Сертификация по Общим Критериям (ОК), как аспект тестирования безопасности

Сертификация по Общим Критериям (ОК), как аспект тестирования безопасности

Как известно, угрозы несанкционированного использования информации, разрушения информационного ресурса, его временная недоступность могут нанести значительный ущерб. Для противодействия угрозам безопасности компаниями применяется комплексный подход из организационных и технических мер.

Екатериана Скиба, OOO «Технологии качества», A1QA

Как известно, угрозы несанкционированного использования информации, разрушения информационного ресурса, его временная недоступность могут нанести значительный ущерб. Для противодействия угрозам безопасности компаниями применяется комплексный подход из организационных и технических мер.

Выбор средств защиты определяется в результате анализа угроз и степени защищенности объекта. Но здесь возникает проблема – какой продукт выбрать из многообразия предлагаемых на рынке, и насколько можно доверять функциям безопасности этого продукта?

У потребителей в сфере ИТ есть разные варианты определения уровня безопасности их продуктов и систем:

– довериться производителю продукта/услуг,

– протестировать систему самостоятельно,

– положиться на оценку со стороны независимого органа.

В этой статье мы рассмотрим третий вариант и дадим общее представление о механизмах и принципах сертификации безопасности в сфере ИТ, которое будет полезно как представителям ИТ-бизнеса, так и тестировщикам программного обеспечения.

Cертификация безопасности – это форма подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. Цель сертификации состоит в обеспечении уверенности потребителя продукта ИТ в том, что он обеспечивает выполнение всех заявленных функциональных возможностей безопасности и это подтверждается независимыми испытаниями специального органа. Независимым органом выступает, как правило, аккредитованная испытательная лаборатория.

Однако при этом необходима основа для взаимодействия между производителями, потребителями и экспертами по сертификации продуктов ИТ. «Общий язык» в этом треугольнике, на котором стороны «общаются» - это нормативно-методическая база, специально для этого разработанная. Самым значимым в этом плане документом является международный стандарт ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий» или кратко – Общие критерии (ОК).

Надо подчеркнуть, что положения ОК носят достаточно общий характер. По сути, Общие критерии не содержат требований к конкретным системам защиты информации, а представляют собой набор определений и правил, в рамках которых можно описывать различные системы защиты. На основе ОК потребитель может выбрать продукт, отвечающий его нуждам, а также сформулировать свои требования к безопасности производителям. Документ полезен и как руководство при разработке, причем не только специализированных средств защиты, но и любого ПО или аппаратных средств с функциями безопасности. Эксперты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ, и предоставить потребителям возможность сделать обоснованный выбор.

Общие критерии состоят из трех частей:

- Часть 1. Введение и общая модель. В ней определяются общие понятия, концепции безопасности, принципы оценки безопасности ИТ, приводится общая модель оценки. Эта часть также представляет основные структуры для записи требований безопасности: пакет, профиль защиты (ПЗ) и задание по безопасности (ЗБ).

- Часть 2. Функциональные требования безопасности. Она содержит систематизированный каталог функциональных компонентов. Функциональные компоненты используются в качестве стандартных шаблонов, на основе которых следует устанавливать функциональные требования к оцениваему продукту.

- Часть 3. Требования доверия к безопасности. Эта часть содержит каталог требований доверия, систематизированных по семействам и классам. Кроме того, в ней определены критерии оценки профилей защиты и заданий по безопасности и представлены семь предопределенных пакетов доверия, т.н. «оценочных уровней доверия» (ОУД). ОУД 1 обеспечивает самый низкий уровень доверия, ОУД7 – самый высокий. С возрастанием порядкового номера предъявляемые требования ужесточаются.

Таким образом, на основе ОК, испытательная лаборатория проверяет (тестирует) функциональные возможности безопасности и оценивает, соответствуют ли они описанным в спецификации.

Как же он обычно проходит? Процесс испытаний функциональных возможностей безопасности в лаборатории похож на процесс обычного тестирования, за исключением того, что проверяются только интерфейсы функций безопасности продукта и удостоверятеся, что продукт находится в заданной среде функционирования.

Важным условием для начала испытаний является создание испытательного стенда, в котором сам оцениваемый продукт и среда его функционирования должны строго соответствовать описывамой в задании по безопасности конфигурации. Также необходимо разработать тестовую документацию на основании ЗБ и функциональной спецификации. Уяснив из документов ожидаемый режим выполнения функций безопасности, необходимо определить наиболее подходящий способ их тестирования.

Эксперт обычно особенно внимательно рассматривает:

а) подход, который будет использоваться, например, внешний интерфейс, внутренний интерфейс, будут ли задействованы какие-либо средства автономного тестирования или альтернативный тестированию подход (например, в исключительных обстоятельствах - ревю кода, если эксперт это может);

б) интерфейс(ы), который(е) будет(ут) использоваться для тестирования и наблюдения за реакциями интерфейса;

в) начальные условия, необходимые для выполнения теста (т.е. любые конкретные обьекты или субьекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);

г) специальное оборудование для тестирования, либо для инициирования функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).

Лаборатория может посчитать целесообразным протестировать каждый интерфейс функций безопасности, используя ряд тестов, где каждый тест будет использоваться для проверки очень специфичного аспекта ожидаемого режима функционирования интерфейса.

Эксперты лаборатории, также, для установления соответствия требованиям доверия выполняют поиск потенциальных уязвимостей в продукте и среде функционирования, используя все доступные источники. Основываясь на проведенном поиске потенциальных уязвимостей, разрабатываются и выполняются тесты на проникновение. Результаты тестирования вносятся в специальный отчет с включением информации о затраченных усилиях на тесты по проникновению, обо всех пригодных для использования уязвимостях, уровне компетентности злоумышленника, уровне знания продукта, оборудовании, требуемых для использования идентифицированных уязвимостей.

Лаборатория исследует все результаты проведенных испытаний, делает соответствующее заключение и выносит свою оценку. Результаты такой оценки являются основой для официальной сертификации продукта.

В заключении хотелось бы отметить, что сертификация по ОК и тестирование безопасности, как процессы, бузусловно связаны. Однако тестирование безопасности может проводиться либо не проводиться (это зависит от желания заказчика). Доказательств, гарантий безопасности покупателю такое тестирование безопасности не дает. Сертификация, в свою очередь, зачастую является обязательной процедурой (особенно для государственных учреждений) и предоставляет полную гарантию выполнения функций безопасности.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться