Опыт автоматизации разработки профилей защиты и заданий по безопасности по ISO/IEC 15408

Глазков А.В., Агафонов М.Е.
20.05.2005 | 14:00
Глазков А.В., Агафонов М.Е., E-mail: crystall@tl.ru
ООО НПФ "Кристалл" (г. Пенза)

Современное состояние нормативного обеспечения безопасности информационных технологий на международном уровне характеризуется качественно новым подходом к формированию требований и обеспечению информационной безопасности, основанному на анализе и удовлетворении потребностей в уменьшении потенциального ущерба, собственника имущества, включая информацию. Эти подходы нашли свое выражение в международном стандарте ISO/IEC 15408 "Критерии оценки безопасности информационных технологий".
Разработка нормативно-методического обеспечения информационной безопасности автоматизированных систем является сложной и многоразмерной задачей. Кроме этого, при принятии тех или иных технических решений, причем зачастую основополагающих, имеет место значительная доля субъективизма, обусловленного квалификацией, осведомленностью и интуицией разработчиков. Во многом это объясняется природой самого объекта исследования.
Информационная безопасность, понимаемая как состояние защищенности целей автоматизированных систем организации в условиях случайных и целенаправленных атак, направленных на нарушение доступности, целостности и конфиденциальности создаваемой, обрабатываемой, передаваемой или хранимой информации, информационного и программного обеспечения, является качественной категорией и не может быть выражена полностью адекватно некоей комплексной количественной мерой. Это удлиняет процесс выработки требований, усиливает возможную вариантность конечных решений, осложняет воспроизводимость результатов, увеличивает долю ошибок при принятии решений, затрудняет возможность исследования влияния исходных данных и принимаемых в процессе проектирования промежуточных решений на конечный результат путем получения нескольких проектов и их сопоставительного анализа. Сам процесс выбора исходных данных может иметь бессистемный характер, что делает процесс выработки требований нестабильным с точки зрения конечного продукта.
Значимость данных недостатков может особенно возрасти при создании профилей защиты и заданий по безопасности для автоматизированных систем, являющихся частными прикладными нормативными документами. Состав и требования к содержанию этих документов со стороны стандарта ISO/IEC 15408 предопределяют возможную неоднозначность принимаемых технических решений.
Указанные проблемы предполагается разрешить путем разработки инструментальных средств автоматизированного выбора функциональных и гарантийных требований безопасности для автоматизированных систем и их компонентов.
Международный стандарт ISO/IEC 15408 определяет три типа конструкций требований: пакет, профиль защиты (ПЗ) и задание по безопасности (ЗБ).
Пакет предназначен для выражения множества функциональных требований безопасности или требований по гарантиям, которые отвечают определенному подмножеству целей безопасности. Он представляет собой промежуточную комбинацию компонентов требований безопасности. Пакет предназначен для многократного использования и определяет требования безопасности, которые считаются полезными и эффективными при удовлетворении определенных целей безопасности. Пакет может быть использован при построении более объемных пакетов, ПЗ и ЗБ. Определенные в Части 3 стандарта ISO/IEC 15408 уровни гарантии оценки (УГО) по сути, являются пакетами гарантийных требований. Каждый УГО определяет точное множество требований по гарантиям.
Профиль защиты предназначен для выражения требований информационной безопасности к видам и типам автоматизированных систем или их компонентам. Профиль защиты определяет независимое от реализации множество требований безопасности информационной технологии для некоторой категории объектов оценки (ОО), которыми являются продукты информационных технологий и/или автоматизированные системы.
Задание по безопасности предназначено для выражения требований информационной безопасности к конкретным реализациям автоматизированных систем или их компонентов. Оно содержит совокупность требований информационной безопасности и определяет спецификации для реализации этих требований безопасности в конкретном ОО.
Опыт проведения работ по автоматизации проектирования ПЗ и ЗБ показал, что система автоматизированной разработки ПЗ и ЗБ позволяет существенно сократить временные затраты и повысить эффективность процесса проектирования ПЗ и ЗБ, наиболее адекватно сформировать перечни требований безопасности для ОО, обеспечить воспроизводимость результатов проектирования.
Состав и взаимодействие составных частей системы автоматизированного проектирования ПЗ и ЗБ приведен на рисунке.
Система автоматизированного проектирования ПЗ и ЗБ предназначена для корпоративного использования, что предопределило выбор ее архитектуры.
Информационно-справочная база (ИСБ), составляющая основу автоматизированной системы, предназначена для хранения всей необходимой для разработки ПЗ и ЗБ информации, например, перечней уязвимостей, угроз, политик безопасности, целей безопасности, каталогов функциональных и гарантийных требований безопасности по ISO/IEC 15408, каталог УГО и др. ИСБ также содержит в себе разработанные или находящиеся в процессе разработки ПЗ и ЗБ. ИСБ располагается на выделенном сервере БД, что делает возможным работу с ней нескольким пользователям (разработчикам ПЗ или ЗБ)
. Доступ пользователей к ИСБ контролируется административной подсистемой, предназначенной для регистрации пользователей, назначения и модификации прав доступа пользователей к ИСБ, а также для выделения индивидуального рабочего табличного пространства в ИСБ каждому зарегистрированному пользователю. Функционирование административной подсистемы регулируется администратором системы.

Рисунок 1. Состав и взаимодействие составных частей системы автоматизированного проектирования ПЗ и ЗБ.

Рисунок 1. Состав и взаимодействие составных частей системы автоматизированного проектирования ПЗ и ЗБ.

На этапах проектирования ПЗ или ЗБ помимо извлечения информации из ИСБ пользователь может пополнять и модифицировать данные ИСБ посредством подачи заявок в подсистему пополнения и модификации ИСБ. Эта подсистема обеспечивает формирование и учет таких заявок, реализует пополнение таблиц ИСБ, контролирует и модифицирует связность данных в ИСБ. Управление подсистемой пополнения и модификации ИСБ возлагается на эксперта или экспертную группу по информационной безопасности.
Проектирование ПЗ или ЗБ осуществляется с помощью подсистемы разработки ПЗ и ЗБ, связанной с текстовым процессором MS Word. Подсистема обеспечивает интерактивное автоматизированное заполнение пользователем разделов ПЗ или ЗБ, их корректировку с помощью текстового процессора, сохранение разработанных и разрабатываемых ПЗ и ЗБ в ИСБ, а также просмотр пользователем ПЗ и ЗБ, имеющихся в ИСБ. Подсистема разработки предусматривает одновременную работу пользователя над несколькими документами.
Автоматизированная система реализует три подхода к разработке ПЗ и ЗБ.
Первый подход предусматривает разработку с автономным автоматизированным определением объекта оценки и параметров среды. Описание ОО выполняется пользователем полностью вручную, а аспекты среды безопасности определяются автоматизированно. Для этого пользователь должен произвести выбор из предоставляемых ему списков значения угроз безопасности, политик безопасности организации и предположений безопасного использования. На основании этих данных происходит автоматический выбор целей безопасности, требований, функций и механизмов безопасности из ИСБ, с последующей их корректировкой.
Второй подход позволяет разрабатывать ПЗ или ЗБ на основе уже существующих пакетов функциональных и гарантийных требований, которые хранятся в ИСБ. При таком подходе ОО также должен быть описан вручную, после чего разработчик может скорректировать подходящий пакет или пакеты в части угроз, политик и предположений и проводить дальнейшую разработку на его базе.
Третий подход наименее трудоемок. Он базируется на использовании классификации АС организации Заказчика и их компонентов для определения ОО в части архитектуры, целевых функций и известных уязвимостей, среды безопасности в части состава, выбора пакетов требований безопасности, уязвимостей среды. Возможна автоматизированная корректировка всех указанных параметров. Использование данной методики целесообразно, если разрабатывается ПЗ или ЗБ для некоторой унифицированной АС, описанной в классификации. Недостатком такого подхода является его узкая ориентированность на классифицированные АС конкретного Заказчика, что не позволяет применять данный подход для широкого круга АС.
Реализация таких подходов в автоматизированной системе разработки ПЗ и ЗБ значительно ускоряет процесс выработки требований безопасности, уменьшает возможную неоднозначность конечных решений, уменьшает долю ошибочных решений, упрощает анализ исходных данных, позволяет добиться наибольшей воспроизводимости результатов.
Таким образом, опыт автоматизации разработки ПЗ и ЗБ позволяет сделать вывод о возможности эффективного решения проблем, возникающих перед разработчиком ПЗ и ЗБ в процессе их создания.