Проект "ИТ-Защита"

Май

20

Оценка безопасности автоматизированных систем

Рубрики Методология

Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791

Владимир Галатенко (доктор физ.-мат. наук, зав. сектором автоматизации программирования НИИ системных исследований РАН)

СОДЕРЖАНИЕ:

Обзор проекта технического доклада ISO/IEC PDTR 19791

Введение

Международные стандарты, на которые опирается проект

Основные понятия, включенные в проект

Модель автоматизированной системы

Формирование режима безопасности

Безопасность в жизненном цикле автоматизированной системы

Доверие к безопасности автоматизированной системы

Проведение оценки безопасности автоматизированной системы

Функциональные требования безопасности для автоматизированных систем

Требования доверия к безопасности для автоматизированных систем

Системные профили защиты и задания по безопасности

Заключение

Анализ проекта технического доклада ISO/IEC PDTR 19791

О концептуальном базисе оценочных стандартов информационной безопасности

Проведение оценки

Внутренние недостатки предлагаемого проекта технического доклада

Возможные расширения набора требований безопасности

Заключение

Литература

Обзор проекта технического доклада ISO/IEC PDTR 19791

Введение

В середине октября 2002 г. на пленарном собрании Подкомитета 27 "Методы и средства обеспечения безопасности" (SC27) совместного Технического комитета 1 "Информационная технология" (JTC1) Международной организации по стандартизации (ISO) было выдвинуто предложение разработать новый стандарт для оценки безопасности автоматизированных систем. Данная инициатива получила поддержку членов подкомитета, в результате появился технический доклад "Security assessment of operational systems". В настоящем обзоре рассматривается вторая редакция проекта технического доклада (2nd Proposed Draft Technical Report, PDTR), опубликованная 17 декабря 2004 г.

Цель данной публикации — дать возможность читателю составить о предлагаемом проекте собственное мнение на основе объективной информации. Оценка проекта, обсуждение его сильных и слабых сторон, рекомендации по исправлению недостатков представлены в отдельном тексте.

Статус проекта

В центральном секретариате ISO проекту был присвоен номер 19791, а статус разрабатываемого документа определен как "Технический доклад типа 2". Это означает, что со временем (хотя и не в ближайшем будущем) текст доклада может быть утвержден в качестве международного стандарта.

Название технического доклада ISO/IEC PDTR 19791 "Security assessment of operational systems", учитывая сложившуюся в руководящих документах ФСТЭК России терминологию, предлагается перевести на русский язык как "Оценка безопасности автоматизированных систем".

В русскоязычном изложении проекта технического доклада везде, где возможно, использовалась терминология, принятая в национальном стандарте ГОСТ Р ИСО/МЭК 15408-2002 "Критерии оценки безопасности информационных технологий", даже если она представлялась не совсем удачной.

Объем и структура технического доклада

Вторая редакция предлагаемого проекта технического доклада насчитывает 170 страниц, 160 из которых составляют нормативную часть. За титульными страницами, оглавлением, предисловием и введением следуют девять разделов, три приложения и библиография.

В разделе 1 описываются цели и рамки проекта 19791. В разделе 2 собраны нормативные ссылки, точнее, одна ссылка — на международный стандарт ISO/IEC 15408:2005 (все части). Раздел 3 содержит термины и определения, раздел 4 — перечень сокращений. В разделе 5 описана структура технического доклада, в разделе 6 — принятый подход, в разделе 7 — расширение существующих в стандарте ISO/IEC 15408 концепций оценки на автоматизированные системы, в разделе 8 — связь с существующими стандартами безопасности. Раздел 9 является руководством по проведению оценки автоматизированных систем.

Приложение A регламентирует структуру и содержание системных профилей защиты и заданий по безопасности. Приложение B содержит перечень системных функциональных требований, приложение C — перечень системных требований доверия к безопасности.

Цели проекта

Основная цель проекта 19791 — расширить международный стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (Evaluation Criteria for IT Security), чтобы сделать возможной оценку безопасности систем, находящихся в производственной эксплуатации. Подобное расширение необходимо, поскольку стандарт ISO/IEC 15408 в его нынешнем виде хотя и позволяет специфицировать программно-техническую функциональность безопасности как для продуктов, так и для систем информационных технологий (ИТ), но не охватывает ряд критически важных аспектов действующих, эксплуатируемых (автоматизированных) систем, точные спецификации которых необходимы для эффективного оценивания.

Проект содержит расширенные критерии оценки и рекомендации по оцениванию как программно-технических, так и административных и процедурных аспектов автоматизированных систем (АС). Применение комплексного подхода, охват мер всех уровней, направленных на обеспечение информационной безопасности, равно как и всех этапов жизненного цикла АС — еще одна цель проекта.

Проект ориентирован не только на оценщиков, но и на разработчиков, системных интеграторов и эксплуатационщиков АС, поскольку эти специалисты должны понимать, что требуется для получения положительной оценки.

Технический доклад может стать международным стандартом (и это — одна из целей проекта) после формализации предлагаемых концепций и подходов и получения необходимого опыта их применения. Очевидно, процесс этот длительный и трудоемкий.

Международные стандарты, на которые опирается проект

Базовым для проекта 19791 является международный стандарт ISO/IEC 15408. В нем определен современный понятийный аппарат и подходы к оценке изделий информационных технологий. Общая концепция, выделение функциональных требований и требований доверия к безопасности, формирование заданий по безопасности и профилей защиты — все это важные достижения, которые закрепляются и развиваются в рассматриваемом проекте. Развитие идет по четырем основным направлениям:

  • >ориентация на оценку действующих автоматизированных систем;
  • >реализация комплексного подхода к информационной безопасности, охват мер административного и процедурного уровней;
  • >охват всех этапов жизненного цикла автоматизированных систем;
  • >декомпозиция сложных систем на домены безопасности.

Международный стандарт ISO/IEC 15408 ориентирован в первую очередь на оценку продуктов информационных технологий. Среда, в которой функционируют или должны функционировать подобные продукты, специфицируется в общем виде, в форме предположений о среде. Действующие автоматизированные системы окружены вполне определенной, конкретной средой, которую можно и нужно учитывать в процессе оценивания безопасности.

Международный стандарт ISO/IEC 15408 ограничен рамками программно-технического уровня информационной безопасности. Для оценки продуктов информационных технологий этого, в принципе, достаточно; для систем, находящихся в производственной эксплуатации, — нет. В рассматриваемом проекте фигурируют функциональные требования и требования доверия к безопасности, относящиеся прежде всего к процедурному, а также к административному уровням информационной безопасности. Считается, что меры программно-технического уровня заимствуются из стандарта ISO/IEC 15408.

Как и в стандарте ISO/IEC 15408, в предлагаемом проекте с мерами и механизмами безопасности (как техническими, так и организационными) ассоциированы соответствующие управляющие меры и механизмы. Например, с техническими средствами разграничения доступа ассоциированы управляющие меры регистрации атрибутов пользователей; с организационными правилами присвоения ролей пользователям ассоциированы административные процедуры управления пользовательскими ролями.

Для обеспечения информационной безопасности продуктов ИТ определяющим является этап разработки, и это нашло отражение в стандарте ISO/IEC 15408. Для действующих систем важны все этапы жизненного цикла, вплоть до выведения из эксплуатации. Это нашло отражение в рассматриваемом проекте.

В международном стандарте ISO/IEC 15408 объект оценки рассматривается как единое целое, с единым набором требований и единой оценкой. Для сложных автоматизированных систем это может оказаться неприемлемым. Целесообразно структурировать сложную систему на домены с разными рисками, требованиями и разной политикой безопасности, что и сделано в рассматриваемом проекте.

Меры безопасности административного и процедурного уровней, включенные в технический доклад, в значительной степени заимствованы из международного стандарта ISO/IEC 17799. Важное отличие, однако, состоит в том, что упомянутый стандарт ориентирован на разработчиков и эксплуатационщиков, а рассматриваемый проект — в первую очередь на оценщиков. Соответственно, положения стандарта ISO/IEC 17799 переформулированы так, чтобы служить критериями оценки безопасности.

Основные понятия, включенные в проект

Поскольку рассматриваемый проект является расширением международного стандарта ISO/IEC 15408, все основные понятия упомянутого стандарта применимы и к проекту 19791. Из вновь введенных понятий выделим следующие.

  • >Автоматизированная система — информационная система, включая нетехнические аспекты, рассматриваемая в контексте эксплуатационной среды.
  • >Верификация — процесс оценки, призванный подтвердить, что регуляторы безопасности автоматизированной системы реализованы корректно и эффективно выполняют отведенную им роль.
  • >Домен безопасности — часть автоматизированной системы, реализующая единый набор политик безопасности.
  • >Подсистема — набор компонентов автоматизированной системы, способный функционировать отдельно от остальных частей АС.
  • >Регуляторы безопасности — административные, процедурные и программно-технические регуляторы (то есть защитные механизмы и контрмеры), предназначенные для обеспечения конфиденциальности, целостности и доступности автоматизированной системы и обрабатываемой ею информации. Подразумевается также обеспечение подотчетности, аутентичности, неотказуемости, приватности и надежности — свойств, которые рассматриваются некоторыми авторами как отличные от конфиденциальности, целостности и доступности.
  • >Уязвимость — дефект или слабое место в проекте или реализации автоматизированной системы (включая регуляторы безопасности), которые могут быть умышленно или неумышленно использованы для вредоносного воздействия на активы организации и/или ее функционирование.

Многие основные понятия проекта 19791 получаются из аналогичных понятий стандарта ISO/IEC 15408 добавлением слов "системный", "система", например: "системный профиль защиты" (СПЗ), "системное задание по безопасности" (СЗБ), "доверие к безопасности системы" (ДБС), "системная функциональность безопасности" (СФБ), "системный объект оценки" (СОО).

Модель автоматизированной системы

Наряду с приведенным выше определением автоматизированной системы, в докладе анализируются важнейшие свойства подобных систем.

Автоматизированные системы по своей природе сложны, они строятся из подсистем, часть из которых уникальны и являются результатом собственных разработок, другие же образованы типовыми продуктами общего назначения от различных производителей. Система в целом может строиться из подсистем системным интегратором, который не выполняет собственных разработок, обеспечивая лишь взаимосвязь и конфигурирование.

Автоматизированные системы взаимодействуют с другими системами и зависят от них. Как правило, автоматизированные системы обладают следующими свойствами:

  • >находятся под контролем одного владельца;
  • >строятся для достижения определенных целей и для функционирования в определенном режиме;
  • >подвержены частым изменениям, как в плане технического устройства, так и в плане эксплуатационных требований;
  • >состоят из значительного, порой очень большого числа компонентов;
  • >содержат покупные компоненты с большим числом возможных вариантов конфигурирования;
  • >оставляют за владельцем выбор баланса между техническими и нетехническими мерами безопасности;
  • >содержат компоненты с различными уровнями и типами доверия к безопасности.

Оцениваемая автоматизированная система может взаимодействовать с другими АС и/или входить в состав более крупной системы. Системный объект оценки (СОО) включает в себя как технические средства, так и их эксплуатационную среду. Его граница пролегает там, где кончается непосредственный контроль системы. Все остальное рассматривается как внешняя АС.

У автоматизированной системы есть множество предоставляемых ею функций, внешние интерфейсы, а также внутренняя структура и внутренние интерфейсы. Каждый компонент может предоставлять одну или несколько функций и быть реализованным в виде одного или нескольких продуктов ИТ.

Автоматизированная система может состоять из нескольких доменов безопасности с различными функциональными требованиями и требованиями доверия к безопасности. Может быть определена общая политика безопасности АС, общие цели и требования безопасности, общая документация. В дополнение возможно существование аналогичного набора для каждого домена безопасности, содержащего специфическую для домена информацию.

В качестве иллюстрации многодоменного СОО в техническом докладе приведена система, построенная в архитектуре клиент/сервер, с использование прикладного и базового программного обеспечения, а также ПО промежуточного слоя. Базовое ПО может быть предварительно сертифицировано в соответствии с требованиями стандарта ISO/IEC 15408, для других компонентов возможно существование отдельных свидетельств доверия к безопасности. Для некоторых компонентов получение подобных свидетельств проблематично, и оценщик должен подходить к ним как к "черному ящику". Это еще один аспект разнородности системных объектов оценки.

Таким образом, в рассматриваемой модели АС делается акцент на сложность подобных систем и разнородность их компонентов, а также на наличие альтернативных способов обеспечения их безопасности — технических и организационных.

Полную версию можно скачать: ссылка





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.