Общие критерии

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Общие критерии оценки защищённости информационных технологий, Общие критерии[1], ОК (англ. Common Criteria for Information Technology Security Evaluation, Common Criteria, CC) — принятый в России[2] международный стандарт[3] по компьютерной безопасности. В отличие от стандарта FIPS 140[4], Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году.Перейти к разделу «#История разработки»

Основные понятия[править | править код]

Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.

Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.

Функциональные требования[править | править код]

Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.

  1. Первая группа определяет элементарные сервисы безопасности:
    1. FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
    2. FIA — идентификация и аутентификация;
    3. FRU — использование ресурсов (для обеспечения отказоустойчивости).
  2. Вторая группа описывает производные сервисы, реализованные на базе элементарных:
    1. FCO — связь (безопасность коммуникаций отправитель-получатель);
    2. FPR — приватность;
    3. FDP — защита данных пользователя;
    4. FPT — защита функций безопасности объекта оценки.
  3. Третья группа классов связана с инфраструктурой объекта оценки:
    1. FCS — криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
    2. FMT — управление безопасностью;
    3. FTA — доступ к объекту оценки (управление сеансами работы пользователей);
    4. FTP — доверенный маршрут/канал;

Классы функциональных требований к элементарным сервисам безопасности[править | править код]

К элементарным сервисам безопасности относятся следующие классы FAU, FIA и FRU.

Класс FAU включает шесть семейств (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA и FAU_ARP), причём каждое семейство может содержать разное число компонентов.

Назначение компонентов данного класса следующее.

FAU_GEN — генерация данных аудита безопасности. Содержит два компонента FAU_GEN.1 (генерация данных аудита) и FAU_GEN.2 (ассоциация идентификатора пользователя).

Требования доверия[править | править код]

Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.

  1. Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
    1. APE — оценка профиля защиты;
    2. ASE — оценка задания по безопасности.
  2. Вторая группа связана с этапами жизненного цикла объекта аттестации:
    1. ADV — разработка, проектирование объекта;
    2. ALC — поддержка жизненного цикла;
    3. ACM — управление конфигурацией;
    4. AGD — руководство администратора и пользователя;
    5. ATE — тестирование;
    6. AVA — оценка уязвимостей;
    7. ADO — требования к поставке и эксплуатации;
    8. АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.

История разработки[править | править код]

Разработке «Общих критериев» предшествовала разработка документа «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), начатая в 1990 году, и выполненная рабочей группой 3 подкомитета 27 первого совместного технического комитета (или JTC1/SC27/WG3) Международной организации по стандартизации (ISO).

Данный документ послужил основой для начала работы над документом Общие критерии оценки безопасности информационных технологий (англ. Common Criteria for IT Security Evaluation), начатой в 1993 году. В этой работе принимали участие правительственные организации шести стран (США, Канада, Германия, Великобритания, Франция, Нидерланды). В работе над проектом принимали участие следующие институты:

  1. Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
  2. Учреждение безопасности коммуникаций (Канада);
  3. Агентство информационной безопасности (Германия);
  4. Органы исполнения программы безопасности и сертификации ИТ (Англия);
  5. Центр обеспечения безопасности систем (Франция);
  6. Агентство национальной безопасности коммуникаций (Нидерланды).

Стандарт был принят в 2005 году комитетом ISO и имеет статус международного стандарта, идентификационный номер ISO/IEC 15408[2][3]. В профессиональных кругах за этим документом впоследствии закрепилось короткое название — англ. Common Criteria, CC; рус. «Общие критерии», ОК.

Модель угроз при сертификации[править | править код]

Прохождение сертификации неким продуктом в соответствии со стандартом Common Criteria может подтверждать или не подтверждать определенный уровень защищённости продукта, в зависимости от модели угроз и окружения.

В соответствии с методикой сертификации производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.

Операционная система Microsoft Windows XP (Professional SP2 и Embedded SP2), а также Windows Server 2003[5][6][7][8] были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP[9] в 2005-2007 годах, после чего для них были выпущены пакеты обновлений (service pack) и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в проверявшейся версии по-прежнему обладал сертификатом EAL4+,[5][6]. Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.

Общие критерии в России[править | править код]

В 2002 году приказом председателя Гостехкомиссии России были введены в действие следующие руководящие документы[10], разработанные на основе международных документов Common Criteria версии 2.3:

  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»;
  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
  • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».

С этого момента в отечественной системе сертификации была формально разрешена сертификация изделий информационных технологий по требованиям заданий по безопасности. Поскольку область применения (классы автоматизированных систем) подобных сертификатов соответствия не была определена в явном виде, подобная сертификация в большинстве случае носила рекламных характер – производители предпочитали сертифицировать свои изделия по требованиям классических руководящих документов.

С 2012 года ФСТЭК России ведет активную работу по актуализации нормативной и методической базы сертификации средств защиты информации. В частности, были введены в действие требования к следующим типам средств защиты информации:

  • система обнаружения вторжений;[11]
  • средство антивирусной защиты;[12]
  • средство доверенной загрузки;[13]
  • средство контроля съемных машинных носителей информации;[14]
  • межсетевой экран;[15]
  • операционная система.[16]

Требования для отдельного типа средств защиты информации оформлены в виде комплекта документов:

  • документ «Требования …»: документ имеет пометку «для служебного пользования» и определяет классы и типы для отдельного типа изделий;
  • профили защиты, определяющие номенклатуру функциональных требований безопасности и требования доверия к безопасности в зависимости от типа и класса изделия.

Профили защиты доступны Архивная копия от 20 сентября 2017 на Wayback Machine на официальном сайте ФСТЭК России.Таким образом, в настоящее время сертификация изделий указанных типов проводится ФСТЭК России только на соответствие утверждённым профилям защиты.

Примечания[править | править код]

  1. Общеизвестное более короткое название
  2. 1 2 ГОСТ Р ИСО/МЭК 15408-3-2013 введен с 2014-09-01. Дата обращения: 6 января 2016. Архивировано 4 марта 2016 года.
  3. 1 2 ISO/IEC 15408 - Evaluation criteria for IT security
  4. FIPS 140  (англ.)
  5. 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Архивная копия от 21 сентября 2012 на Wayback Machine Сертификация XP SP2, 2007
  6. 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Архивная копия от 6 октября 2012 на Wayback Machine Сертификация XP SP2, 2005
  7. Microsoft Windows Receives EAL 4+ Certification Архивная копия от 8 сентября 2015 на Wayback Machine / Schneier, 2005, по материалам "Windows XP Gets Independent Security Certification" / eWeek, 2005-12-14  (англ.)
  8. Windows XP / Server 2003 Common Criteria Evaluation Technical Report Архивная копия от 19 июня 2015 на Wayback Machine / Microsoft, 2005 (ZIP, DOC)  (англ.)
  9. Controlled Access Protection Profile (CAPP), version 1.d, October 8, 1999; – ISO/IEC 15408:1999.
  10. Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 - ФСТЭК России. fstec.ru. Дата обращения: 20 сентября 2017. Архивировано 20 сентября 2017 года.
  11. "Информационное письмо ФСТЭК России (Требования к СОВ)". Архивировано из оригинала 6 октября 2017. Дата обращения: 20 сентября 2017.
  12. "Информационное письмо ФСТЭК России (Требования к САВЗ)". Архивировано из оригинала 23 сентября 2017. Дата обращения: 20 сентября 2017.
  13. "Информационное письмо ФСТЭК России (Требования к СДЗ)". Архивировано из оригинала 14 сентября 2017. Дата обращения: 20 сентября 2017.
  14. "Информационное письмо ФСТЭК России (Требования к СКН)". Архивировано из оригинала 14 сентября 2017. Дата обращения: 20 сентября 2017.
  15. "Информационное письмо ФСТЭК России (Требования к МЭ)". Архивировано из оригинала 16 сентября 2017. Дата обращения: 20 сентября 2017.
  16. "Информационное письмо ФСТЭК России (Требования к ОС)". Архивировано из оригинала 6 октября 2017. Дата обращения: 20 сентября 2017.

Ссылки[править | править код]