в каком году была выпущена оранжевая книга
3.2. «Оранжевая книга»
3.2. «Оранжевая книга»
Стандарт «Критерии оценки доверенных компьютерных систем» /Trusted Computer System Evaluation Criteria/, более известный как «Оранжевая книга», [26] был разработан Министерством Обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности.
Требования «Оранжевой книги» имеют следующую структуру:
Напомним, что «Оранжевая книга» является оценочным стандартом – а значит, предназначена в первую очередь для проведения анализа защищённости автоматизированных систем. По результатам такого анализа АС должна быть отнесена к одному из определённых в документе классов защищённости.
«Оранжевая книга» определяет четыре группы классов защищённости:
A – содержит единственный класс A1.
B – содержит классы B1, B2 и B3.
С – содержит классы C1 и C2.
D – содержит единственный класс D1.
Требуемый уровень защищённости системы возрастает от группы D к группе A, а в пределах одной группы – с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения информационной безопасности, реализованной в АС.
Приведём краткие характеристики каждого из классов защищённости.
1. Группа D – минимальная защита.
К данной категории относятся те системы, которые были представлены для сертификации по требованиям одного из более высоких классов защищённости, но не прошли испытания.
Данная группа характеризуется наличием дискреционного управления доступом и регистрации действий субъектов.
3. Группа B – мандатная защита
Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе.
4. Группа A – верифицированная защита
Группа характеризуется применением формальных методов верификации корректности функционирования механизмов управления доступом. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра безопасности отвечает требованиям безопасности. Функциональные требования совпадают с классом B3, однако на всех этапах разработки АС требуется применение формальных методов верификации систем защиты.
Разработка и публикация «Оранжевой книги» стали важнейшей вехой в становлении теории информационной безопасности. Такие базовые понятия, как «политика безопасности», «монитор безопасности обращений» или «администратор безопасности» впервые в открытой литературе появились именно в «Оранжевой книге».
В то же время с течением времени стали проявляться многочисленные недостатки «Оранжевой книги» и предложенного подхода к классификации АС в целом. Во многом её устаревание было связано с принципиальными изменениями аппаратной базы средств вычислительной техники, произошедшими с 1983 г. – и прежде всего, с распространением распределённых вычислительных систем и сетей, особенности которых в «Оранжевой книге» никак не учитываются. Не нашли отражения в «Оранжевой книге» и вопросы обеспечения доступности информации. Наконец, с усложнением АС всё больше стала проявляться принципиальная ограниченность «табличного» подхода к классификации систем по требованиям безопасности информации, когда автоматизированная система должна быть отнесена к одному из классов защищённости исходя из выполнения фиксированного набора требований к функциональным характеристикам – такой подход принципиально не позволяет учесть особенности системы и является недостаточно гибким.
Стараясь не отстать от развивающихся информационных технологий, разработчики «Оранжевой книги» вплоть до 1995 г. выпустили целый ряд вспомогательных документов, известных как «Радужная серия». Эти документы содержали рекомендации по применению положений «Оранжевой книги» для различных категорий автоматизированных систем, а также вводили ряд дополнительных требований. Наибольший интерес в «Радужной серии» представляют три документа: «Интерпретация для защищённых сетей», «Интерпретация для защищённых СУБД» и «Руководство по управлению паролями».
В настоящее время «Оранжевая книга» не используется для оценки автоматизированных систем и представляет интерес исключительно с исторической точки зрения.
Оранжевая книга
Опубликовано 23.05.2020 · Обновлено 23.05.2021
Что такое Оранжевая книга?
Оранжевая книга – это список лекарств и фармацевтических препаратов, которые Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США ( FDA ) одобрило как безопасные и эффективные. Хотя ее обычно называют Оранжевой книгой, ее официальное название – Одобренные лекарственные препараты с оценкой терапевтической эквивалентности.
Оранжевая книга не включает лекарства, только одобренные как безопасные; они также должны быть доказаны своей эффективностью. Лекарства, одобрение безопасности или эффективности которых было отозвано, исключены из оранжевой книги. Тем не менее, лекарство, в отношении которого в настоящее время применяются регулирующие меры, все еще может быть внесено в оранжевую книгу.
Ключевые моменты
Понимание оранжевой книги
Оранжевая книга доступна в Интернете бесплатно. Это упрощает для медицинских работников поиск дженериков-эквивалентов фирменных лекарств, патентов на лекарства и эксклюзивных лекарств. Потребители также могут получить доступ к «оранжевой книге» онлайн. И пациенты, и врачи могут видеть одобренное использование лекарств и даты истечения срока действия патентов на лекарственные препараты известных марок.
Врач или пациент могут узнать, существует ли дженерик, эквивалентный фирменному препарату, выполнив поиск по активным ингредиентам. В случае прозака вы должны выполнить поиск в оранжевой книге по запросу «гидрохлорид флуоксетина». Чтобы иметь возможность продавать и продавать дженерик, производитель дженериков должен подать сокращенную заявку на новый лекарственный препарат (ANDA) в Управление по контролю за продуктами и лекарствами (FDA). Производитель должен доказать, что препарат биоэквивалентен патентованному препарату. Если заявка на получение сокращенного лекарственного препарата (ANDA) будет одобрена, генерический препарат будет занесен в Оранжевую книгу.
Использование оранжевой книги
Например, поиск рецептурного антидепрессанта Прозак показывает, что препарат доступен в различных формах (капсулы, таблетки, растворы, гранулы с отсроченным высвобождением и т. Д.), А также в различных дозировках. Этот поиск также показывает, что пять форм препарата были прекращены, хотя в трех случаях было отмечено, что препарат не был прекращен или отменен по соображениям безопасности или эффективности. Капсулы были впервые одобрены в 1987 году, и препарат одобрен для лечения острой депрессии у взрослых.
Оранжевая книга также показывает, что активным ингредиентом препарата является гидрохлорид флуоксетина, который обычно доступен по более низкой цене.
Патентная информация
Когда новое лекарство представляется общественности, Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) выдает производителю лекарств медицинский патент, который защищает продукт от конкурентов в течение определенного периода времени. Патенты на орфанные препараты действуют семь лет, в то время как эксклюзивные права на новые химические вещества действуют в течение пяти лет. Согласно Закону Хэтча-Ваксмана, чтобы производитель дженериков получил одобрение, они должны подтвердить, что они не будут запускать свой генерический продукт до истечения срока действия патента.
Оранжевая книга доступна в формате PDF, в печатном и электронном виде. Электронная версия «оранжевой книги» является самой последней, потому что в нее ежедневно вносятся обновления, включая информацию об одобрении генерических лекарств и информацию о патентах. Другая информация может обновляться только ежемесячно, например, одобренные заявки на новые лекарственные препараты и продукты, выпуск которых прекращен.
Оранжевая книга (криптография)
Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria ) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии, часто упоминающиеся как Оранжевая книга, занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности — подразделением Агентства национальной безопасности в 1983 году и потом обновлённые в 1985.
Аналогом Оранжевой книги является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространённому заблуждению, он не заменял собой Оранжевую книгу в силу разной юрисдикции документов — Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию.
Содержание
Основные сведения
Данный стандарт получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ).
Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нём идёт не о безопасных, а о доверенных системах.
Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той или иной системе.
Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.
Основные цели и средства
Политики
Политики безопасности должны быть подробными, чётко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:
Ответственность
Индивидуальная ответственность в независимости от политики должна быть обязательной. Есть три требования по условиям ответственности:
Гарантии
Компьютерная система должна содержать аппаратные и/или программные механизмы, которые могут независимо определять, обеспечивается ли достаточная уверенность в том, что система исполняет указанные выше требования. Вдобавок уверенность должна включать гарантию того, что безопасная часть системы работает только так, как запланировано. Для достижения этих целей необходимо два типа гарантий и соответствующих им элементов:
Документирование
В каждом классе есть дополнительный набор документов, который адресован разработчикам, пользователям и администраторам системы в соответствии с их полномочиями. Эта документация содержит:
Основные понятия
Безопасная система
Это система, которая обеспечивает управление доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право работы с информацией.
Доверенная система
Под доверенной системой в стандарте понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа.
Политика безопасности
Это набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Причём, политика безопасности относится к активным методам защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.
Уровень гарантированности
Подразумевает меру доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты).
Подотчетность
В группе «Подотчетность» должны быть следующие требования:
Доверенная вычислительная база
Это совокупность защитных механизмов информационной системы (как программные, так и аппаратные), реализующих политику безопасности.
Монитор обращений
Контроль за выполнением субъектами (пользователями) определённых операций над объектами, путём проверки допустимости обращения (данного пользователя) к программам и данным разрешенному набору действий.
Обязательные качества для монитора обращений:
Ядро безопасности
Конкретная реализация монитора обращений, обладающая гарантированной неизменностью.
Периметр безопасности
Это граница доверенной вычислительной базы.
Механизмы реализации безопасности
Произвольное управление доступом
Иначе — добровольное управление доступом.
Добровольное управление доступом — это метод ограничения доступа к объектам, основанный на учёте личности субъекта или группы, в которую субъект входит. Добровольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.
Большинство операционных систем и СУБД реализуют именно добровольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы или секретные файлы в незащищённые каталоги.
Безопасность повторного использования объектов
Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т. п.), для дисковых блоков и магнитных носителей в целом. Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности «повторного использования субъектов». Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае, новый сотрудник может получить ранее использовавшийся идентификатор, а с ним и все права своего предшественника.
Современные интеллектуальные периферийные устройства усложняют обеспечение безопасности повторного использования объектов. Действительно, принтер может буферизовать несколько страниц документа, которые останутся в памяти даже после окончания печати. Необходимо предпринять специальные меры, чтобы «вытолкнуть» их оттуда.
Метки безопасности
Предусмотрены метки для субъектов (степень благонадёжности) и объектов (степень конфиденциальности информации). Метки безопасности содержат данные об уровне секретности и категории, к которой относятся данные. Согласно «Оранжевой книге», метки безопасности состоят из двух частей — уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:
Для разных систем набор уровней секретности может различаться. Категории образуют неупорядоченный набор. Их назначение — описать предметную область, к которой относятся данные. В военном окружении каждая категория может соответствовать, например, определённому виду вооружений. Механизм категорий позволяет разделить информацию по отсекам, что способствует лучшей защищённости. Субъект не может получить доступ к «чужим» категориям, даже если его уровень благонадёжности «совершенно секретно». Специалист по танкам не узнает тактико-технические данные самолётов.
Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причём в таком виде, чтобы удалённая система могла её разобрать, несмотря на возможные различия в уровнях секретности и наборе категорий.
Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определённом диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определённой меткой. Например, попытка напечатать совершенно секретную информацию на принтере общего пользования с уровнем «несекретно» потерпит неудачу.
Принудительное управление доступом
Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может писать в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен.
Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов, на месте которых могут оказаться даже системные администраторы. После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту Х ещё и для пользователя Y». Конечно, можно изменить метку безопасности пользователя Y, но тогда он скорее всего получит доступ ко многим дополнительным объектам, а не только к Х.
Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. Впрочем, в реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.
Разделы и классы
Критерии делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A. Каждый дивизион представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.
D — Минимальная защита
Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.
C — Дискреционная защита
B — Мандатная защита
A — Проверенная защита
Классы безопасности
В критериях впервые введены четыре уровня доверия — D, C, B и A, которые подразделяются на классы. Классов безопасности всего шесть — C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения требований).
Уровень D
Данный уровень предназначен для систем, признанных неудовлетворительными.
Уровень C
Иначе — произвольное управление доступом.
Класс C1
Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:
Класс C2
Уровень B
Также именуется — принудительное управление доступом.
Класс B1
Класс B2
Класс B3
Уровень A
Носит название — верифицируемая безопасность.
Класс A1
Краткая классификация
Такова классификация, введённая в «Оранжевой книге». Коротко её можно сформулировать так:
Конечно, в адрес «Критериев …» можно высказать целый ряд серьёзных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределённых системах). Тем не менее, следует подчеркнуть, что публикация «Оранжевой книги» без всякого преувеличения стала эпохальным событием в области информационной безопасности. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.
Отметим, что огромный идейный потенциал «Оранжевой книги» пока во многом остаётся невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы — от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях, теряется информация о семантике программ.
Введена в действие «Оранжевая книга»
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».
name=keyword-context.1>В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».
Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности «Оранжевая книга» не затрагивает.
Степень доверия оценивается по двум основным критериям.
Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, достаточно компактна.
Монитор обращений должен обладать тремя качествами:
Механизмы безопасности
Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы:
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Операционная гарантированность включает в себя проверку следующих элементов:
Классы безопасности
Класс C2 (в дополнение к C1):
Класс B1 (в дополнение к C2):
Класс B2 (в дополнение к B1):
Класс B3 (в дополнение к B2):
Класс A1 (в дополнение к B3):
Такова классификация, введенная в «Оранжевой книге». Коротко ее можно сформулировать так:
Информационная безопасность распределенных систем. Рекомендации X.800
Сетевые сервисы безопасности
Следуя скорее исторической, чем предметной логике, мы переходим к рассмотрению технической спецификации X.800, появившейся немногим позднее «Оранжевой книги», но весьма полно и глубоко трактующей вопросы информационной безопасности распределенных систем.
Выделяют следующие сервисы безопасности и исполняемые ими роли:
В следующей таблице указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.
| Функции безопасности | Уровень | ||||||
|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | |
| Аутентификация | — | — | + | + | — | — | + |
| Управление доступом | — | — | + | + | — | — | + |
| Конфиденциальность соединения | + | + | + | + | — | + | + |
| Конфиденциальность вне соединения | — | + | + | + | — | + | + |
| Избирательная конфиденциальность | — | — | — | — | — | + | + |
| Конфиденциальность трафика | + | — | + | — | — | — | + |
| Целостность с восстановлением | — | — | — | + | — | — | + |
| Целостность без восстановления | — | — | + | + | — | — | + |
| Избирательная целостность | — | — | — | — | — | — | + |
| Целостность вне соединения | — | — | + | + | — | — | + |
| Неотказуемость | — | — | — | — | — | — | + |
«+» данный уровень может предоставить функцию безопасности;
«-» данный уровень не подходит для предоставления функции безопасности.
Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
В следующей таблице сведены сервисы (функции) и механизмы безопасности. Таблица показывает, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
«+» механизм пригоден для реализации данной функцию безопасности;
«-» механизм не преднозначен для реализации данной функции безопасности.
Администрирование средств безопасности
Согласно рекомендациям X.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
Мы видим, что администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.
Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий»
Основные понятия
По историческим причинам данный стандарт часто называют «Общими критериями» (или даже ОК). Мы также будем использовать это сокращение.
Как и «Оранжевая книга», ОК содержат два основных вида требований безопасности:
Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:
В свою очередь, угрозы характеризуются следующими параметрами:
Уязвимые места могут возникать из-за недостатка в:
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.
Классы определяют наиболее общую, «предметную» группировку требований (например, функциональные требования подотчетности ).
Семейства в пределах класса различаются по строгости и другим нюансам требований.
Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. По целому ряду соображений (одним из которых является желание придерживаться объектно-ориентированного подхода) целесообразно, на наш взгляд, сформировать сначала отправную точку классификации, выделив базовый (минимальный) ПЗ, а дополнительные требования компоновать в функциональные пакеты.
Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.
Функциональные требования
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в «Оранжевой книге».
Перечислим классы функциональных требований ОК:
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ.
Класс «Приватность» содержит 4 семейства функциональных требований.
Требования доверия безопасности
Установление доверия безопасности, согласно «Общим критериям», основывается на активном исследовании объекта оценки.
Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
Применительно к требованиям доверия в «Общих критериях» сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки.
На уровне 6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня.
Оценочный уровень 7 (самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
На этом мы заканчиваем краткий обзор «Общих критериев».
Гармонизированные критерии Европейских стран
Сервисы безопасности реализуются посредством конкретных механизмов. Чтобы объекту оценки можно было доверять, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности мы будем называть гарантированностью. Гарантированность может быть большей или меньшей в зависимости от тщательности проведения оценки.
Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности.
Гармонизированные критерии Европейских стран явились для своего времени весьма передовым стандартом, они создали предпосылки для появления «Общих критериев».
Интерпретация «Оранжевой книги» для сетевых конфигураций
В 1987 году Национальным центром компьютерной безопасности США была опубликована интерпретация «Оранжевой книги» для сетевых конфигураций. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
Интерпретация отличается от самих «Критериев» учетом динамичности сетевых конфигураций. Предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами корректности функционирования друг друга, а также присутствие средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.
Систематическое рассмотрение вопросов доступности является новшеством по сравнению не только с «Оранжевой книгой», но и с рекомендациями X.800. Сетевой сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Доверенная система должна иметь возможность обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.
Для обеспечения непрерывности функционирования могут применяться следующие защитные меры:
Данное утверждение является теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.