· обеспечение работоспособности систем с помо­щью противодействия угрозам отказа в обслужи­вании.

Для того чтобы удовлетворить требованиям конфи­денциальности, целостности и работоспособности, необ­ходимо реализовать соответствующий набор функций безопасности, таких, как идентификация и аутентифика­ция, управление доступом, восстановление после сбоев и т. п. Чтобы средства защиты можно было признать эф­фективными, требуется определенная степень уверенно­сти в правильности их выбора и надежности функционирования. Для решения этой проблемы в «Европейских критериях» впервые вводится понятие адекватности (assurance) средств защиты.

Адекватность включает в себя два аспекта: эффек­тивность, отражающую соответствие средств безопасно­сти решаемым задачам, и корректность, характеризую­щую процесс их разработки и функционирования. Эф­фективность определяется соответствием между задача­ми, поставленными перед средствами безопасности, и реализованным набором функций защиты — их функ­циональной полнотой и согласованностью, простотой использования, а также возможными последствиями ис­пользования злоумышленниками слабых мест защиты. Под корректностью понимается правильность и надеж­ность реализации функций безопасности.

Общая оценка уровня безопасности системы склады­вается из функциональной мощности средств защиты и уровня адекватности их реализации.

2.6.2. Функциональные критерии

В «Европейских критериях» средства, имеющие от­ношение к информационной безопасности, рассматри­ваются на трех уровнях детализации. На первом уровне рассматриваются цели, которые преследует обеспечение безопасности, второй уровень содержит спецификации функций защиты, а третий — реализующие их механиз­мы. Спецификации функций защиты предлагается' рас­сматривать с точки зрения следующих требований:

· идентификация и аутентификация;

· управление доступом:

· подотчетность;

· аудит;

· повторное использование объектов;

· целостность информации;

· надежность обслуживания,

· безопасность обмена данными

Большинство из перечисленных тре6ований совпадают с аналогичными требованиями «Оранжевой книги». Остановимся лишь на специфичных для «Европейских критериев» моментах.

Требования безопасности обмена данными регламентируют работу средств, обеспечивающих безопас­ность данных, передаваемых но каналам связи, и включают следующие разделы:

· аутентификация,

· управление доступом,

· конфиденциальность данных,

· целостность данных,

· невозможность отказаться от совершенных действий.

Набор функций безопасности может специфициро­ваться с использованием ссылок на заранее определен­ные классы-шаблоны. В «Европейских критериях» таких классов десять. Пять из них (F-C1, F-C2, F-B1. F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги» с аналогичными обозначениями. Рассмотрим подробнее другие пять классов, так как их требования отражают точку зрения разработчиков стандарты на проблему безопасности.

Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных. Его описание основано на концепции «ролей», соответствующих видам деятельности пользователей, и предоставлении доступа к определенным объемам только посредством доверен­ных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание. переименование и выполнение объектов

Класс F-AV характеризуется повышенными трe6oваниями к обеспечению работоспособности. Это существенно, например, для систем управления технологическими процессами В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компонента таким об­разом, чтобы все критически важные функции постоян­но оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Незави­симо от уровня загрузки должно гарантироваться оп­ределенное время реакции системы на внешние собы­тия.

Класс F-DI ориентирован на распределенные систе­мы обработки информации. Перед началом обмена и при получении данных стороны должны иметь возмож­ность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок. В ча­стности, при пересылке данных должны обнаруживать­ся все случайные или намеренные искажения адресной и пользовательской информации. Знание алгоритма об­наружения искажений не должно позволять злоумыш­леннику производить нелегальную модификацию пере­даваемых данных. Должны обнаруживаться попытки повторной передачи ранее переданных сообщений.

Класс F-DC уделяет особое внимание требованиям к конфиденциальности передаваемой информации. Ин­формация по канатам связи должна передаваться в за­шифрованном виде. Ключи шифрования должны быть защищены от несанкционированного доступа.

Класс F-DX предъявляет повышенные требования и к целостности и к конфиденциальности информации. Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и защиты от анализа трафика. Должен быть ограничен доступ к ранее переданной информации, которая, в принципе может способствовать проведению крипто­анализа.

2.6.3. Критерии адекватности

«Европейские критерии» уделяют адекватности средств защиты значительно больше внимания, чем функциональным требованиям. Как уже говорилось адекватность складывается из двух компонентов — эф­фективности И корректности работы средств защиты. Для оценки степени адекватности используются сле­дующие критерии (см. рис. 2.2).

«Европейские критерии» определяют семь уровней адекватности -— от Е0 до Е6 (в порядке её возрастания). Уровень ЕО обозначает минимальную адекватность (аналог уровня D «Оранжевой книги»). При проверке адекватности анализируется весь жизненный цикл сис­темы от начальной фазы проектирования до экс­плуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тща­тельности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тес­тированием. На уровне ЕЗ к анализу привлекаются ис­ходные тексты программ и схемы аппаратного обеспе­чения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.

Степень безопасности системы определяется самым слабым из критически важных механизмов защиты. В «Европейских критериях» определены три уровня безо­пасности — базовый, средний и высокий. Безопасность считается базовой, если средства защиты способны противостоять отдельным случайным атакам. Безопас­ность считается средней, если средства защиты способ­ны противостоять злоумышленникам, обладающим ог­раниченными ресурсами и возможностями. Наконец, безопасность можно считать высокой, если есть уве­ренность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за рамки разумного.