2.11.3. Гарантированность

Гарантированность обеспечиваемого уровня защи­ты сначала рассматривалась разработчиками стандар­тов только для высших уровней безопасности. Поэтому «Оранжевая книга» предусматривала обязательное применение формальных методов верификации только при создании систем высшего класса защищенности (класс А). Однако необходимость контроля корректно­сти реализации и подтверждения эффективности средств защиты для систем всех уровней была осознана достаточно быстро. Уже в «Европейских критериях» появляется специальный раздел требований — требо­вания адекватности, которые регламентируют техноло­гию и среду разработки, а также контроль за этим про­цессом. К сожалению, документы ГТК практически полностью проигнорировали этот, на наш взгляд ключевой аспект безопасности информационных техноло­гии и обошли данный вопрос молчанием. «Феде­ральные критерии» содержат два специальных раздела требований, посвященных решению этой проблемы: требования к технологии разработки и к процессу ква­лификационного анализа. «Канадские критерии» вклю­чают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функцио­нальных требований. «Единые критерии» обеспечивают адекватность задач защиты требованиям потребителей, проекта защиты «Единым критериям» и ИТ-продукта проекту защиты с помощью многоэтапного контроля.

2.11.4. Реализуемость

Плохие показатели реализуемости говорят о прак­тической бесполезности стандарта, поэтому все рас­смотренные документы отвечают этому показателю в достаточной или высокой степени. Реализация требо­ваний «Оранжевой книги», за исключением высшего класса (класса А), большой сложности не представляет. Это подтверждается большим числом систем, сертифицированных на соответствие классам В и С (около 30 систем). Авторам известна только две системы, серти­фицированные на соответствие классу А, причем поли­тика безопасности в одной из них реализована на аппа­ратном уровне с помощью контроля операндов каждой инструкции, т. е. разработчикам пришлось спроектиро­вать и реализовать специальный процессор.

Остальные стандарты решали эту проблему за счет гибкости предлагаемых требований и критериев. О «Канадских критериях» стоит упомянуть особо — сво­им нетрадиционным толкованием понятий «объект» и «субъект» они осложняют разработчикам процесс реа­лизации предложенных в них требований, что опреде­ляет уровень их соответствия данному показателю только как достаточный. «Единые критерии» и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет потрясающей степени под­робности функциональных требований (76 требова­ний), фактически служащих исчерпывающем руково­дством для разработки средств защиты. Отметим, что это единственный показатель, по которому документы ГТК не отстают от остальных стандартов информаци­онной безопасности.

2.11.5. Актуальность

Актуальность стандартов информационной безопас­ности возрастала с расширением сферы их применения и появлением опыта их использования. «Оранжевая кни­га», хотя и содержит предпосылки для противодействия всем основным видам угроз, содержит требования в ос­новном направленные на противодействие угрозам кон­фиденциальности, что объясняется ее ориентированно­стью на системы военного назначения. «Европейские критерии» находятся примерно на том же уровне, хотя и уделяют угрозам целостности гораздо больше внимания. Документы ГТК с точки зрения этого показателя выгля­дят наиболее отсталыми — уже в самом их названии оп­ределена единственная рассматриваемая в них угроза — несанкционированный доступ. «Федеральные критерии» рассматривают все виды угроз достаточно подробно и предлагают механизм профилей защиты для описания угроз безопасности, присущих среде эксплуатации кон­кретного ИТ-продукта, что позволяет учитывать специ­фичные виды угроз. «Канадские критерии» ограничива­ются типовым набором угроз безопасности. «Единые критерии» ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы, что позволяет говорить о качественно новом подходе к проблеме безопасности информационных тех­нологий.

В качестве основных тенденций развития стандартов информационной безопасности можно указан»:

1. Развитие стандартов позволяет проследить движе­ние от единой шкалы ранжирования требований и кри­териев к множеству независимых частных показателей и введению частично упорядоченных шкал.

2. Неуклонное возрастание роли требований адек­ватности к реализации средств защиты и политики безо­пасности свидетельствует о преобладании «качества» обеспечения защиты над ее «количеством».

3. Определение ролей производителей, потребителей и экспертов по квалификации ИТ-продуктов и разделе­ние их функций говорит о зрелости стандартов обеспе­чения безопасности информационных технологий.

4. Разделение ролей участников процесса создания и эксплуатации защищенных систем, применение соответ­ствующих механизмов и технологий приводит к разум­ному распределению ответственности между всеми уча­стниками этого процесса.

5. Интернационализация стандартов отражает со­временные тенденции к объединению и стремление к созданию безопасного всемирного информационного пространства.

2.12. Заключение

Итак, мы рассмотрели стандарты информационной безопасности, начиная от самых первых и заканчивая самым современным, вобравшим в себя весь опыт при­менения предшествующих ему документов. Что это дает для решения поставленной задачи — построения защи­щенной системы, кроме изучения накопившегося за че­тырнадцать лет опыта обеспечения безопасности?

Во-первых, мы прояснили задачи, которые должны быть решены в ходе создания защищенной системы (задачи защиты): эффективное противостояние угрозам безопасноести, действующим в среде ее эксплуатации, и корректная реализация пол тики безопасности.

Во-вторых, определился набор функциональных возможностей, которые должны (или могут) быть реали­зованы в защищенной системе. Он представлен в виде таксономии функциональных требований или критери­ев, приведенной для каждого стандарта.

В-третьих, впервые в отечественной литературе пред­ставлены наиболее существенные элементы современных технологий создания защищенных систем — механизмы профиля защиты и проекта защиты.

Представленный материал позволяет сформулиро­вать задачи каждого из участников процесса создания защищенных систем (потребители, производители, экс­перты по квалификации), которые должны быть решены для достижения поставленной цели. Наряду с исследо­ванием причин нарушений безопасности (глава 3) и ме­тодикой корректной реализации моделей безопасности (глава 4, II тома), рассмотренный материал служит осно­вой для технологии создания защищенных систем, кото­рая будет представлена в пятой главе II тома.

Литература к главе 2

1. Гостехкомиссия России. Руководящий документ. Концепция за­щиты средств вычислительной техники от несанкционированного доступа к информации. Москва, 1992 г.