Criterii generale

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 2 mai 2015; verificările necesită 17 modificări .

Criterii generale pentru evaluarea securității în tehnologia informației , criterii comune pentru evaluarea securității în tehnologia informației , criterii comune , CC ) este un standard internațional de securitate informatică [ 3] adoptat în Rusia [  2 ] . Spre deosebire de standardul FIPS 140 [4] , Common Criteria nu oferă o listă de cerințe de securitate sau o listă de caracteristici pe care trebuie să le conțină un produs. În schimb, descrie un cadru în care consumatorii unui sistem informatic pot descrie cerințele, dezvoltatorii pot revendica proprietățile de securitate ale produselor, iar experții în securitate determină dacă un produs satisface revendicările. Astfel, Criteriile Comune vă permit să oferiți condiții în care procesul de descriere, dezvoltare și testare a unui produs se va desfășura cu scrupulozitatea necesară.  

Prototipul acestui document a fost „ Criterii de evaluare pentru securitatea IT , ECITS ” , lucru la care a început în 1990 . 

Concepte de bază

Standardul conține două tipuri principale de cerințe de securitate: funcționale , impuse funcțiilor de securitate și mecanismelor care le implementează, și cerințe de asigurare , impuse tehnologiei și procesului de dezvoltare și operare.

Pentru a structura spațiul cerințelor, standardul folosește ierarhia clasă-familie-componentă-element: clasele definesc cea mai generală grupare de cerințe „subiect”, familiile din cadrul unei clase diferă ca severitate și alte nuanțe ale cerințelor, o componentă este un minim set de cerințe care apare ca un întreg, elementul este o cerință indivizibilă.

Cerințe funcționale

Cerințele funcționale sunt grupate în funcție de rolul pe care îl îndeplinesc sau de scopul de securitate pe care îl servesc, pentru un total de 11 clase funcționale (în trei grupe), 66 de familii, 135 de componente.

1. Prima grupă definește serviciile elementare de securitate:
   1. FAU - audit , securitate (cerințe de serviciu, logare și audit);
   2. FIA - Identificare și Autentificare ;
   3. FRU - utilizarea resurselor (pentru toleranță la erori).
2. Al doilea grup descrie serviciile derivate implementate pe baza celor elementare:
   1. FCO - comunicare (securitatea comunicațiilor emițător-receptor);
   2. FPR - intimitate;
   3. FDP - protecția datelor utilizatorilor;
   4. FPT - protecția funcțiilor de siguranță ale obiectului de evaluare.
3. Al treilea grup de clase este legat de infrastructura obiectului de evaluare:
   1. FCS - suport criptografic (oferă gestionarea cheilor cripto și operațiunilor cripto);
   2. FMT - managementul securității;
   3. FTA - acces la obiectul de evaluare (managementul sesiunilor utilizatori);
   4. FTP - rută/canal de încredere;

Clase de cerințe funcționale pentru serviciile elementare de securitate

Serviciile elementare de securitate includ următoarele clase FAU, FIA și FRU.

Clasa FAU include șase familii (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA și FAU_ARP) și fiecare familie poate conține un număr diferit de componente.

Scopul componentelor acestei clase este următorul.

FAU_GEN - Generarea datelor de audit de securitate. Conține două componente FAU_GEN.1 (Generarea datelor de audit) și FAU_GEN.2 (Asociația ID utilizator).

Cerințe de încredere

Cerințele de asigurare a securității (încrederii) sunt cerințele pentru tehnologie și procesul de dezvoltare și funcționare a obiectului de evaluare. Împărțit în 10 clase, 44 de familii, 93 de componente care acoperă diverse etape ale ciclului de viață.

1. Primul grup conține clase de cerințe care preced dezvoltarea și evaluarea unui obiect:
   1. APE - Evaluare Profil de Protecție;
   2. ASE - Evaluarea sarcinilor de securitate.
2. A doua grupă este legată de etapele ciclului de viață al obiectului de atestare:
   1. ADV - dezvoltarea, proiectarea unui obiect;
   2. ALC - suport ciclului de viață;
   3. ACM - managementul configurației;
   4. AGD - ghid de utilizare și administrator;
   5. ATE - testare;
   6. AVA - Evaluarea Vulnerabilităţii ;
   7. ADO - cerințe de livrare și exploatare;
   8. AMA - suport pentru asigurare-revendicari, se aplica dupa certificarea obiectului pentru conformitatea cu criteriile generale.

Istoricul dezvoltării

Elaborarea „Criteriilor comune” a fost precedată de elaborarea documentului „Criterii de evaluare pentru securitatea informatică” ( ing.  Criteriile de evaluare pentru securitatea informatică, ECITS ), lansat în 1990 și realizat de grupul de lucru 3 al subcomisiei 27 din primul comitet tehnic comun (sau JTC1 / SC27 / WG3) Organizația Internațională pentru Standardizare ( ISO ).

Acest document a servit drept bază pentru începerea lucrărilor la documentul Criterii comune pentru evaluarea securităţii IT , care a început în 1993 .  La această lucrare au participat organizații guvernamentale din șase țări ( SUA , Canada , Germania , Marea Britanie , Franța , Țările de Jos ). La lucrările proiectului au participat următoarele institute:

1. Institutul Național de Standarde și Tehnologie și Agenția Națională de Securitate ( SUA );
2. Instituția de securitate a comunicațiilor ( Canada );
3. Agenția de Securitate Informațională ( Germania );
4. Organisme de execuție a programelor de securitate și certificare IT ( Anglia );
5. Centrul de securitate a sistemelor ( Franța );
6. Agenția Națională de Comunicații pentru Securitate ( Țările de Jos ).

Standardul a fost adoptat în 2005 de comitetul ISO și are statutul de standard internațional, număr de identificare ISO/IEC 15408 [2] [3] . În cercurile profesionale, acest document a primit ulterior un nume scurt - engleză.  Criterii comune, CC ; Rusă „Criterii generale”, OK .

Modelul de amenințare de certificare

Certificarea de către un produs conform criteriilor comune poate confirma sau nu un anumit nivel de securitate a produsului , în funcție de modelul de amenințare și de mediu.

În conformitate cu metodologia de certificare, producătorul însuși determină mediul și modelul de atacator în care se află produsul. În aceste ipoteze se verifică conformitatea produsului cu parametrii declarați. Dacă în produs sunt descoperite vulnerabilități noi, necunoscute anterior, după certificare , producătorul trebuie să lanseze o actualizare și să recertifieze. În caz contrar, certificatul trebuie revocat.

Sistemul de operare Microsoft Windows XP (Professional SP2 și Embedded SP2), precum și Windows Server 2003 [5] [6] [7] [8] au fost certificate la nivelul Common Criteria EAL4+ conform profilului CAPP [9] în 2005 -2007, după ce au fost lansate pachete de service și au fost lansate în mod regulat noi actualizări critice de securitate. Cu toate acestea, Windows XP în versiunea testată era încă certificat EAL4+, [5] [6] . Acest fapt mărturisește în favoarea faptului că condițiile de certificare (mediul și modelul atacatorului) au fost alese foarte conservator, drept urmare niciuna dintre vulnerabilitățile detectate nu este aplicabilă configurației testate.

Desigur, pentru configurațiile reale, multe dintre aceste vulnerabilități sunt periculoase. Microsoft recomandă utilizatorilor să instaleze toate actualizările de securitate critice.

Criterii generale în Rusia

În 2002, prin ordin al președintelui Comisiei Tehnice de Stat a Rusiei, au fost puse în aplicare următoarele linii directoare [10] , elaborate pe baza documentelor internaționale Common Criteria versiunea 2.3:

• „Securitatea tehnologiilor informaționale. Criterii de evaluare a securității tehnologiilor informaționale”;
• „Securitatea tehnologiilor informaționale. Criterii de evaluare a securității tehnologiei informației. Partea 2. Cerințe de securitate funcțională”;
• „Securitatea tehnologiilor informaționale. Criterii de evaluare a securității tehnologiei informației. Partea 3. Cerințe de asigurare a securității.

Din acel moment, certificarea produselor de tehnologia informației conform cerințelor sarcinilor de securitate a fost permisă oficial în sistemul de certificare intern. Întrucât domeniul de aplicare (clasele de sisteme automatizate) a unor astfel de certificate de conformitate nu a fost definit în mod explicit, o astfel de certificare a fost în majoritatea cazurilor de natură publicitară - producătorii au preferat să-și certifice produsele conform cerințelor ghidurilor clasice.

Din 2012, FSTEC din Rusia a lucrat activ la actualizarea cadrului de reglementare și metodologic pentru certificarea instrumentelor de securitate a informațiilor. În special, au fost puse în aplicare cerințele pentru următoarele tipuri de instrumente de securitate a informațiilor:

• sistem de detectare a intruziunilor; [unsprezece]
• instrument de protecție antivirus; [12]
• instrument de boot de încredere; [13]
• mijloace de control al suporturilor de stocare a mașinii amovibile; [paisprezece]
• firewall; [cincisprezece]
• sistem de operare. [16]

Cerințele pentru un anumit tip de instrumente de securitate a informațiilor sunt concepute ca un set de documente:

• document „Cerințe...”: documentul este marcat „pentru uz oficial” și definește clase și tipuri pentru un anumit tip de produs;
• profiluri de securitate care definesc gama de cerințe funcționale de securitate și cerințe de asigurare a securității în funcție de tipul și clasa de produs.

Sunt disponibile profile de protecție.Copie arhivată din 20 septembrie 2017 pe Wayback Machine pe site-ul oficial al FSTEC din Rusia.Astfel, în prezent, certificarea produselor de acest tip este efectuată de către FSTEC din Rusia numai pentru conformitatea cu profilele de protecţie aprobate.

Note

1. ↑ Nume mai scurt cunoscut
2. ↑ 1 2 GOST R ISO/IEC 15408-3-2013 introdus din 2014-09-01 . Data accesului: 6 ianuarie 2016. Arhivat din original pe 4 martie 2016. (nedefinit)
3. ↑ 1 2 ISO / IEC 15408 - Criterii de evaluare pentru securitatea IT
4. ↑ FIPS 140  
5. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Arhivat 21 septembrie 2012 la Wayback Machine XP SP2 Certified, 2007
6. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Arhivat 6 octombrie 2012 la Wayback Machine XP SP2 Certified, 2005
7. ↑ Microsoft Windows Receives EAL 4+ Certification Arhivat 8 septembrie 2015 la Wayback Machine / Schneier, 2005, pe baza „Windows XP Gets Independent Security Certification” / eWeek,  2005-12-14
8. ↑ Raport tehnic de evaluare a criteriilor comune Windows XP / Server 2003 Arhivat 19 iunie 2015 la Wayback Machine / Microsoft, 2005 (ZIP, DOC   )
9. ↑ Controlled Access Protection Profile (CAPP), versiunea 1.d, 8 octombrie 1999; – ISO/IEC 15408:1999.
10. ↑ Document de orientare. Ordinul președintelui Comisiei Tehnice de Stat a Rusiei din 19 iunie 2002 N 187 - FSTEC din Rusia . fstec.ru. Preluat la 20 septembrie 2017. Arhivat din original la 20 septembrie 2017. (Rusă)
11. ↑ Scrisoare de informare a FSTEC din Rusia (Cerințe pentru SOV) . Arhivat din original pe 6 octombrie 2017. Preluat la 20 septembrie 2017.
12. ↑ Scrisoare de informare a FSTEC din Rusia (Cerințe pentru SAVZ) . Arhivat din original pe 23 septembrie 2017. Preluat la 20 septembrie 2017.
13. ↑ Scrisoare de informare a FSTEC din Rusia (Cerințe pentru SDZ) . Arhivat din original pe 14 septembrie 2017. Preluat la 20 septembrie 2017.
14. ↑ Scrisoare de informare a FSTEC din Rusia (Cerințe pentru SKN) . Arhivat din original pe 14 septembrie 2017. Preluat la 20 septembrie 2017.
15. ↑ Scrisoare de informare a FSTEC din Rusia (Cerințe pentru Ministerul Energiei) . Arhivat din original pe 16 septembrie 2017. Preluat la 20 septembrie 2017.
16. ↑ Scrisoare de informare a FSTEC din Rusia (Cerințe pentru OS) . Arhivat din original pe 6 octombrie 2017. Preluat la 20 septembrie 2017.

Link -uri

• Textul standardelor ISO/IEC 15408 Arhivat 12 mai 2008 la Wayback Machine , disponibil gratuit pe  iso.org .
• Site-ul oficial al proiectului Common Criteria  (engleză)
  •  Lista produselor certificate Common Criteria
• Materiale analitice ale Centrului de competențe al SA „NPO „Eșalon” conform standardului Criterii generale Copie de arhivă din 21 septembrie 2017 pe Wayback Machine

Standardele ISO
Liste:  Lista standardelor ISO Lista de romanizări ISO Lista standardelor IEC Categorii:  Categorie:Standarde ISO Categorie:Protocoale OSI
de la 1 la 9999	unu 2 3 patru 5 6 7 9 16 31 -0 -unu -2 -3 -patru -5 -6 -7 -opt -9 -zece -unsprezece -12 -13 128 216 217 226 228 233 259 269 296 302 306 428 639 -unu 646 668 690 732 764 796 843 898 1000 1004 1007 1073-1 1413 1538 1745 2014 2015 2022 2108 2145 2146 2281 2709 2711 2788 3029 3103 3166 -unu -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 5218 5775 5776 5964 6166 6344 6346 6425 6429 6438 6523 6709 7001 7002 7098 7185 7388 7498 7736 7810 7811 7812 7813 7816 8000 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 -unu -2 -3 -patru -5 -6 -7 -opt -9 -zece -unsprezece -12 -13 -paisprezece -cincisprezece -16 ) 8879 9000 9075 9126 9241 9362 9407 9506 9529 9564 9594 9660 9897 9945 9984 9985 9995
10000 până la 19999	10006 10118-3 10160 10161 10165 10179 10206 10303 10303-11 10303-21 10303-22 10303-238 10303-28 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 11941 11941(TR) 11992 12006 12164 12182:1998 12207:1995 12207:2008 12234-2 13211 -unu -2 13216 13250 13399 13406-2 13407 13450 13485 13490 13567 13568 13584 13616 14000 14031 14396 14443 14496-10 14496-14 ISO 14575 14644 -unu -2 -3 -patru -5 -6 -7 -opt -9 14649 14651 14698 14698-2 14750 14882 14971 15022 15189 15288 15291 15292 15408 15444 15445 15438 15504 15511 15686 15693 15706 15706-2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16750 17024 17025 17369 17799 17987 18000 18004 18014 18245 18629 18916 19005 19011 19092-1 19092-2 19114 19115 19439 19501:2005 19752 19757 19770 19775-1 19794-5
20000+	20000 20022 21000 21047 21500 21827:2002 22000 23008-2 23270 23360 24613 24707 25964-1 25178 26000 26300 26324 seria 27000 27000 27001 27002 27003 27004 27005 27006 27007 27729 27799 29199-2 29500 31000 32000 38500 42010 50001 80000
Vezi și: Lista articolelor ale căror titluri încep cu „ISO”