Общие критерии

Общие критерии оценки безопасности информационных технологий (называемые Общие критерии или CC ) - это международный стандарт (ISO / IEC 15408) для сертификации компьютерной безопасности. В настоящее время он находится в версии 5 версии 3.1.

Common Criteria - это структура, в которой пользователи компьютерных систем могут указать свои функциональные требования и требования к обеспечению безопасности (SFR и SAR соответственно) в Target Security ( ST) и могут быть взяты из Профилей защиты (PP). Затем поставщики могут реализовать или заявить об атрибутах безопасности своих продуктов, а испытательные лаборатории могут оценить продукты, чтобы определить, действительно ли они соответствуют требованиям. Другими словами, Common Criteria обеспечивает уверенность в том, что процесс спецификации, внедрения и оценки продукта компьютерной безопасности был проведен строгим, стандартным и повторяемым образом на уровне, который соизмерим с целевой средой для использования.

• 1 Ключевые концепции
• 2 История
• 3 Испытательные организации
• 4 Договоренность о взаимном признании
• 5 Проблемы
  • 5.1 Требования
  • 5.2 Значение сертификации
  • 5.3 Критика
• 6 Альтернативные подходы
• 7 См. Также
• 8 Ссылки
• 9 Внешние ссылки

Оценка общих критериев выполняется для продуктов и систем компьютерной безопасности.

• Цель оценки (ОО) - продукт или система, являющиеся предметом оценки. Оценка служит для подтверждения заявлений о цели. Для практического использования оценка должна проверять функции безопасности цели. Это делается с помощью следующего:
  • Профиль защиты (PP) - документ, обычно создаваемый пользователем или сообществом пользователей, который определяет требования безопасности для класса устройств безопасности (например, смарт-карты, используемые для предоставления цифровых подписей или сетевых брандмауэров ), относящихся к этому пользователю для определенной цели. Поставщики продуктов могут выбрать реализацию продуктов, соответствующих одному или нескольким PP, и провести оценку своих продуктов по этим PP. В таком случае ПЗ может служить шаблоном для ЗБ продукта (Цели безопасности, как определено ниже), или авторы ЗБ, по крайней мере, обеспечат, чтобы все требования соответствующих ПЗ также присутствовали в ЗБ целевого документа. Заказчики, которым требуются продукты определенного типа, могут сосредоточиться на тех, которые сертифицированы по ПЗ, который соответствует их требованиям.
  • Цель безопасности (ST) - документ, определяющий свойства безопасности объекта оценки. ЗБ может заявлять о соответствии одному или нескольким ПЗ. ОО оценивается по ФТБ (функциональные требования безопасности. Опять же, см. Ниже), установленным в его ЗБ, не больше и не меньше. Это позволяет поставщикам адаптировать оценку для точного соответствия предполагаемым возможностям их продукта. Это означает, что сетевой брандмауэр не должен удовлетворять тем же функциональным требованиям, что и система управления базой данных, и что разные брандмауэры фактически могут оцениваться по совершенно разным спискам требований. ЗБ обычно публикуется, чтобы потенциальные клиенты могли определить конкретные функции безопасности, которые были сертифицированы в ходе оценки.
  • Функциональные требования безопасности (SFR) - укажите отдельные функции безопасности, которые могут быть предоставлены по продукту. Common Criteria представляет собой стандартный каталог таких функций. Например, SFR может указывать, как пользователь, выполняющий конкретную роль, может быть аутентифицирован. Список SFR может варьироваться от одной оценки к другой, даже если две цели относятся к одному и тому же типу продукта. Хотя Common Criteria не предписывает включать какие-либо SFR в ЗБ, он определяет зависимости, в которых правильная работа одной функции (например, возможность ограничивать доступ в соответствии с ролями) зависит от другой (например, возможность идентифицировать отдельные роли).

В процессе оценки также делается попытка установить уровень уверенности, который может быть обеспечен функциями безопасности продукта с помощью процессов обеспечения качества :

• Требования обеспечения безопасности (SAR) - описания мер, предпринятых во время разработки и оценки продукта для обеспечения соответствия заявленным функциям безопасности. Например, оценка может потребовать, чтобы весь исходный код хранился в системе управления изменениями или выполнялось полное функциональное тестирование. Общие критерии предоставляют их каталог, и требования могут варьироваться от одной оценки к другой. Требования к конкретным целям или типам продукции задокументированы в ЗБ и ПЗ соответственно.
• Уровень гарантии оценки (EAL) - числовой рейтинг, описывающий глубину и строгость оценки. Каждый EAL соответствует пакету требований обеспечения безопасности (SAR, см. Выше), который охватывает полную разработку продукта с заданным уровнем строгости. В Common Criteria перечислено семь уровней, из которых EAL 1 является самым базовым (и, следовательно, самым дешевым для реализации и оценки), а EAL 7 - самым строгим (и самым дорогим). Обычно автор ЗБ или ПЗ не выбирает требования доверия индивидуально, а выбирает один из этих пакетов, возможно, «дополняя» требования в некоторых областях требованиями более высокого уровня. Более высокие EAL не обязательно подразумевают «лучшую безопасность», они означают только то, что заявленные гарантии безопасности ОО были более тщательно проверены.

До сих пор большинство ПЗ и наиболее оцененные ЗБ / сертифицированные продукты были предназначены для ИТ-компонентов. (например, межсетевые экраны, операционные системы, смарт-карты). Сертификация Common Criteria иногда указывается для закупок ИТ. Другие стандарты, содержащие, например, взаимодействие, управление системой, обучение пользователей, дополнительные стандарты CC и другие стандарты на продукцию. Примеры включают ISO / IEC 27002 ) и немецкий базовый уровень защиты ИТ.

Подробности реализации криптографического внутри ОО выходят за рамки CC. Вместо этого национальные стандарты, такие как FIPS 140-2, предоставляют спецификации для криптографических модулей, а различные стандарты определяют используемые криптографические алгоритмы.

В последнее время авторы PP включают криптографические требования для оценок CC, которые обычно охватываются оценками FIPS 140-2, расширяя границы CC за счет интерпретаций для конкретной схемы.

Некоторые национальные схемы оценки постепенно отказываются от оценок, основанных на ОУД, и принимают для оценки только те продукты, которые заявляют о строгом соответствии утвержденным ПЗ. В настоящее время в США разрешены только оценки на основе PP. Канада находится в процессе постепенного отказа от оценок на основе EAL.

CC возник на основе трех стандартов:

• ITSEC - Европейский стандарт, разработанный в начале 1990-х годов во Франции, Германии, Нидерландах и Великобритании. Это также было объединение более ранних работ, таких как два британских подхода (Схема оценки CESG UK Evaluation Scheme, направленная на рынок обороны / разведки, и DTI Зеленая книга, нацеленная на коммерческое использование)., и был принят некоторыми другими странами, например Австралия.
• CTCPEC - Канадский стандарт последовал за стандартом Министерства обороны США, но позволил избежать ряда проблем и использовался совместно оценщиками из США и Канады. Стандарт CTCPEC был впервые опубликован в мае 1993 года.
• TCSEC - Министерство обороны США DoD 5200.28 Std, называемое Оранжевая книга и части Серия Радуга. Оранжевая книга возникла в результате работы по компьютерной безопасности, включая отчет Андерсона, выполненной Агентством национальной безопасности и Национальным бюро стандартов (NBS в конечном итоге превратилось в NIST ) в конце 1970-х и начале 1980-е гг. Центральный тезис Оранжевой книги вытекает из работы, проделанной Дэйвом Беллом и Леном ЛаПадулой над набором механизмов защиты.

CC был создан путем объединения этих ранее существовавших стандартов, главным образом для того, чтобы компании, продающие компьютерные продукты для государственного рынка (в основном для использования в обороне или разведке) потребуется только их оценка по одному набору стандартов. CC был разработан правительствами Канады, Франции, Германии, Нидерландов, Великобритании и США

Все испытательные лаборатории должны соответствовать ISO / IEC 17025, и органы сертификации обычно утверждаются в соответствии с ISO / IEC 17065.

Соответствие ISO / IEC 17025 обычно демонстрируется национальному органу сертификации. :

• В Канаде Канадский совет по стандартам (SCC) в рамках Программы аккредитации лабораторий (PALCAN) аккредитует службы оценки общих критериев (CCEF)
• Во Франции [ fr ] (COFRAC) аккредитует службы оценки Common Criteria, обычно называемые [fr ] (CESTI). Оценка проводится в соответствии с нормами и стандартами, установленными Национальным агентством безопасности информации (ANSSI).
• В Италии OCSI (Organismo di Certificazione della Sicurezza Informatica аккредитует лаборатории оценки Common Criteria
• В Великобритании (UKAS) используется для аккредитации коммерческих оценочных центров (CLEF) ; Великобритания с 2019 года является единственным потребителем в CC экосистема
• В США Национальный институт стандартов и технологий (NIST) (NVLAP) аккредитует испытательные лаборатории по общим критериям (CCTL)
• В Германии Bundesamt für Sicherheit in der Informationstechnik (BSI)
• В Испании Национальный криптологический центр (CCN) аккредитует Common Criteria испытательные лаборатории, работающие в Испании. Схема.
• В Нидерландах схема Нидерландов для сертификации в области ИТ-безопасности (NSCIB) аккредитует службы оценки ИТ-безопасности (ITSEF).
• В S Weden, Шведский орган по сертификации ИТ-безопасности (CSEC) лицензирует службы оценки ИТ-безопасности (ITSEF).

Характеристики этих организаций были изучены и представлены на ICCC 10.

Помимо стандарта общих критериев, существует также соглашение о взаимном признании общих критериев уровня субдоговора (Соглашение о взаимном признании), в соответствии с которым каждая сторона признает оценки по стандарту общих критериев, выполненные другими сторонами. Первоначально подписанный в 1998 году Канадой, Францией, Германией, Соединенным Королевством и США, Австралия и Новая Зеландия присоединились к 1999 году, а затем Финляндия, Греция, Израиль, Италия, Нидерланды, Норвегия и Испания в 2000 году. переименовано в Common Criteria Recognition Arrangement (CCRA ), и членство продолжает расширяться. В рамках CCRA взаимно признаются только оценки до EAL 2 (включая расширение с исправлением недостатков). Европейские страны в рамках бывшего соглашения ITSEC обычно также признают более высокие EAL. Оценки на уровне EAL5 и выше, как правило, связаны с требованиями безопасности правительства принимающей страны.

В сентябре 2012 года большинство членов CCRA подготовили заявление о видении, в соответствии с которым взаимное признание продуктов, прошедших оценку CC, будет снижено до EAL 2 (включая расширение с устранением недостатков). Кроме того, это видение указывает на полный отход от уровней доверия, и оценки будут ограничены соответствием профилям защиты, которые не имеют заявленного уровня доверия. Это будет достигнуто за счет технических рабочих групп, разрабатывающих глобальные ПУ, и пока еще полностью не определен переходный период.

2 июля 2014 г. новый CCRA был ратифицирован в соответствии с целями, изложенными в заявлении о видении на 2012 год. Основные изменения в Соглашении включают:

• Признание оценок только по совместному профилю защиты (cPP) или уровней гарантии оценки с 1 по 2 и ALC_FLR.
• Появление международных технических сообществ (iTC), групп технические эксперты, отвечающие за создание cPP.
• План перехода от предыдущего CCRA, включая признание сертификатов, выданных в соответствии с предыдущей версией Соглашения.

Требования

Общие критерии очень общие; он не предоставляет напрямую список требований безопасности продукта или функций для конкретных (классов) продуктов: это следует подходу, принятому в ITSEC, но является источником споров для тех, кто использовал более предписывающий подход других более ранних стандартов, таких как TCSEC и FIPS 140 -2.

Значение сертификации

Сертификация Common Criteria не может гарантировать безопасность, но может гарантировать, что утверждения об атрибутах безопасности оцениваемого продукта были независимо проверены. Другими словами, продукты, оцениваемые по стандарту Common Criteria, демонстрируют четкую цепочку доказательств того, что процесс спецификации, реализации и оценки был проведен строго и стандартным образом.

Различные версии Microsoft Windows, включая Windows Server 2003 и Windows XP, , были сертифицированы, но исправления безопасности для устранения уязвимостей системы безопасности Microsoft все еще публикует их для этих систем Windows. Это возможно, потому что процесс получения сертификата Common Criteria позволяет поставщику ограничить анализ определенными функциями безопасности и сделать определенные предположения об операционной среде и силе угроз, с которыми сталкивается продукт в этой среде. Кроме того, ОК признает необходимость ограничить объем оценки, чтобы обеспечить рентабельные и полезные сертификаты безопасности, так что оцениваемые продукты исследуются до уровня детализации, определенного уровнем доверия или ПЗ. Таким образом, деятельность по оценке выполняется только до определенной глубины, с использованием времени и ресурсов и обеспечивает разумную уверенность в предполагаемой среде.

В случае Microsoft допущения включают A.PEER:

«Предполагается, что любые другие системы, с которыми взаимодействует ОО, находятся под одним и тем же управлением и работают с теми же ограничениями политики безопасности. ОО применимо к сетевым или распределенным средам только в том случае, если вся сеть работает с одними и теми же ограничениями и находится в пределах одного домена управления. Нет никаких требований безопасности, которые касаются необходимости доверять внешним системам или каналам связи с такими системами ».

Это предположение содержится в Профиле защиты контролируемого доступа (CAPP), которому соответствуют их продукты. На основе этого и других предположений, которые могут быть нереалистичными для обычного использования операционных систем общего назначения, оцениваются заявленные функции безопасности продуктов Windows. Таким образом, они должны считаться безопасными только в предполагаемых определенных обстоятельствах, также известных как оцениваемая конфигурация.

Независимо от того, запускаете ли вы Microsoft Windows в точно оцененной конфигурации или нет, вам следует применять исправления безопасности Microsoft для устранения уязвимостей в Windows по мере их появления. Если какая-либо из этих уязвимостей безопасности может быть использована в оцененной конфигурации продукта, поставщик должен добровольно отозвать сертификат Common Criteria продукта. В качестве альтернативы поставщику следует повторно оценить продукт, включив в него применение исправлений для устранения уязвимостей безопасности в оцениваемой конфигурации. Неспособность поставщика предпринять какие-либо из этих шагов приведет к принудительному отзыву сертификации продукта органом по сертификации страны, в которой продукт был оценен.

Сертифицированные версии Microsoft Windows остаются на уровне EAL4 + без включения каких-либо исправлений уязвимостей безопасности Microsoft в их оцененную конфигурацию. Это показывает как ограничения, так и силу оцениваемой конфигурации.

Критика

В августе 2007 года обозреватель Уильям Джексон критически проанализировал методологию Common Criteria и ее реализацию в США с помощью Common Criteria Evaluation and Validation Scheme (CCEVS). В колонке были опрошены руководители индустрии безопасности, исследователи и представители Национального информационного партнерства (NIAP). В статье приводятся следующие возражения:

• Оценка - дорогостоящий процесс (часто измеряемый сотнями тысяч долларов США), и возврат этих инвестиций поставщиком не обязательно является более безопасным продуктом.
• Оценка фокусируется на в первую очередь на оценке оценочной документации, а не на фактической безопасности, технической правильности или достоинствах самого продукта. Для оценок США в анализе участвуют только специалисты Агентства национальной безопасности с уровнем EAL5 и выше; и только в EAL7 требуется полный анализ исходного кода.
• Усилия и время, необходимые для подготовки свидетельств оценки и другой документации, связанной с оценкой, настолько обременительны, что к моменту завершения работы оцениваемый продукт обычно оказывается устарело.
• Вклад отрасли, в том числе таких организаций, как The, обычно мало влияет на процесс в целом.

В исследовательской работе 2006 года компьютерный специалист Дэвид А. Уилер предположил, что Общие критерии процесс дискриминирует бесплатное программное обеспечение с открытым исходным кодом (FOSS) -центричные организации и модели разработки. Требования обеспечения Common Criteria обычно основываются на традиционной методологии разработки программного обеспечения waterfall. Напротив, большая часть программного обеспечения FOSS создается с использованием современных парадигм agile. Хотя некоторые утверждали, что обе парадигмы плохо согласуются, другие пытались примирить обе парадигмы. Политолог выразил обеспокоенность по поводу отсутствия контроля над фактическим производством продуктов после их сертификации, отсутствия постоянно укомплектованного персонала организационного органа, который следит за соблюдением требований, а также по поводу того, что доверие к сертификатам безопасности ИТ-безопасности Common Criteria будет сохранено. через геополитические границы.

На протяжении всего существования CC он не был повсеместно принят даже странами-создателями, в частности, криптографические утверждения обрабатывались отдельно, например, реализация FIPS-140 в Канаде / США и схема CESG Assisted Products Scheme (CAPS) в Великобритании.

Великобритания также разработала ряд альтернативных схем, когда было обнаружено, что временные рамки, затраты и накладные расходы на взаимное признание препятствуют работе рынка:

• Система CESG Схемы оценки (SYSn) и ускоренного подхода (FTA) для проверки государственных систем, а не общих продуктов и услуг, которые теперь объединены в CESG Tailored Assurance Service (CTAS)
• Претензии CESG Tested Mark (CCT Mark), который направлен на обработку менее исчерпывающих требований к гарантии для продуктов и услуг экономичным и временным способом

В начале 2011 года NSA / CSS опубликовало документ Криса Солтера, в котором предлагалось Профиль защиты ориентированный подход к оценке. При таком подходе сообщества по интересам формируются вокруг типов технологий, которые, в свою очередь, разрабатывают профили защиты, которые определяют методологию оценки для типа технологии. Цель - более надежная оценка. Есть некоторые опасения, что это может негативно повлиять на взаимное признание.

В сентябре 2012 года Common Criteria опубликовала Заявление о видении, в значительной степени отражающее мысли Криса Солтера из прошлого года.. Ключевые элементы Видения включали:

• Технические сообщества будут сосредоточены на создании Профилей защиты (PP), которые поддерживают их цель получения разумных, сопоставимых, воспроизводимых и рентабельных результатов оценки
• Оценка должна проводиться с учетом этих ПП, если возможно; в противном случае взаимное признание оценок Целей безопасности было бы ограничено EAL2

• Модель Bell-LaPadula
• Обязательный сертификат Китая
• Уровень гарантии оценки
• FIPS 140-2
• Гарантия информации
• ISO 9241
• ISO / IEC 27001
• Тестирование удобства использования
• Проверка и валидация

• Официальный веб-сайт проекта Common Criteria Project
• The Common Стандартные документы критериев
• Список продуктов, прошедших оценку Common Criteria
• Список лицензированных лабораторий Common Criteria
• На пути к обеспечению Agile Security Assurance
• Важные сокращения общих критериев
• Форум пользователей Common Criteria
• Дополнительная информация по общим критериям на Google Knol
• OpenCC Project - бесплатная лицензия Apache CC, документы, шаблоны и инструменты
• Краткая справочная карта Common Criteria
• Шпаргалка по процессу Common Criteria