Критерии безопасности - Общие Статьи - Каталог статей - tHR

Меню

Статистика
	Ваш IP: 3.135.207.174 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

Критерии безопасности

Зарождение стандарта

Обеспечение безопасности – важнейший фактор выбора программного обеспечения в государственном секторе. Необходимость в существовании критериев безопасности возникла на заре коммерческой эпохи использования операционных систем. В начале 80-х в США был разработан стандарт Trusted Computer System Evaluation Criteria (TCSEC, более известный по названиям «Оранжевая книга», «Радужная серия»). В конце 80-х европейские страны приняли свой стандарт Information Technology Security Evaluation Criteria (ITSEC), в основу которого легли положения TCSEC. В 1990 году Международная организация по стандартизации (ISO) начала работу над общими критериями безопасности. Международные структуры, принявшие участие в разработке, были не просто гражданскими институтами. Взгляните на список: Агентство Национальной Безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Органы исполнения программы безопасности и сертификации (Англия), Центр обеспечения безопасности систем (Франция), Агентство национальной безопасности коммуникаций (Нидерланды) – все они в той или иной степени имели отношение к военным. Не случайное совпадение. Идея создания общих критериев зародилась в недрах закрытого АНБ.

Десятилетиями АНБ применяла практику создания жёстко контролируемого, безопасного кода, разрабатываемого годами, уровень уязвимости которого стремился к нулю. Подобный подход не мог дать пользователям ни разнообразия в выборе программ, ни красивых эффектов, которые так любят секретарши во всех государственных учреждениях. Необходимость, а вернее – желание использовать коммерческие продукты на службе у государства, подвигло АНБ к неизбежному: продукты открытого рынка должны были пройти специальную программу тестирования. Такой программой стал стандарт «Common Criteria for Information Technology Security Evaluation» – общие критерии безопасности информационных технологий.

Разработка стандарта завершилась в 1993 году. Спустя шесть лет Common Criteria официально был признан международным стандартом широкого профиля использования: помимо государственных учреждений руководствоваться им при выборе информационных систем смогли и обычные потребители. Common Criteria включил тесты для множества видов продуктов: межсетевых экранов, антивирусных систем, систем обнаружения вторжения, операционных систем и т. д.

Процесс сертификации

Стандартизация и сертификация систем защиты основывается на комплексах проведённых тестов. Тесты производятся в специальных лабораториях независимых фирм-экспертов, одобренных по стандарту Common Criteria. Продукты оцениваются на соответствие ряду функциональных критериев и критериев надежности – так называемых Protection Profiles («профилей защиты»). Существуют различные определения профилей защиты в отношении операционных систем, брандмауэров, смарт-карт и прочих продуктов, которые должны удовлетворять определенным требованиям в области безопасности. Стандарт Common Criteria также устанавливает ряд гарантированных параметров соответствия Evaluation Assurance Levels (EAL), используемых при оценке продуктов.

Тестируемый софт должен обладать полным описанием с перечислением характеристик систем защиты продукта, которое должно ответить на вопрос, что собственно делает системный код. Кроме того, устанавливается оценочный рейтинг EAL, в соответствии с которым будет производиться тестирование продукта. Тестовая лаборатория определит, соответствует ли заданный уровень защиты заявленному профилю защиты. После этого специальная комиссия подтверждает достоверность испытаний и выписывает сертификат Common Criteria.

Что это означает для таких пользователей как я и вы? Тоже, что и для пользователей в самых секретных застенках государства. Производитель сам определяет уровень угроз, которым подвергается продукт. Требования выставляется в соответствии с уровнем. И на этот самый уровень производится сертификация (sic!). Если уже после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию.

Уровни безопасности

В настоящий момент выделяют семь уровней безопасности. EAL1-EAL4 уровни являются общими, для всех стран поддерживающих стандарт. Высшие уровни EAL5-EAL7 индивидуально принимаются каждой страной для учёта национальных особенностей защиты государственных секретов. Каждый уровень может получить приставку «+» (например, EAL4+), что означает постоянный выпуск обновлений для сертифицированного продукта.

EAL1 – требования к безопасности существуют, но уровень подразумевает почти полное отсутствие угроз со стороны внешней среды. Проверка осуществляется «формально», никакие «тестовые лаборанты» в код не заглядывают.

EAL2 – уровень безопасности предоставляет пользователям полную информацию об архитектуре ПО. Однако и в этом случае проверка касается лишь огромного количества документации, описывающей процесс работы программного обеспечения.

Пример достижения: JBoss Enterprise Application Platform – интегрированная платформа для разработки Java-приложений, Symantec Endpoint Protection 11.0 – базовая система защиты

EAL3 – софт проходит проверку на наличие типичных уязвимостей в тестовой лаборатории, соответствующей стандарту Common Criteria.

Пример достижения: SuSE Linux Enterprise Server.

EAL4 – наиболее полно описанный и стандартизированный уровень «де-факто» для операционных систем. Поиск всех возможных уязвимостей с дальнейшей процедурой их устранения. Пример достижения: Windows (2000-2008 Server, все версии), Hewlett-Packard HP-UX, IBM AIX и Trusted Solaris – основанная на Solaris операционная система с гарантированной безопасностью (используется модель принудительного контроля доступа) компании Sun Microsystems.

EAL5-EAL7 – система проверена всеми возможными математическими методами; узкоспециализированные стандарты, основанные на критериях безопасности конкретных стран-участников.

Пример достижения: Integrity-178B уровня EAL6+ - военная операционная система (использовалась в ВВС для управления автоматикой новейших истребителей, а также в космических челноках NASA), первая в мире получившая столь высокий рейтинг.

На страже государства

На сайте Microsoft, в прессе и по телевидению всё чаще можно слышать заверения о возросшем уровне безопасности операционных систем семейства Windows. Подобные высказывания не голословны, а основываются на результатах тестирования сторонними компаниями, чья деятельность сертифицирована по всем правилам Общих Стандартов. Что ж, после такого становится понятно, почему такой важный с точки зрения безопасности проект как «Электронная Россия» базируется на решениях компании Microsoft. Или почему военные США и России массово устанавливают «Висту» на базах по всему миру.

Об уязвимостях операционных систем семейства Windows говорить излишне. Однако Windows соответствуют высокому стандарту безопасности, позволяющему свободно использовать ось в государственных целях. В этом, на первый взгляд, чувствуется какая-то патология. Но лишь до тех пор, пока мы не начнём вчитываться в многотомную документацию сертификатов безопасности. Там чётко указано позиционирование Windows на тех профилях безопасности, которые не предназначены для использования в условиях, когда действует систематическая продуманная атака со стороны хакеров. Становится понятно, почему из года в год военные сети остаются уязвимыми. Недавний переполох в министерстве обороны США привёл к временному запрету на использование всех типов сменных носителей – от флешек до винчестеров. Такова оказалась цена за сертифицированную безопасность.

Маркетинг и реальность

Действительно ли безопасна операционная система получившая сертификат безопасности? Документация ничего не может сказать о качестве программного обеспечения. Но она позволяет операционной системе чётко соответствовать неадекватному набору требований.

На самом сайте Microsoft относительно получения сертификат Common Criteria сказано следующее: «Независимое тестирование подтвердило высокий уровень защищенности в широчайшем диапазоне реальных условий применения».

В настоящий момент 25 стран поддерживают стандарт. Common Criteria ISO 15408 уже является государственным стандартом России. Во многих правительственных учреждениях наличие сертификата Common Criteria является обязательным условием при поставке систем. Однако вокруг сертификатов безопасности общего применения (возьмите для примера уровни EAL1-EAL4) сложилась опасная ситуация введения пользователей в заблуждение. Стандарт Common Criteria является общепризнанной независимой мерой оценки IT-продуктов с точки зрения безопасности, и пользователи могут (и должны) руководствоваться им при выборе программного продукта. Но не стоит забывать, что за словами «жёсткое и всестороннее тестирование исходного кода для сертификации» подразумевается тестирование кода в условиях, оговорённых заказчиком (создателем кода). Хакеры-гики не будут заниматься экспериментальным взломом Windows 7, когда эта операционная система будет передана на сертификацию. Уже через год-два новая система от Microsoft получит уровень безопасности EAL4 (возможно, EAL5) и поступит в открытую продажу. И здесь мы в первую очередь должны подумать о потребителях в государственном секторе. Они (как и мы) должны быть уверенны в защищенности программного продукта, основываясь не только на документации, но и на реальных результатах практической эксплуатации.

Критерий выбора

Для понимания смысла использования Common Criteria важно знать как уровень оценки EAL, так и проверявшиеся профили безопасности. К сожалению, пока выбор систем государственного уровня основывается либо на утопических идеях (Поднимем Россию с колен, построим «Русскую ось»!), либо на маркетинговых заявлениях.

В госаппарте есть эксперты соответствующего уровня. В Америке давно решили, что стоимость переобучения персонала на новую систему обойдётся дороже, чем многомиллиардный контракт с Microsoft. В конечном счете, неужели сумма ущерба от всех хакерских атак не перекрывает стоимость внедрения новых, более безопасных информационных систем? Верится с трудом.

Не знаю как в Америке, но в России существует служба «Специальной Связи и Информации» (бывшая ФАПСИ), ответственная за безопасность информационных систем на службе государства. Есть те замечательные люди, которые занимаются отловом киберпреступников, а так же те, кто внимательно мониторит IT & Hack ресурсы. Им обязательно попадётся на глаза эта статья. Возможно, она заставит задуматься.