http://kiev-security.org.ua

Содержание

Использование критериев оценки защищенности информационных технологий для защиты специализированных компьютерных систем

В.А. Лыков и А.В.Шеин(Атомзащитаинформ), Давид М. Дивэйни и Рональд Б. Мелтон(Тихоокеанская Северозападная национальная лаборатория США), Уильям Дж. Хантерман и Джоан М. Проммел( Лос-Аламосская Национальная Лаборатория США), Джеймс С. Ротфусс (Ливерморская Национальная Лаборатория США ).

Краткое содержание

Цель этой статьи – описать сравнительный анализ критериев оценки информационной безопасности, используемых в России и США и применение русских критериев к конкретнйо проблеме. Критерии оценки безопасности компьютерных систем, используемые ГосТехКомиссией РФ и аналогичные критерии, используемые МО США, предназначены для разработки и реализации надежных методов достижения требуемого уровня информационной безопасности. Эти критерии создавались, использовались и будут использоваться для оценки защищенности автоматизированных систем общего назначения (АС). Россия создает специальные системы для контроля за ядерными материалами (nuclear material control and accountancy) - КЯМ в рамках международного соглашения между лабораториями. Из-за условий, в которых должна работать АС КЯМ, некоторые из критериев и обязательных требований при сертификации могут оказаться чрезмерными по отношению к установленным или могут перекрываться требованиями, установленными для аттестации АС такого рода. В этом отношении возможно изменить требования сертификации и аттестации в зависимости от условий, в которых будет работать такая система, чтобы достичь конечную цель – внедрить такие АС.

Примечание: Различие в терминологии привело к тому, что обе стороны неправильно понимали друг друга в начале совместной работы. Русскому термину “сертификация” соответствует американский термин “проверка”(validation), в то время как русскому термину “аттестация” лучше всего соответствует американский термин “сертификация”(certification). В этом документе будет согласованно использоваться русская терминология.

Введение

Эта статья – результат работы совместной американо-русской рабочей группы по сертификации информационной безопасности в АС КЯМ. Наш опыт показал, что хотя имеются некоторые различия в подходах к безопасности, в-основном эти различия носят терминологический характер. Эта статья содержит описание совместного понимания проблемы, к которому мы пришли в результате работы. Во-первых проводится сравнительный анализ критериев оценки информационной безопасности двух стран. Критерии оценки информационной безопасности, используемые ГосТехКомиссией, называемые “АС. Защита от НСД. Классификация АС и требования информационной безопасности”[1] и аналогичные критерии, используемые МО США(TCSEC)[2], предназначены для разработки и реализации надежных методов достижения требуемого уровня информационной безопасности. Эти критерии создавались, использовались и будут использоваться для сертификационных испытаний защищенности автоматизированных систем общего назначения. Общность этих требований до некоторой степени учитывает характеристики защищенной операционной системы (ОС).

Вторая часть этой статьи описывает специфическое применение русских критериев к АС для КЯМ. Для этой специальной области были разработан специфические критерии. Для того чтобы можно было в реальные сроки осуществить сертификацию без лишних затрат, критерии были сгруппированы в три категории. Эти результаты показывают выгоду совместных американо-русских работ.

Основы – анализ критериев защищенности

В отличие от американских стандартов, руководящий документ ГосТехКомиссии, упомянутый выше, непосредственно посвящен условиям работы автоматизированных систем(АС), самыми важными из которых является уровень конфиденциальности обрабатываемой информации (гриф секретности) и уровень доступа пользователя к информации. Помимо требований сертификации, этот руководящий документ также содержит требования, выполнение которых необходимо для аттестации таких АС. Аттестация - это окончательное разрешение на ввод в эксплуатацию такой системы ( в США это называется аккредитацией). Такой подход делает возможным ускорение разработки и внедрения защищенных АС. В отношении функциональных требований этот руководящий документ близок с стандарту США. Поэтому подсистема управления доступом в этом руководящем документе (РД) включает требования для проведения в жизнь согласованной политики безопасности в отношении ограничения доступа и управления потоками информации ( с помощью ее меток), а также для контроля за использованием АС пользователями в отношении идентификации и аутентификации субъектов доступа.

Подсистема регистрации и учета в этом РД включает требования к бюджетам пользователей в отношении протоколирования тех событий, которые являются важными с точки зрения безопасности, и предупреждения ( уведомления) о них. Подсистема регистрации и учета также включает требования политики безопасности в отношении учета всех создаваемых объектов, требующих назначения им метки ( включая распечатки) и очистки освобождаемых ресурсов( памяти и диска).

Подсистема гарантий целостности в этом РД включает требования по обеспечению гарантий (требования к надежности разработанных продуктов) в отношении гарантий целостности, легкости администрирования, тестирования, восстановления и интегрируемости сердств защиты АС.

Тем не менее, в этом РД отсутствуют, в частности, требования, связанные с архитектурой, спецификациями, проверкой проекта, и требования, связанные с документацией на систему защиты АС, хотя неявно подразумевается, что документация должна быть выполнена в соответствии с требованиями ЕСКД и ЕСПД [3,4]. Нет четкой разницы между дискреционным и мандатным управлением доступом, а требования к меткам секретности специфицированы нечетко. Хотя это явно не указано, подсистема управления доступом предполагает, что обычно будет использоваться дискреционное управление доступом, в то время как управление потоками информации предполагает, что применяется мандатное управление доступом. Требования к архитектуре и меткам в принципе должны находиться в подсистеме обеспечения целостности.

Продолжая это сравнение, следует отметить, что в отличие от этого РД, в стандарте США полностью отсутствуют требования в отношении шифрования, которое значительно усиливает безопасность в-целом.

Среди требований по аттестации в этом РД можно отметить, что требования к учету носителей информации, использованию сертифицированного оборудования и физической безопасности компьютеров.

Полный список требований и их сравнительный анализ в отношении наличия/отсутствия в обоих стандартах имеется в таблице 1.

В правом столбце знак “+” соответствует требованиям, для которых имеются функционально идентичные или аналогичные требования в стандарте США; знак “-” соответствует требованиям, которые отсутствуют в стандарте США. Также указывается, для каких классов защиты в американском стандарте указано это требование, и для каких классов оно впервые указывается в русском стандарте.

Следует отметить лексикографический порядок указания классов в русском и американском стандартах. В американском стандарте классы указаны в порядке возрастания значимости в следующем порядке: D, C1, C2, B1, B2, B3, A1; в то время как в русском стандарте порядок следующий - 3Б, 3A, 2Б, 2A, 1Д, 1Г, 1В, 1Б, 1A.

Таблица 1.

С другой стороны в таблице 2 представлены результаты аналогичного сравнения относительно американского стандарта с учетом функциональных требований в нем.

В столбце справа от имени знак "+" указывает на требования, для которых имеются идентичные или похожие функциональные требования как в американском стандарте, так и в руководящем документе РФ. Также указывается, для каких классов защиты в американском стандарте указано это требование, и для каких классов оно впервые указывается в русском стандарте.

На основе анализа этих данных можно сделать вывод, что хотя в большинстве случаев классы защищенности в руководящем документе РФ содержат функциональные требования, аналогичные тем, что указаны в стандарте МО США, принципы, по которым создавались классы в этих документах сильно отличаются. Можно достаточно обоснованно сделать вывод, что классы С1-С2 в стандарте МО США в-основном соответствуют третьей группе классов защищенности в руководящем документе; аналогично, классы С2-В1 соответствуют второй группе классов защищенности в РФ; и классы В1-В3 соответствуют первой группе.

Такое положение дел объясняется тем, что руководящий документ учитывает условия, в которых будет работать АС ( грифы секретности обрабатываемой информации и полномочия пользователей по доступу к информации), в то время как эти факторы не учитываются в стандарте МО США. Вместо этого, они учтены только в руководствах "Руководство по применению критериев оценки защищенности компьютерной системы МО США в специфических средах "[5], и "Рекомендации по применению интерпретации критериев защищенности МО США в сети"[6], в которых используется понятие "индекс риска", которое включает уровень конфиденциальности обрабатываемой информации и функциональную среду компьютерной системы.

Таблица 2.

Следует отметить, что первоначальные стандарты МО США ничего не говорили о шифровании, в то время как эти руководства рассматривают возможность его применения.

Характеристика компьютерных систем КЯМ

Как указано в "Концептуальном описании Национальной Системы Контроля и Учета ядерных материалов"[7] необходимость системы КЯМ вызвана наличием как гражданских, так и военных ядерных реакторов и хранилищ ядерных материалов в Российской Федерации, а также потенциальными опасностями радиоактивного заражения и ядерного взрыва, исходящими от них. Для реализации требований по защите материалов, контролю за ними и их учету в рамках национальной системы контроля и учета материалов на федеральном, ведомственном уровне и на уровне АЭС разрабатывается АС КЯМ. В ней предполагается использовать коммерческие продукты, операционную среду Windows NT 4.0 и СУБД SQL Server 6.5 корпорации Microsoft и Oracle 7.0 корпорации Oracle в качестве основных средств. Выбор этих продуктов для систем КЯМ как в США, так и в России вызван тем фактом, что они лучше всех удовлетворяют требованиям современных информационных технологий.

Так как информация, которая будет обрабатываться в системах КЯМ, будет критической, а некоторая будет даже составлять государственную тайну, законы Российской Федерации требуют сертификации программных продуктов общего назначения, которые будут использоваться (ОС и СУБД), и любых программных сред для систем КЯМ, созданных для работы с их использованием. Кроме того, полная АС КЯМ должна быть аттестована на соблюдение требований к обеспечению безопасности информации в реальных условиях эксплуатации. В некоторых случаях ОС и СУБД должны быть сертифицированы на более высокий уровень защищенности, чем тот, который обеспечивается коммерческими версиями, что приводит к необходимости их модификации и доработки.

Раньше было истинным высказывание, что коммерческие программные продукты не удовлетворяют минимальным требованиям безопасности, но теперь современные ОС и СУБД разрабатываются и сертифицируются с учетом требований к безопасности информации; они успешно используются в информационных технологиях, критичных к безопасности информации.

Разрабатываемые системы КЯМ отличаются от систем общего назначения в следующих отношениях:

Во-первых, компьютерное оборудование КЯМ установлено в защищенных зонах - как правило, в местах хранения ядерных материалов. Защищенная зона - это зона, в которой установлены средства физической безопасности, которые делают невозможным неконтролируемый доступ посторонних лиц без постоянного или временного пропуска. Поэтому, как для физически изолированной системы, в этих условиях может игнорироваться угроза неавторизованного доступа к компьютеру или подключения к каналу связи между компьютерами для перехвата трафика.

Во-вторых персоналу КЯМ может быть предоставлен доступ ко всей обрабатываемой информации и всем предоставлены равные права доступа. В этих условиях не является обязательным использование программ для управления доступом (по принципам дискретного управления доступом); и, если вся информация в системе КЯМ имеет одинаковый гриф секретности, управление доступом к информации становится

ненужным.

В-третьих, как правило среда работы пользователя в системе КЯМ состоит из фиксированного списка заранее установленных компонент и процессов. Список файлов и программ, которые операторы КЯМ могут создавать или запускать, четко регламентирован. Поэтому можно статически определить информационные потоки и механизмы безопасности, что в свою очередь делает ненужным использование мандатного управления доступом и позволяет производить все управление доступом по принципам дискретного управления доступом.

Классификация систем КЯМ

Системы КЯМ разделены на несколько категорий на основе условий, в которых они будут функционировать, для того чтобы имелась основа при разработке и реализации мер по достижению требуемого уровня информационной безопасности. Различия в подходе к выбору методов и средств защиты необходимы из-за различий в

важности обрабатываемой информации; различий между системами КЯМ в отношении входящих в их состав компонент, структуры, и методов, используемых для обработки, хранения и передачи информации; различий между характеристиками и числом пользователей и обслуживающего персонала.

Критерии отнесения системы к классу защищенности, которые используются в системах КЯМ, включают:

• Уровень секретности информации, обрабатываемой в системе КЯМ
• Полномочия авторизованных пользователей по доступу к секретной информации
• Порядок и условия, связанные с размещением компонент и их возможностями, а также физическая защищенность компьютерного оборудования

На основе анализа условий, в которых будут работать системы КЯМ, введены 3 класса защищенности: три(III), два (II) и один (I).

Система КЯМ, которая должны быть отнесена к классу III, характеризуется:

• Наличием только одного уровня секретности информации
• Наличием равных прав доступа к информации в КЯМ у всех субъектов доступа
• Размещением всего компьютерного оборудования КЯМ в защищенной зоне и отсутствием внешних (выходящих за пределы защищенной зоны) информационных каналов связи.

Система КЯМ, которая должны быть отнесена к классу II, характеризуется:

• Наличием информации разных уровней секретности
• Наличием различных прав доступа к информации в КЯМ у субъектов доступа
• Размещением всего компьютерного оборудования КЯМ в одной или нескольких защищенных зонах и отсутствием внешних (выходящих за пределы защищенной зоны) информационных каналов связи.

Система КЯМ, которая должны быть отнесена к классу I, характеризуется:

• Наличием информации разных уровней секретности
• Наличием различных прав доступа к информации в КЯМ у субъектов доступа
• Размещением всего компьютерного оборудования КЯМ в одной или нескольких защищенных зонах и наличием внешних (выходящих за пределы защищенной зоны) информационных каналов связи с компьютерами, не имеющими отношения к системе КЯМ.

Ниже в таблице представлен минимальный набор требований к обеспечению безопасности информации для каждого класса КЯМ. Все оборудование, программное обеспечение и организационные меры, связанные с обеспечением защиты информации от НСД могут быть разделены на следующие подсистемы:

• Подсистема управления доступом
• Подсистема регистрации и учета
• Криптографическая подсистема
• Подсистема обеспечения целостности

Символы:

"-" - не требуется в этом классе

"+"- требуется в этом классе

Таблица 3.

При обработке информации, не составляющей государственную тайну, но требующей защиты от НСД, в реальных условиях системы КЯМ набор требований к системе КЯМ, которым она должна удовлетворять, может состоять из групп требований, описанных выше в таблице.

На основе предварительного анализа ОС Windows NT 4.0 и СУБД SQL Server 6.5, которые предлагаются в качестве основных средств при создании систем КЯМ, можно сделать следующие предварительные выводы, которые должны быть учтены в указанных требованиях к сертификации.

Стандартные средства защиты информации, имеющиеся в Windows NT 4.0 и SQL Server 6.5 ближе всего удовлетворяют требованиям к классу III систем КЯМ.

Например, эти продукты имеют возможности идентификации и аутентификации пользователей при их входе в систему (максимальная длина пароля в Windows NT 4.0 - 14 символов, а в SQL Server 6.5 - 30).

Все обращения к объектам в операционной системе (доменам, серверам, рабочим станциям, периферйиным устройствам, сетевым устройствам, портам, областям ОЗУ, процессам, каталогам, файлам и т.д.) идентифицируются уникальным образом по имени и его маркеру безопасности.

Обращения к объектам СУБД (таблицам, процедурам, индексам, записям ) также уникальным образом идентифицируются в системе по имени.

Операционная система может создавать детальные журналы следующих событий: запуска и остановки системы, входа и выхода пользователя из системы, доступа к объектам, запуска и завершения процессов, изменений полномочий доступа субъектов и т.д. Средства протоколирования доступны только администратору и позволяют ему просматривать и анализировать журналы в отношении указанных им параметров всех событий, которые имели место (Event Viewer), а также архивировать эти журналы. Ресурсы операционной системы изолируются с помощью Object Manager, который вместе с Security Reference Monitor реализуют дискреционную политику управления доступом к объектам. Реестр и соответствующие модули используются для проверки целостности системы при запуске.

Целостность средств защиты СУБД обеспечивается путем изоляции их от пользователей с помощью механизмов безопасности операционной системы и СУБД, а также с помощью возможностей СУБД по оперативному восстановлению баз данных.

Следует учитывать, что системы класса III КЯМ должны удовлетворять ряд требований аттестации, которые модифицируют механизмы безопасности в ОС и СУБД и ограничивают условия, в которых они могут использоваться.

Стандартных компонент защиты информации в Windows NT 4.0 и SQL Server 6.5 недостаточно для систем класса II и I КЯМ, так как такие системы, обрабатывающие документы с различными грифами секретности дополнительно требуют мандатного управления доступом, очистки освобождаемых областей памяти, наблюдения за передачей данных пос ети, установки межсетевых экранов, шифрования данных и т.д. Поэтому такие системы требуют внесения соответствующих изменений в механизмы безопасности в Windows NT 4.0 и SQL Server 6.5. Для того, чтобы сертифицировать механизмы безопасности в Windows NT 4.0 и SQL Server6.5 на выполнение требований, предъявляемых к системам всех классов КЯМ, необходимо провести исследования и эксперименты (тестирование) в соответствии с программой и методологией, установленными в "Положении о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации."[8], которые были приняты в Российской Федерации. Сертификационные процедуры тестирования в США и РФ предполагают, в частности, что должны проводиться исследования, и что должна анализироваться конструкторская документация для сертифицируемых продуктов, включая исходные тексты программ. Хотя проблемы, связанные с тем, при каких условиях разработчики предоставят конструкторскую документацию в испытательную лабораторию, были решены с помощью юридических и экономических способов на национальном уровне, на международном уровне они вызывают большие и иногда неразрешимые сложности. В этом отношении кажется разумным попытаться решить такие вопросы в рамках международного соглашения, в котором должно быть предусмотрено, в частности, создание международных сертификационных центров.

Библиография

1. РД. "Автоматизиpованные системы. Защита от НСД к инфоpмации. Классификация АС и тpебования по защите инфоpмации." ГосТехКомиссия РФ, 1992

2. Department of Defense Standard. "Department of Defense Trusted Computer SystemEvaluation Criteria." DOD 5200.28-STD. December 1985.

3. "Единая система программной документации." Сборник стандартов РФ.

4. "Единая система конструкторской документации." Сборник стандартов РФ.

5. National Computer Security Center. "Security Requirements: Guidance for Applying theDepartment of Defense Trusted Computer System Evaluation Criteria in SpecificEnvironments." CSC-STD-003-85. 25 June 1985.

6. National Computer Security Center. "Trusted Network Interpretation EnvironmentsGuideline. Guidance for Applying the Trusted Network Interpretation." NCSC-TG-011, Version-1. 1 August 1990.

7. “ Концептуальном описании Национальной Системы Контроля и Учета ядерных материалов ”, Россия, 1996.

8. "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации." ГосТехКомиссия Рф, 1994

Содержание

HOME