logo search
БОГУШ,ЮДИН

8.4.3 Рівні гарантій безпеки

Визначення рівнів гарантій

Рівні гарантій [Evaluation Assurance Level (EAL)] — в "Загаль­них критеріях" — це сім стандартизованих наборів вимог гаран­тій безпеки, що регламентують застосування різноманітних мето­дів і технологій розробки, тестування, контролю та верифікації ІТ-продукту:

362

Розділ 8 Критерії безпеки інформаційних технологій

Колений з рівнів визначає ступінь відповідності ІТ-продукту ко­леній вимозі гарантій (гарантії зростають від першого рівня до сьо­мого. Назви рівнів відображають можливості засобів контролю і ве­рифікації, що застосовуються в ході розробки та аналізу ІТ-продукту (рис. 8.8).

Рис. 8.8. Рівні гарантій безпеки

363

Частина II Основи безпеки інформаційних технологій

Функціональне тестування

Рівень функціонального тестування [EAL1 — functionally tested] - перший рівень гарантій для випадків, коли загрозам безпеці не надається великого значення. Пропонується використати його в тих ситуаціях, коли все, що необхідно — це незалежна гарантія того, що до складу ІТ-продукту входять засоби захисту персональної або подібної інформації.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом у розділі ВГБ: керування вер­сіями — нумерація версій.

У класі ВГБ: дистрибуція в розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

У класі ВГБ: документація:

У класі ВГБ: тестування в розділі ВГБ: незалежне тестування — готовність продукту до незалежного тестування.

Аналіз ІТ-продукту на відповідність даному рівню гарантій за­безпечується дослідженням функцій захисту та перевіркою функціо­нальних специфікацій, інтерфейсів та документації.

Результати аналізу підтверджуються незалежним тестуванням засобів захисту ІТ-продукту на відповідність специфікаціям і доку­ментації.

Сертифікація ІТ-продукту на даний рівень гарантій є підтвер­дженням відповідності властивостей ІТ-продукту його документації та специфікаціям, а також наявності працездатності захисту проти загроз безпеці.

Структурне тестування

Рівень структурного тестування [EAL2 — structurally tested] - другий рівень гарантій, призначений для використання при об-

364

Розділ 8 Критерії безпеки інформаційних технологій

ставинах, коли розробники або користувачі згодні задовольнитися низьким або помірним ступенем незалежного підтвердження гаран­тій рівня безпеки, який необхідно забезпечити. Особливо рекомен­дують застосування даного рівня для успадкованих систем, які вже знаходяться в експлуатації.

Другий рівень гарантій відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом у розділі ВГБ: керування вер­сіями — ідентифікація компонентів.

У класі ВГБ: дистрибуція:

У класі ВГБ: розробка:

У класі ВГБ: документація:

У класі ВГБ: тестування:

У класу ВГБ: оцінка захисту:

Розробка продукту відповідно до вимог даного рівня не вима­гає від виробника ніяких додаткових витрат, порівняно з розробкою звичайних комерційних або промислових продуктів, окрім надання результатів тестування.

365

Частина II Основи безпеки інформаційних технологій

Для другого рівня аналіз повинен проводитися не тільки по відно­шенню функціональних специфікацій, інтерфейсів та документації, але й для архітектури захисту ІТ-продукту.

Крім незалежного тестування засобів захисту ІТ-продукту ре­зультати аналізу підтверджуються протоколами тестування фун­кціональних специфікацій, наданих розробником, а також незале­жним вибірковим контролем результатів цих випробувань та глиби­ни проведеного тестування, і незалежним підтвердженням пошуку розробником явних уразливостей. Крім того, для цього рівня необ­хідна наявність документованого складу конфігурації продукту та доказ безпеки процедури поставки.

Даний рівень розширює вимоги попереднього за рахунок вклю­чення в матеріали, що підтверджують аналіз результатів тестів, про­ведених розробником ІТ-продукту, необхідністю здійснення аналізу уразливостей та незалежного тестування з використанням більш де­тальних специфікацій.

Методичне тестування та перевірка

Рівень методичного тестування та перевірки [EAL3 —

methodically tested and checked] — третій рівень гарантій, призна­чений для використання при обставинах, коли розробникам або ко­ристувачам потрібна помірна ступінь незалежного підтвердження властивостей ІТ-продукту, а також повне і послідовне досліджен­ня властивостей продукту і контроль в процесі створення, але без проведення дорогого зворотного проектування [reengineering].

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом:

У класі ВГБ: дистрибуція:

У класі ВГБ: розробка:

366

Розділ 8 Критерії безпеки інформаційних технологій

• у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності.

У класі ВГБ: документація:

У класі ВГБ: процес розробки в розділі ВГБ: безпека середовища розробки — застосування заходів безпеки в ході розробки.

У класі ВГБ: тестування:

У класі ВГБ: оцінка захисту:

Цей рівень дозволяє одержати максимальну ступінь гарантій, яка не потребує ніяких змін у звичайну процедуру розробки, оскільки всі регламентовані ним заходи, спрямовані на забезпечення гарантій, застосовуються на етапі проектування.

Для цього рівня проводяться ті ж види аналізу, що і для друго­го рівня, але на доповнення до матеріалів тестування специфікацій функцій захисту від розробника вимагається надання результатів ар­хітектури захисту ІТ-продукту. Вимоги до процесу створення проду­кту доповнюються використанням засобів управління конфігурацією проекту.

Рівень розширює вимоги попереднього за рахунок більш повного тестування функцій захисту та засобів їхньої реалізації, а також за­стосуванням заходів, які дають упевненість у тому, що ІТ-продукт не був підмінений в процесі розробки.

367

Частина II Основи безпеки інформаційних технологій

Методична розробка, тестуваннята аналіз

Рівень методичної розробки, тестування та аналізу [EAL4 - methodically designed, tested and reviewed] — четвертий рівень га­рантій, призначений для використання при обставинах, коли розро­бники або користувачі вимагають помірного або високого ступеню незалежного підтвердження гарантій захисту ІТ-продукту і готові нести певні додаткові витрати.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом:

У класі ВГБ: дистрибуція:

У класі ВГБ: розробка:

У класі ВГБ: документація:

У класі ВГБ: процес розробки:

368

Розділ 8 Критерії безпеки інформаційних технологій

У класі ВГБ: тестування:

У класі ВГБ: оцінка захисту:

Цей рівень, незважаючи на достатньо сильні вимоги, не потре­бує від розробника спеціальних знань у галузі розробки захищених систем та застосування спеціальних методів і технологій, які відрі­зняються від загальноприйнятих. Це найвищий рівень гарантій, на який можна розраховувати без значних додаткових економічних ви­трат.

На відміну від попередніх рівнів для сертифікації продукції на четвертий рівень гарантій аналізу піддаються всі інтерфейси без ви­ключення, усі часткові специфікації, а також деталі реалізації за­собів захисту. Крім того повинна бути представлена неформальна політика безпеки.

Додатково до попереднього рівня результати аналізу піддаються незалежним дослідженням уразливостей засобів захисту, які демон­струють стійкість системи проти слабких атак. Вимоги до процесу створення продукту розширюються додатковими вимогами застосу­вання автоматизованих засобів керування конфігурацією.

Даний рівень відрізняється від попереднього посиленням вимог до процесу проектування та розробки, а також підсиленням заходів,

369

Частина II Основи безпеки інформаційних технологій

які гарантують, що ІТ-продукт не був підміненим у процесі створе­ння.

Напівформальні методи розробки та тестування

Рівень напівформальних методів розробки та тестуван­ня [EAL5 - semiformally verified design and tested] — п'ятий рівень гарантій, призначений для використання в тих випадках, коли роз­робники або користувачі вимагають високого ступеню незалежного підтвердження гарантій засобів захисту, а також строгого застосу­вання певних технологій розробки ІТ-продукту, але без надмірних витрат.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом:

У класі ВГБ: дистрибуція:

У класі ВГБ: розробка:

У класі ВГБ: документація:

370

Розділ 8 Критерії безпеки інформаційних технологій

У класі ВГБ: процес розробки:

У класі ВГБ: тестування:

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз продукту на наявність уразливостей — си­стематичний аналіз уразливостей на основі заданих методик.

Цей рівень вимагає від розробника застосування певних техноло­гій та методів розробки, проте, їхнє використання може обмежува­тися проектуванням та реалізацією засобів захисту.

На відміну від попередніх рівнів аналізу піддаються всі засоби захисту без виключення. Крім того, необхідна наявність формаль­ної моделі політики безпеки та напівформальне представлення фун­кціональних специфікацій та архітектури захисту, а також напів-формальна демонстрація їхньої взаємної відповідності. Архітектура ІТ-продукту повинна відповідати вимогам модульності.

Додатково до попередніх рівнів для підтвердження результатів аналізу необхідне тестування розробником часткових специфікацій,

371

Частина II Основи безпеки інформаційних технологій

ааналіз уразливостей повинен демонструвати стійкість проти атакпомірної сили, крім того, необхідна незалежна перевірка проведеного розробником аналізу схованих каналів.

Вимоги до процесу розробки доповнюються необхідністю розши­рення складу конфігурації продукту, керованої за допомогою авто­матичних засобів.

Таким чином, цей рівень посилює вимоги попереднього в частині напівформального опису процесу проектування та реалізації, більш структурованої архітектури захисту, більш ретельного аналізу схо­ваних каналів, більш повного контролю в процесі розробки.

Напівформальні методи верифікації розробки та тестування

Рівень напівформальних методів верифікації розробки та тестування [EAL6 — semiformally verified design andtested] — шо­стий рівень гарантій, призначений для використання в ситуаціях із високим ступенем ризику, де цінність інформації, що захищається, виправдовує високі додаткові витрати.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом:

У класі ВГБ: дистрибуція:

У класі ВГБ: розробка:

372

Розділ 8 Критерії безпеки інформаційних технологій

У класі ВГБ: документація:

У класі ВГБ: процес розробки:

У класі ВГБ: тестування:

У класі ВГБ: оцінка захисту:

Даний рівень вимагає строгого та послідовного застосування пев­них методів проектування та розробки, які дозволяють забезпечува­ти гарантії захисту при експлуатації в умовах підвищеного ризику.

Вимоги цього рівня доповнюють попередні необхідністю стру-

373

Частина II Основи безпеки інформаційних технологій

ктурного опису реалізації продукту та напівформального поданнячасткових специфікацій, а також вимогою багаторівневої архітекту­ри.

Для підтвердження результатів аналізу крім заході, передбаче­них п'ятим рівнем, аналіз уразливостей повинен демонструвати стій­кість системи проти сильних атак, а повинні бути одержані незале­жні підтвердження проведення розробником систематичного пошуку схованих каналів.

Вимоги до процесу розробки розширюються необхідністю стру-ктурування цього процесу та повної автоматизації керування конфі­гурацією проекту.

Рівень розширює вимоги попереднього застосуванням більш гли­бокого аналізу, структуризацією представлення ІТ-продукту, багато­рівневою архітектурою, посиленням аналізу уразливостей, застосу­ванням систематичного пошуку схованих каналів, а також удоско­наленням керування конфігурацією та середовища розробки.

Формальні методи верифікації розробки та тестування

Рівень формальних методів верифікації розробки та те­стування [EAL7 — formally verified design and tested] — сьомий рівень гарантій, призначений для використання в ситуаціях із ви­ключно високим ступенем ризику, і (або) там, де цінність об'єктів, які захищаються, виправдовує високі додаткові витрати. Практичне застосування цього рівня на даний час обмежене компактними ІТ-продуктами, в яких сконцентровані засоби захисту, і які легко під­даються формальному аналізу.

Сьомий рівень гарантій відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом:

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — захист від спотворень у процесі по­ставки;

374

Розділ 8 Критерії безпеки інформаційних технологій

• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.

У класі ВГБ: розробка:

У класі ВГБ: документація:

У класі ВГБ: процес розробки:

У класі ВГБ: тестування:

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз схованих каналів — пошук схованих каналів на основі певних методів;

375

Частина II Основи безпеки інформаційних технологій

На відміну від попередніх рівнів необхідне формальне подання функціональних специфікацій та архітектури захисту, а також фор­мальна та напівформальна демонстрація відповідності між ними. Архітектура системи повинна бути не тільки модульною, але й про­стою та зрозумілою.

Додатково до попередніх рівнів результати аналізу вимагають підтвердження тестуванням форми реалізації, а також обґрунтова­ним незалежним підтвердженням усіх результатів проведених роз­робником випробувань.

Таким чином, цей рівень підсилює вимоги попереднього за раху­нок більш послідовного аналізу з використанням формального опису системи на різних рівнях подання та формального доказу взаємної відповідності цих описів, а також всеохоплюючого тестування.