Современные компьютерные системы оснащены определенными способами защиты информации от посторонних и злоумышленников. Без нее невозможно представить ни одну программу или целый комплекс информационных технологий. Классы безопасности необходимы компьютерным системам, поскольку все больше личных данных пользователей и интеллектуальной собственности оказываются в сети, и степень их защиты напрямую влияет на жизни людей. В связи с этим следует рассмотреть существующие виды защиты информации.
Общие сведения
Благодаря проведению стандартизации и систематизации требований и характеристик информационных комплексов с защитой, появилась система национальных и международных стандартов в области защиты и безопасности информации, в которую входит больше сотни документов. Одно из основных мест в этой системе занимает стандарт ISO IEC 15408, по-другому называемый Common Criteria.
История
Начало создания международного стандарта по оценке безопасности и классов безопасности началось в 1990 году Международной организацией по стандартизации. В разработке принимали участие США, Канада, Германия, Англия и Франция. Разработка велась десятилетие лучшими специалистами в мире, и не раз подвергался редактированию. Утверждение стандарта версии 2.1 произошло 8 июня в 1999 году. Общее название Common Criteria, или "Общие критерии оценки безопасности информационных систем".
Созданные "Общие критерии" объединили знания и опыт в использовании "Оранжевой книги", продвинули европейские и канадские критерии безопасности систем и создали реальную структуру профилей защиты федеральных критериев США.
Содержание
В общих положениях классифицирован широкий набор требований к средствам обеспечения компьютерной безопасности, определена структура группировки и способы использования. Главным преимуществом этой системы стало полное изложение требований к безопасности и их упорядочивание, гибкость в использовании и возможности для дальнейшего продвижения. Главные мировые производители технологий того времени сразу создали и поставили заказчикам средства, соответствующие требованиям общих критериев.
Их разработка была выполнена для удовлетворения следующих групп специалистов: производители, потребители ИТ продуктов и экспертов в оценке уровня безопасности технологий. Введенный стандарт обеспечил опору для выбора информационных продуктов, которые должны выполнять требования по функционированию в условиях угрозы безопасности, и служат опорой для разработчиков систем безопасности этих продуктов. Также регламентирована технология создания подобных систем и оценки достигнутого уровня безопасности.
С введением критериев, информационная безопасность рассматривается как совокупность целостности и конфиденциальности данных, которые обрабатывает информационный продукт, и ставят цель по защите продукта и противодействию угрозам, которые могут быть актуальны при эксплуатации определенного продукта. Из этого следует, что в объединенные критерии включены все части проектирования, создания и использования информационных продуктов, которые работают в условиях определенных угроз для безопасности.
Структура
В названный стандарт ISO 15408 входят три части:
- Введение и общее представление.
- Функциональные требования к безопасности.
- Требования гарантированности безопасности.
Из этого списка становится понятно, что общими критериями предусмотрено два типа требований к защите информации: функциональные и гарантированные. Первые имеют отношение к сервисам безопасности, которые включают аутентификацию, идентификацию, управление доступом, аудит и прочее. Гарантированность включает технологию разработки, тестирования, анализа уязвимости, эксплуатации, сопровождения и прочее.
Все классы безопасности и требования к ним имеют общий стиль и организованы в иерархию. Между ними могут существовать зависимости при условии недостаточности возможностей компонента для выполнения цели безопасности и необходимости в наличии другого компонента.
Модели угроз
Для эффективного использования и разработки профиля безопасности, в процессе его создания, выполняется анализ всех угроз, которые могут быть осуществимы в отношении технологии этой группы. Во время этого составляются модели угроз, которые включают в себя следующее:
- жизненный цикл угрозы;
- направление угрозы;
- источник;
- подверженные угрозе системы;
- требующие защиты активы;
- методы и алгоритмы реализации угрозы;
- возможные проблемы;
- риски и другие аспекты.
Проектирование модели угроз
Недостаточно просто предположить, какие опасности могут ожидать создаваемую систему. К тому же в настоящее время их число огромно и обеспечение защиты от всех потребует много времени и средств. В связи с чем устанавливается общий перечень возможных опасностей, актуальных для систем в заданной области, на основании которых в дальнейшем будут установлены критерии определения безопасности компьютерных систем этого типа.
Процедура создания модели угроз схожа с выполнение анализа рисков. Так, в процессе описания угроз от преднамеренной деятельности человека, оценивается формат источника по способам реализации угрозы и вероятность ее реализации.
Классы безопасности
Стандартом определяется функция безопасности как части системы, на которой лежит реализация подмножества правил их политики безопасности. В функции безопасности добавляется стойкость - характеристика, сообщающая о минимальном необходимом воздействии на ее безопасность, при котором нарушится политика безопасности этой функции. Ее значения бывают следующие:
- Базовая. Функция гарантирует безопасность от случайных нарушений, при условии, что нарушитель имеет низкий потенциал нападения.
- Средняя. Обеспечивается защита от целенаправленных нарушений безопасности нарушителями с умеренным показателем нападения.
- Высокая. Гарантирует защиту от спланированных и организованных нарушений от злоумышленников с высоким уровнем навыков.
Также имеется отдельная схема по определению потенциала нападения, в которой учитываются определенные факторы:
- При определении уязвимости:
- Время, необходимое на идентификацию проблемы. Уровень необходимой подготовки. Наличие знаний о проекте и его функционировании. Программные средства и иное оборудование.
- При использовании:
- Время, потраченное на использование проблемы. Уровень подготовки. Знакомство с проектом функционирования. Необходимые программные продукты.
Защита компьютерных систем основная задача любого программного продукта, отвечающего за компьютерную безопасность. При этом качество выполнения этой функции и сведения об угрозах, которым система может противостоять, имеет свою классификацию, заранее утверждена еще на этапе разработки. Благодаря чему компьютерная безопасность имеет высокие показатели качества.