Испытание программного продукта на соответствие оценочному уровню доверия Текст научной статьи по специальности «Компьютерные и информационные науки»

ИСПЫТАНИЕ ПРОГРАММНОГО ПРОДУКТА НА СООТВЕТСТВИЕ ОЦЕНОЧНОМУ УРОВНЮ ДОВЕРИЯ

Д.А. Пикулькин, Ю.В. Проскурин, М.А. Фокин Научный руководитель - доктор технических наук, профессор Л.Г. Осовецкий

Статья посвящена рассмотрению программы для оценки программного продукта на соответствие оценочному уровню доверия по системе Руководящего документа по безопасности информационных технологий.

Введение

В наше время наблюдается стремительное развитие информационных технологий. Все большее количество ценной информации хранится и передается в цифровом формате, и все большее число злоумышленников переквалифицируются на кражу информации с электронных носителей. Для этого было придумано огромнейшее количество способов, начиная с использования ошибок в программном обеспечении и заканчивая программными закладками. Много скандалов уже было по поводу универсальных ключей в средствах шифрования, которые позволяли получить доступ к любой зашифрованной информации, или по поводу клавиатурных шпионов, встроенных в одну из версий популярной операционной системы. Все это обусловливает необходимость проверки программного обеспечения перед тем, как устанавливать его туда, где идет обработка конфиденциальной информации.

Основная часть

Государственная техническая комиссия России разработала Руководящий документ по безопасности информационных технологий (РД БИТ) и критерии оценки безопасности информационных технологий. РД БИТ содержит систематизированный каталог требований к безопасности информационных технологий (ИТ), порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем ИТ по требованию безопасности информации.

Документ предназначен также для органов сертификации и испытательных лабораторий, аккредитованных в системе сертификации средств защиты информации (СЗИ) по требованиям безопасности информации. Основной целью РД является повышение доверия к безопасности продуктов и систем информационных технологий. Положения РД направлены на создание продуктов и систем информационных технологий с уровнем безопасности, адекватным имеющимся по отношению к ним угрозам и проводимой политике безопасности с учетом условий применения, что должно обеспечить оптимизацию продуктов и систем ИТ по критерию «эффективность - стоимость».

Сертификация программного обеспечения происходит следующим образом. Эксперт в соответствии с РД БИТ проводит проверку программного продукта на соответствие определенным параметрам. Основные принципы общих критериев (ОК) состоят в том, что следует четко сформулировать угрозы безопасности и положения политики безопасности организации, а достаточность предложенных мер безопасности должна быть продемонстрирована. Более того, следует предпринять меры по уменьшению вероятности наличия уязвимостей, возможности их проявления (т.е. преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием проявления уязвимостей. Дополнительно следует предпринять меры для облегчения последующей идентификации уязвимостей, а также по их устранению, ослаблению и/или оповещению об их использовании или активизации. В зависимости от возможности детализации данной проверки выставляется оценка, т.е. определяется уровень доверия к программному продукту.

Предлагаемая программа призвана упростить процесс оценки программного продукта. Она позволяет осуществлять быструю навигацию по классам РД БИТ, быстрое заполнение таблицы для расчета оценочного уровня доверия (ОУД) и получение количественной оценки рейтинга уязвимости всей системы. Оценка уровней доверия происходит по 26 критериям, которые отражают:

• области охвата, т.е. увеличение рассматриваемой части продукта или системы ИТ;

• глубину, т.е. детализацию рассматриваемых проектных материалов и реализации;

• строгость, т.е. применение более структурированного и формального подхода.

Предлагаемая программа упрощает действия оценщика. Она позволяет на основе таблицы (обзор оценочных уровней доверия) присвоить программному продукту один из семи уровней доверия (см. табл.).

Класс доверия Семейство доверия Компоненты доверия из оценочного уровня доверия

ОУД1 ОУД2 ОУД3 ОУД4 ОУД5 ОУД6 ОУД7

Управление конфигурацией ACM AUT 1 1 2 2

ACM CAP 1 2 3 4 4 5 5

ACM SCP 1 2 3 3 3

Поставка и ADO DEL 1 1 2 2 2 3

эксплуатация ADO IGS 1 1 1 1 1 1 1

ADV FSP 1 1 1 2 3 3 4

ADV HLD 1 2 2 3 4 5

ADV IMP 1 2 3 3

Разработка ADV INT 1 2 3

ADV LLD 1 1 2 2

ADV RCR 1 1 1 1 2 2 3

ADV SPM 1 3 3 3

Руководства AGD ADM 1 1 1 1 1 1 1

AGD USR 1 1 1 1 1 1 1

Поддержка ALC DVS 1 1 1 2 2

ALC FLR

жизненного цикла ALC LCD 1 2 2 3

ALC TAT 1 2 3 3

ATE COV 1 2 2 2 3 3

Тестирование ATE DPT 1 1 2 2 3

ATE FUN 1 1 1 1 2 2

ATE IND 1 2 2 2 2 2 3

AVA CCA 1 2 2

Оценка уязви- AVA MSU 1 2 2 3 3

мостей AVA SOF 1 1 1 1 1 1

AVA VLA 1 1 2 3 4 4

Таблица. Обзор оценочных уровней доверия

Оценку программного продукта производим по 22 критериям. Исходные предпосылки для составления программы изложены ниже.

1) Требования к руководству администратора построены так, что ограничения среды будут поняты администраторами и операторами объекта оценки (00). Руководство администратора - основное средство, имеющееся в распоряжении разработчика для предоставления администраторам 00 детальной и точной информации о том, как

осуществлять администрирование 00 безопасным способом и эффективно использовать привилегии функций безопасности 00 (ФБО) и функции защиты.

2) Семейство «Установка, генерация и запуск» предусматривает, чтобы копия 00 была конфигурирована и активизирована администратором так, чтобы показать те же самые свойства защиты, что и у оригинала 00. Процедуры установки, генерации и запуска дают уверенность в том, что администратор будет осведомлен о параметрах конфигурации 00 и о том, как они способны повлиять на ФБО.

3) Требования к руководству пользователя направлены на то, чтобы пользователи могли эксплуатировать 00 безопасным способом (например, ограничения использования, предусмотренные профилем защиты (ПЗ) или заданием по безопасности (ЗБ), необходимо четко объяснить и проиллюстрировать). Руководство - основное средство, имеющееся в распоряжении разработчика, для предоставления пользователям 00 необходимой общей и специфической информации о том, как правильно использовать функции защиты 00. В руководстве необходимо осветить два аспекта. Во-первых, требуется объяснить, что делают доступные пользователю функции безопасности и как они будут использоваться, чтобы пользователи имели возможность последовательно и действенно защищать свою информацию. Во-вторых, требуется разъяснить роль пользователя в поддержании безопасности 00.

4) Семейство «Устранение недостатков» направлено на то, чтобы недостатки, обнаруженные потребителями 00, отслеживались и исправлялись, пока 00 сопровождается разработчиком.

JsJxJ

Help

РДБ1ЛТ ОУД Количественная оценка

Функ-е требования безопасности: р Аудит безопасности I? Сеязь

р Криптографическая поддержка Р .Защита данным пользователя р Идентификация и аутентификации IP Управление безопасностью р Приватность Р -Защита ФБО р Использование ресурсов Р Доступ к 00

W Доверенный маршрут/канал

Требования доверия к безопасности: р1 Опенка профиля защиты Р Оценка задания по безопасност р Управление конфигурацией р Поставка и эксплуатация р Разработка Р Руководства

Р Поддержка жизненного цикла р Тестирование р Оценкауязвимостей р П'Задержка доверия

Рис. 1. Навигатор по РД БИТ

;■■■ Классы:

!+! Класс FAIJ. Аудит безопасности Ш Класс FCO. Связь

Й Класс FCS. Криптографическая поддержка Й- Класс FDP. Защита данным пользователя Й Класс FIA. Идентификация и аутентификация Й- Класс FMT. Управление безопасностью Й Класс FRF!. Приватность Й Класс FPT. .Защита ФБО Й Класс FRU. Использование ресурсов В Класс FTA. Доступ к 00 Й Класс FTP. Доверенный маршрут/канал Й Класс АРЕ Оценка профиля заш.игы Й Класс ASE. Оценка задания по безопасности Й Класс АСМ. Управление конфигурацией Éi ACM_AÜ Т Автоматизация У К ACM_AUT.1

{ ф- АСМ_САР Возможности УК

á- ACM_SCP Область УК Й Класс ADO. Поставка и эксплуатация Й Класс ADV. Разработка Й Класс AGD. Руководства Й Класс ALC. Поддержка жизненного цикла Й Класс ATE. Тестирование Й Класс AVA. Оценка уязвимостей Й Класс AMA. Поддержка доверия

Рис. 2. Дерево классов

Не1р

РД ЬИТ ОНД Количественная оценка

Класс Оценка 0УД Для след.

АСМ_А1Л (Автоматизация УК] 2 Полная - 7 2

АСМ_САР [Возможности УК] 5 Расширенная поддержка - 7 5

АСМ_5СР (Область УК) 3 Окват УК инструментальных средств разработки 7 3

А00_0ЕЬ (Поставка) 3 Предотвращение модификации - 7 3

АВУ_/8Р (Функциональная спецификация) 4 Формальная функциональная спецификация - 7 4

А0¥__НШ (Проект верхнего уровням] 4 Пояснения в полуформальном проекте верхнего у - 5

АОУЧМР (Представление реализации) 3 Структурированная реализация ФЕО - 7 3

А0\НМТ (Внутренняя структура ФБО) 3 Минимизация сложности - 7 3

[Проект нижнего уровня) 2 Полуформальный проект нижнего уровня - 7 2

А0У_ПСР! (Соответствие представлений) 3 Формальная демонстрация соответствия - 7 3

А0У'_ЗРМ (Моделирование политики безопасности] 3 Формальная модель политики безопасности 00 - 7 3

А1_С_0\''3 (Безопасность разработки] 2 Достаточность мер безопасности - 7 2

А1_С_1_С0 (Определение жизненного цикла] 3 Измеримая модель жизненного цикла - 7 3

А1_С_ТАТ (Инструментальные средства и методы) 3 Соответствие всех частей 00 стандартам реализ - 7 3

АТЕ_С0У (Покрытие] 3 Строгий анализ покрытия - 7 3

АТЕ_0РТ (Глубина) 3 Тестирование на уровне реализации - 7 3

АТЁ_|£Ш (Функциональное тестирование] 2 Упорядоченное Функциональное тестирование - 7 2

АТ Е_1 N 0 (Н езависимое тестирование) 3 Полное независимое тестирование - 7 3

АУА_ССА (Анализ скрытых каналов) 2 Систематический анализ скрытых каналов - 7 2

АУА_М5и (Неправильное применение] 3 Анализ и тестирование опасных состояний 7 3

АУА_30Р (Стойкость Функций безопасности) 1 Оценка стойкости функции безопасности 00 - 7 1

н'-н_У1А (Анализ уязвимостей) 4 Высокостойкий| 7 4

1 екущий уровень доверия: 6 (хороший) Отчет

Рис. 3. Получение оценочного уровня доверия

Первая часть (рис. 1) программы представляет собой упрощенный навигатор по РД БИТ. Наглядно предоставлены классы из второй и третьей части РД, которые

описывают функциональные требования к безопасности и требования доверия к безопасности. Классы представлены в виде дерева классов, к каждому элементу которого, вне зависимости от уровня, есть описание (см. рис. 2).

Вторая часть программы предназначена для получения оценочного уровня доверия. Там представлены все классы проверки, необходимые для получения ОУД. В зависимости от проведенных проверок текущий ОУД динамически меняется. Красным цветом выделяются те классы, предоставление которых необходимо для повышения ОУД (см. рис. 3). Когда оценка закончена, генерируется отчет, содержащий в себе текущий уровень ОУД и требования для его увеличения. Пример отчета приведен на рис. 4.

Рис. 4. Пример отчета

На рис. 5 представлена последняя, третья часть, которая позволяет узнать рейтинг уязвимости и возможности системы по противостоянию злоумышленнику.

ам

Рис. 5. Оценка рейтинга уязвимости

Оценка зависит от таких параметров, как время доступа к объекту, наличие информации об объекте, используемое на объекте оборудование и затрачиваемое время. На выходе выдается рейтинг уязвимости (численная характеристика), уровень СБФ и, соответственно, потенциал нарушителя, которому система может противостоять.

Заключение

Применение разработанной программы позволяет значительно уменьшить трудозатраты при оценке уровня доверия, что ведет к повышению качества оценки.