Általános kritériumok

General Criteria for Information Technology Security Evaluation , Common Criteria for Information Technology Security Evaluation , Common Criteria , CC ) egy Oroszországban elfogadott nemzetközi számítógép-biztonsági szabvány [ 3] [  2 ] . A FIPS 140 [4] szabvánnyal ellentétben a Common Criteria nem ad listát a biztonsági követelményekről vagy azon funkciókról, amelyeket a terméknek tartalmaznia kell. Ehelyett olyan keretrendszert ír le , amelyben a számítógépes rendszer fogyasztói leírhatják a követelményeket, a fejlesztők igényelhetik a termékek biztonsági tulajdonságait, a biztonsági szakértők pedig meghatározzák, hogy egy termék kielégíti-e az igényeket. Így a Common Criteria lehetővé teszi olyan feltételek biztosítását, amelyek mellett a termék leírásának, fejlesztésének és tesztelésének folyamata a szükséges alapossággal történik.  

Ennek a dokumentumnak a prototípusa az " IT biztonság értékelési kritériumai , ECITS " volt , amelyen a munka 1990 - ben kezdődött . 

Alapfogalmak

A szabvány két fő biztonsági követelménytípust tartalmaz: funkcionális , a biztonsági funkciókra és az azokat megvalósító mechanizmusokra támasztott , valamint a technológiára, valamint a fejlesztési és üzemeltetési folyamatra támasztott biztosítási követelményeket .

A követelménytér felépítéséhez a szabvány az osztály-család-összetevő-elem hierarchiát használja: az osztályok a követelmények legáltalánosabb, „alanyi” csoportosítását határozzák meg, az osztályon belüli családok a követelmények súlyosságában és egyéb árnyalataiban különböznek, egy komponens a minimum. egészében megjelenő követelményrendszer, elem oszthatatlan követelmény.

Funkcionális követelmények

A funkcionális követelményeket az általuk betöltött szerep vagy az általuk kiszolgált biztonsági cél alapján csoportosítják, összesen 11 funkcionális osztályt (három csoportban), 66 családot, 135 összetevőt.

1. Az első csoport az elemi biztonsági szolgáltatásokat határozza meg:
   1. FAU - audit , biztonság (szolgáltatási követelmények, naplózás és audit);
   2. FIA - Azonosítás és hitelesítés ;
   3. FRU - erőforrás-használat (a hibatűréshez).
2. A második csoport az elemiek alapján megvalósított származékos szolgáltatásokat írja le:
   1. FCO - kommunikáció (a kommunikációs küldő-vevő biztonsága);
   2. FPR - adatvédelem;
   3. FDP - felhasználói adatok védelme;
   4. FPT - az értékelés tárgyának biztonsági funkcióinak védelme.
3. Az osztályok harmadik csoportja az értékelés tárgyának infrastruktúrájához kapcsolódik:
   1. FCS - kriptográfiai támogatás (kriptokulcsok és titkosítási műveletek kezelését biztosítja);
   2. FMT - biztonsági menedzsment;
   3. FTA - hozzáférés az értékelés tárgyához (felhasználói munkamenetek kezelése);
   4. FTP - megbízható útvonal/csatorna;

Az elemi biztonsági szolgáltatások funkcionális követelményeinek osztályai

Az alapvető biztonsági szolgáltatások a következő FAU, FIA és FRU osztályokat foglalják magukban.

A FAU osztály hat családot tartalmaz (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA és FAU_ARP), és mindegyik család különböző számú összetevőt tartalmazhat.

Az osztály összetevőinek célja a következő.

FAU_GEN – Biztonsági audit adatok generálása. Két komponenst tartalmaz: FAU_GEN.1 (Audit Data Generation) és FAU_GEN.2 (User ID Association).

Bizalmi követelmények

A biztonságbiztosítási (bizalmi) követelmények az értékelés tárgya technológiájára, fejlesztési folyamatára és működésére vonatkozó követelmények. 10 osztályra, 44 családra, 93 komponensre osztva, amelyek az életciklus különböző szakaszait fedik le.

1. Az első csoport olyan követelményosztályokat tartalmaz, amelyek megelőzik egy objektum fejlesztését és értékelését:
   1. APE – Védelmi profil értékelése;
   2. ASE – Biztonsági hozzárendelés értékelése.
2. A második csoport az igazolási objektum életciklusának szakaszaihoz kapcsolódik:
   1. ADV - tárgy fejlesztése, tervezése;
   2. ALC - életciklus támogatás;
   3. ACM - konfigurációkezelés;
   4. AGD - rendszergazdai és felhasználói kézikönyv;
   5. ATE - tesztelés;
   6. AVA – Vulnerability Assessment ;
   7. ADO - szállítási és üzemeltetési követelmények;
   8. AMA - biztosítási igények támogatása, az objektum általános kritériumoknak való megfelelőségének tanúsítása után kerül alkalmazásra.

Fejlesztési előzmények

A "Közös kritériumok" kidolgozását megelőzte az "Informatikai biztonság értékelési kritériumai" ( eng.  Evaluation Criteria for IT Security, ECITS ) című dokumentum kidolgozása, amelyet 1990 -ben indítottak el , és amelyet a 27. albizottság 3. munkacsoportja végzett. az első közös műszaki bizottság (vagy JTC1/SC27/WG3) Nemzetközi Szabványügyi Szervezet ( ISO ).

Ez a dokumentum szolgált alapul a Common Criteria for IT Security Evaluation dokumentumon , amely 1993-ban kezdődött .  Hat ország ( USA , Kanada , Németország , Nagy-Britannia , Franciaország , Hollandia ) kormányzati szervezete vett részt ebben a munkában. A projektben a következő intézetek vettek részt:

1. Nemzeti Szabványügyi és Technológiai Intézet és Nemzetbiztonsági Ügynökség ( USA );
2. Kommunikációs biztonsági szervezet ( Kanada );
3. Információbiztonsági Ügynökség ( Németország );
4. IT-biztonsági és tanúsítási programokat végrehajtó szervek ( Anglia );
5. Rendszerbiztonsági Központ ( Franciaország );
6. Nemzetbiztonsági Kommunikációs Ügynökség ( Hollandia ).

A szabványt 2005-ben fogadta el az ISO bizottság, és nemzetközi szabvány státuszú, azonosítószáma ISO/IEC 15408 [2] [3] . Szakmai körökben ez a dokumentum rövid nevet kapott - angol.  Common Criteria, CC ; orosz "Általános kritériumok", OK .

Tanúsítási veszélymodell

A termék által a Közös Kritériumok szerinti tanúsítás megerősítheti a termékbiztonság bizonyos szintjét , a fenyegetés modelljétől és a környezettől függően.

A tanúsítási módszertannak megfelelően a gyártó maga határozza meg a környezetet és a támadó modellt , amelyben a termék található. Ezen feltételezések alapján ellenőrizzük, hogy a termék megfelel-e a megadott paramétereknek. Ha a tanúsítás után új, korábban ismeretlen biztonsági réseket fedeznek fel a termékben , a gyártónak frissítést kell kiadnia, és újra tanúsítania kell. Ellenkező esetben a tanúsítványt vissza kell vonni.

A Microsoft Windows XP operációs rendszer (Professional SP2 és Embedded SP2), valamint a Windows Server 2003 [5] [6] [7] [8] 2005-ben a CAPP profil [9] szerint a Common Criteria EAL4+ szintre tanúsított . -2007, miután szervizcsomagokat és rendszeresen új kritikus biztonsági frissítéseket adtak ki. A Windows XP azonban a tesztelt verzióban továbbra is EAL4+ tanúsítvánnyal rendelkezett, [5] [6] . Ez a tény amellett tanúskodik, hogy a tanúsítás feltételeit (a támadó környezetét és modelljét) nagyon konzervatívan választották meg, aminek következtében az észlelt sebezhetőségek egyike sem alkalmazható a tesztelt konfigurációra.

Természetesen a valódi konfigurációk esetében ezek közül a sebezhetőségek közül sok veszélyes. A Microsoft azt javasolja a felhasználóknak, hogy telepítsenek minden kritikus biztonsági frissítést.

Általános kritériumok Oroszországban

2002-ben az Oroszországi Állami Műszaki Bizottság elnökének utasítására a következő irányelveket [10] léptették életbe , amelyeket a Common Criteria 2.3-as verziójú nemzetközi dokumentumok alapján dolgoztak ki:

• „Az információs technológiák biztonsága. Az információs technológiák biztonságának értékelési kritériumai”;
• „Az információs technológiák biztonsága. Az információtechnológiai biztonság értékelésének kritériumai. 2. rész. Funkcionális biztonsági követelmények”;
• „Az információs technológiák biztonsága. Az információtechnológiai biztonság értékelésének kritériumai. 3. rész. Biztonsági biztosítási követelmények.

Ettől a pillanattól kezdve a hazai tanúsítási rendszerben formálisan is engedélyezett az informatikai termékek biztonsági feladatok követelményeinek megfelelő tanúsítása. Mivel az ilyen megfelelőségi tanúsítványok köre (az automatizált rendszerek osztályai) nem volt kifejezetten meghatározva, az ilyen tanúsítás a legtöbb esetben reklám jellegű volt - a gyártók inkább a klasszikus irányelvek követelményei szerint tanúsították termékeiket.

Az oroszországi FSTEC 2012 óta aktívan dolgozik az információbiztonsági eszközök tanúsítására vonatkozó szabályozási és módszertani keretrendszer frissítésén. Különösen a következő típusú információbiztonsági eszközökre vonatkozó követelmények léptek életbe:

• behatolásérzékelő rendszer; [tizenegy]
• vírusvédelmi eszköz; [12]
• megbízható rendszerindító eszköz; [13]
• cserélhető gépi adathordozók vezérlésére szolgáló eszközök; [tizennégy]
• tűzfal; [tizenöt]
• operációs rendszer. [16]

Az információbiztonsági eszközök bizonyos típusaival szemben támasztott követelmények dokumentumcsomagként vannak kialakítva:

• „Követelmények…” dokumentum: a dokumentum „hivatalos használatra” jelzéssel ellátott, és osztályokat és típusokat határoz meg egy adott terméktípushoz;
• biztonsági profilok, amelyek a termék típusától és osztályától függően meghatározzák a biztonsági funkcionális követelmények és a biztonságbiztosítási követelmények körét.

A védelmi profilok elérhetőek 2017. szeptember 20-i archivált példány a Wayback Machine -en az oroszországi FSTEC hivatalos honlapján Így jelenleg az ilyen típusú termékek tanúsítását az oroszországi FSTEC csak az előírásoknak való megfelelés érdekében végzi. a jóváhagyott védelmi profilokat.

Jegyzetek

1. ↑ Általánosan ismert rövidebb név
2. ↑ 1 2 GOST R ISO/IEC 15408-3-2013, 2014-09-01 óta bevezetve . Hozzáférés dátuma: 2016. január 6. Az eredetiből archiválva : 2016. március 4. (határozatlan)
3. ↑ 1 2 ISO / IEC 15408 - Az IT-biztonság értékelési kritériumai
4. ↑ FIPS 140  
5. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Archiválva 2012. szeptember 21-én a Wayback Machine XP SP2 tanúsítvánnyal, 2007
6. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Archiválva : 2012. október 6. a Wayback Machine XP SP2 tanúsítvánnyal, 2005
7. ↑ A Microsoft Windows megkapta az EAL 4+ tanúsítványt archiválva 2015. szeptember 8-án a Wayback Machine -nél / Schneier, 2005, a „Windows XP kap független biztonsági tanúsítványt” alapján / eWeek,  2005.12.14 .
8. ↑ Windows XP / Server 2003 Common Criteria Evaluation Technical Report archiválva : 2015. június 19., Wayback Machine / Microsoft, 2005 (ZIP, DOC   )
9. ↑ Controlled Access Protection Profile (CAPP), 1.d verzió, 1999. október 8.; – ISO/IEC 15408:1999.
10. ↑ Útmutató dokumentum. Az Orosz Állami Műszaki Bizottság elnökének 2002. június 19-i rendelete, az oroszországi N 187 - FSTEC . fstec.ru. Letöltve: 2017. szeptember 20. Az eredetiből archiválva : 2017. szeptember 20. (Orosz)
11. ↑ Az orosz FSTEC tájékoztató levele (SOV követelményei) . Archiválva az eredetiből 2017. október 6-án. Letöltve: 2017. szeptember 20.
12. ↑ Az oroszországi FSTEC tájékoztató levele (A SAVZ-re vonatkozó követelmények) . Archiválva az eredetiből 2017. szeptember 23-án. Letöltve: 2017. szeptember 20.
13. ↑ Az oroszországi FSTEC tájékoztató levele (az SDZ-re vonatkozó követelmények) . Archiválva az eredetiből 2017. szeptember 14-én. Letöltve: 2017. szeptember 20.
14. ↑ Az oroszországi FSTEC tájékoztató levele (Az SKN-re vonatkozó követelmények) . Archiválva az eredetiből 2017. szeptember 14-én. Letöltve: 2017. szeptember 20.
15. ↑ Az orosz FSTEC tájékoztató levele (Az Energiaügyi Minisztérium követelményei) . Archiválva az eredetiből 2017. szeptember 16-án. Letöltve: 2017. szeptember 20.
16. ↑ Az oroszországi FSTEC tájékoztató levele (az operációs rendszerre vonatkozó követelmények) . Archiválva az eredetiből 2017. október 6-án. Letöltve: 2017. szeptember 20.

Linkek

• Az ISO/IEC 15408 szabványok szövege Archiválva : 2008. május 12. a Wayback Machine -nél , ingyenesen elérhető az  iso.org webhelyről .
• A Common Criteria Project hivatalos honlapja  (angol)
  •  A Common Criteria tanúsítvánnyal rendelkező termékek listája
• A JSC "NPO "Echelon" Kompetencia Központjának elemző anyagai a szabvány szerint Általános kritériumok Archív másolat 2017. szeptember 21-én a Wayback Machine -n