживание). Ниже приведены более подробные определения иерархических уровней корректности от E1 до E6: E0: Этот уровень представляет недостаточную защищенность. E1: Этот уровень предполагает наличие технического задания по защищенности продукта и неформальное описание архитектурного проекта. Функциональные тесты должны подтвердить, что требования ТЗ по защищенности выполняются. E2: Дополнительно к требованиям уровня E1 предполагается наличие неформального описания подробного проекта. Достаточность функциональных тестов должна быть оценена. Должна иметься система контроля конфигурации и согласованный вариант распределения полномочий. E3: Дополнительно к требованиям уровня E2 должен быть оценен исходный код программы или конструкторские чертежи изделия, отражающие механизмы защиты. Должна быть оценена полноценность тестов для оценки механизмов защиты. E4: Дополнительно к требованиям уровня E3 предполагается наличие формальной модели безопасности как части технического задания по защищенности. Должны иметься в полуформальном изложении описания функций защиты, архитектурного проекта и подробного проекта. E5: Дополнительно к требованиям уровня E4 должна быть представлена взаимозависимость между подробным проектом и исходным кодом программы или, соответственно, конструкторскими чертежами изделия. E6: Дополнительно к требованиям уровня E5 предполагается наличие формального описания функций защиты и архитектурного проекта, согласованного с моделью безопасности. 2. Процесс сертификации. дддддддддддддддддддддддд Для проведения сертификации изготовитель или продавец продукта обращаются в ФАБИТ. Предполагается тесное сотрудничество продавца с изготовителем, поэтому само собой разумеется, что продавец может 0;1 - 5 - представить необходимую конструкторскую документацию. Оценка продукта выполняется испытательными лабораториями ФАБИТ или внешними испытательными лабораториями. Внешние испытательные лаборатории долны пройти аттестацию в рамках процесса аккредитации, которая, с одной стороны, должна обеспечить выполнение стандарта DIN EN 45001 ("Общие критерии деятельности испытательных лабораторий. EN 45001. 1989"), а с другой стороны, подтвердить компетенцию для проведения оценки информационных систем. Перед обращением по поводу сертификации часто возникает вопрос, какие продукты могут быть сертифицированы, и какие ограничения могут влиять на законную силу сертификата. Законодотельно (Законом о создании ФАБИТ) и нормативно-технически (критериями ИТСЕК) предусматривается возможность тестирования и, при выполнении необходимых требований, сертификации любого информационного продукта: изделия, программы, апаратно-программного комплекса или группы продуктов (операционная система, банк данных, пакет электронной почты). Возможны три вида сертификации: - сертификация готового продукта; - сертификация в процессе разработки; - повторная сертификация уже сертифицированного продукта. При сертификации в процессе разработки разработка и сертификационная оценка идут параллельно, бок о бок. При этом обеспечивается не только то преимущество, что новая версия продукта и сертификат появляются одновременно, но и то, что ошибки и уязвимые места выявляются своевременно, на стадии разработки, и корректируются. В настоящее время часть продуктов находится в стадии сертификации по этому способу. Необходимо подчеркнуть, что сертификат выдается не на определенный тип продукта, а на определенную версию продукта и имеет силу только для этой версии. Это значит, что если после сертификации готового продукта через короткий промежуток времени, обусловленный жизненным циклом продукта, на рынке появляется его новая версия, для нее сертификат не действителен. Это обстоятельство вынуждает проводить повторную сертификацию. Повторная сертификация позволяет изготовителю в значительно сокращенные сроки получить повторный сертификат на новую версию уже сертифицированного продукта, при этом тестируются только изменения в продукте, имеющие отношение к его защищенности. Эта возможность в настоящее время широко используется. Процесс сертификации подразделяется на три фазы: - подготовка к сертификации; - сертификационная оценка; - сертификация. Процесс подготовки к сертификации начинается, как правило, с переговоров между изготовителем и ФАБИТ по процессу сертификации конкретного продукта. Темами этих переговоров являются детали методики, оплата, временной график, конструкторская документация. Рас0;1 - 6 - сматриваются функции защиты продукта, при возможности происходит соотнесение с одним из классов функциональности, устанавливается, на какой уровень защищенности претендует продукт. После этого изготовитель подает в ФАБИТ заявление на сертификацию. Выбор испытательной лаборатории осуществляется изготовителем. Если он останавливает выбор на внешней аккредитированной испытательной лаборатории, с этой лабораторией заключается отдельный договор. Фаза подготовки к сертификации заканчивается с проведением первого совместного совещания, на котором вырабатываются план работ и временной график. 2. Сертификационная оценка выполняется персоналом испытательной лаборатории. В процессе оценки требуется тесное взаимодействие между изготовителем, испытательной лабораторией и ФАБИТ. Описания отдельных этапов тестирования и результаты тестирования как у изготовителя (должны быть представлены акты), так и в испытательной лаборатории включаются в отчеты. Полноценность тестов обеспечивается Отделом сертификации ФАБИТ. Должны быть учтены такие существенные моменты: - выявление совокупности условий (образ действий, комплект документации, взаимодействие испытательной лаборатории и Отдела сертификации ФАБИТ); - интерпретация лежащих в основе Критериев безопасности (по отдельности и в совокупности); - сопровождение тестирования - для каждой сертификационной оценки должны быть определены цель, характерный подход и методика. Сотрудники Отдела сертификации ФАБИТ осуществляют функции кураторов. Отчеты о тестировании в испытательных лабораториях передаются кураторами в ФАБИТ. Проводится сравнение сертификационных оценок с оценками по другим сертификационным методикам; - контроль соблюдения испытательными лабораториями различных требований, например, по сохранению конфиденциальности. Итоговый отчет испытательной лаборатории содержит все результаты сертификационных оценок. С передачей итогового отчета в Отдел сертификации заканчивается фаза сертификационной оценки. На основании рекомендаций испытательной лаборатории ФАБИТ проводит оценку продукта и его механизмов защиты. 3. В последней фазе процесса сертификации составляется Заключение о сертификации с использованием итогового отчета, отчетов по отдельным тестам и информации, полученной в процессе сертификационной оценки. Кроме предварительных замечаний и пояснений, Заключение включает сам сертификат и отчет о сертификации. Отчет о сертификации содержит описания оцененных защитных свойств продукта и указания и ограничения для пользователя. Выводы Заключения о сертификации действительны только при соблюдении этих указаний и ограничений. Заключение о сертификации, как правило, публикуется и может быть получено у изготовителя. Результат процесса сертификации направляется изготовителю в виде Решения. После этого сертифицированный продукт включается в список сертифицированных продуктов, который регулярно обновляется 0;1 - 7 - и публикуется. Он содержит, кроме общей информации по сертификации и аккредитации, короткие описания сертифицированных продуктов. После сертификации ФАБИТ осуществляет дальнейшую поддержку, в частности, при опубликовании и предоставлении Заключений о сертификации, при опубликовании информации о сертификации в специальных журналах и информационных выпусках ФАБИТ, при проведении мероприятий (конференций, семинаров и т.д.), при изготовлении плакатов по тематике сертификации и т.д. Длительность процесса сертификационной оценки может сильно различаться в зависимости от сложности продукта и от заявленного уровня защищенности. Для средства защиты персонального компьютера длительность процесса сертификации, как правило, составляет 3 месяца, а для операционной системы большой ЭВМ может составить около 2 лет. Пропорционально длительности процесса сертифицирования, естественно, растут расходы изготовителя продукта на сертификацию. Опыт показывает, что эти расходы находятся в пределах суммы 5% от стоимости разработки. 3. Международное сотрудничество. дддддддддддддддддддддддддддддддд С июня этого года действует двухстороннее соглашение о взаимном признании сертификатов безопасности между ФАБИТ и Агентством по вопросам оценки безопасности и сертификации информационных систем Великобритании. Соответствующее соглашение о взаимном признании при более широком европейском представительстве ожидается в ближайшем будущем. ФАБИТ заключило следующие соглашения со Швейцарией: "Аккредитация испытательных лабораторий" и "Сертификация информационных продуктов". 0;1 1.1