Сертификация средств защиты информации по требованиям безопасности информации. Новая парадигма Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ. НОВАЯ ПАРАДИГМА Марков Алексей Сергеевич

Д.т.н., Президент группы компаний НПО «Эшелон», e-mail: am@cnpo.ru Рауткин Юрий Владимирович

К.т.н., эксперт НПО «Эшелон», e-mail: mail@cnpo.ru 107023, Москва, ул. Электрозаводская, 24

Аннотация. Статья посвящена вопросам сертификации средств защиты информации по требованиям безопасности информации с точки зрения сотрудников испытательных лабораторий. Рассмотрена современная доктрина сертификации, основанная на нормативно-методических документах, представленных на официальном портале ФСТЭК России, а также новая парадигма, основанная на риск-ориентированном подходе.

Ключевые слова: информационная безопасность, требования информационной безопасности, средства защиты информации сертификация программно-аппаратных изделий.

Введение. Разработчики программно-аппаратных изделий в защищенном исполнении сталкиваются с проблемами при сертификации по требованиям безопасности информации. При принятии решения о проведении сертификации в первую очередь решаются два вопроса: каков ее эффект с точки зрения продвижения изделия на рынке и какова ее результативность с точки зрения собственно безопасности. В статье рассматриваются вопросы эволюции взглядов на сертификацию программно-аппаратных изделий, как это видится испытательным лабораториям.

1. Определение сертификации программно-аппаратных изделий в защищенном исполнении. В настоящее время сертификации по требованиям безопасности информации в обязательном порядке подлежат средства защиты информации (СЗИ), применяемые в сегментах, которые:

• обрабатывают государственный информационный ресурс ограниченного доступа, например, конфиденциальную или секретную информацию;

• обрабатывают персональные данные;

• относятся к критическим инфраструктурам и др.

Надо понимать, если в технических условиях на изделие заявлены функциональные возможности, касающиеся защиты ресурсов от угроз конфиденциальности, целостности или доступности, то изделие трактуется как СЗИ (или изделие, включающее СЗИ) [1]. Ввиду длительности и высокой стоимости выполнения сертификации СЗИ, она требует постоянного переосмысления и совершенствования. Определим основной понятийный аппарат в данной области.

Сертификация СЗИ по требованиям безопасности информации представляет собой обязательное независимое подтверждение соответствия СЗИ требованиям нормативных документов по безопасности информации с учетом правил федеральных органов в рамках их

компетенции. Участники сертификации: заявитель (разработчик, изготовитель или поставщик), испытательная лаборатория, орган по сертификации, федеральный орган.

Ключевыми принципами сертификации СЗИ по требованиям безопасности информации являются [2]:

1. Обязательность, которая диктуется современной законодательной базой.

2. Документальное подтверждение соответствия требованиям в виде сертификата.

3. Изделие имеет законченный вид, идентификационные данные и характеристики целостности его фиксируются, изделие подлежит маркировке.

4. Независимость, которая обеспечена работой третьей стороны - аккредитованной испытательной лабораторией, аккредитованным органом по сертификации, которые контролируются федеральным органом.

Основной процедурой сертификации являются сертификационные испытания, программа, методики и результаты которой подлежат внешней экспертизе. В настоящее время приняты две схемы сертификации: партии изделий и серийного производства. В последнем случае проводится испытание типового образца и собственно экспертиза (аттестация) производства СЗИ. Заявитель на сертификацию СЗИ (которым может быть разработчик, изготовитель или поставщик), должен иметь необходимые лицензии, испытательная лаборатория и орган по сертификации - аттестаты аккредитации, т.е. участники тоже подлежат специальным экспертизам.

Таким образом, сертификация представляет многоуровневую систему проверок, обладающию известной долей субъективизма. Это означает, что выполнение процедур сертификации возможно только автоматизированным путем (с участием человека), а основными способами проверки являются экспертные методы [2, 3].

Можно определить методологические уровни сертификации: процедурный, методический, технологический, документальный, инструментальный.

Сертификация включает два класса испытаний:

- на соответствие требованиям по защищенности информации от несанкционированного доступа (НСД);

- контроль отсутствия недекларированных возможностей (НДВ).

Указанным классам соответствуют два класса нормативных документов и два класса технологий тестирования (по методу «черного ящика», по методу «стеклянного ящика»).

Таким образом, понятие безопасности информации СЗИ включает в себя понятие защищенности изделия от угроз (точнее, от несанкционированного доступа к информации) и понятие безопасности программной среды [4].

2. Эффективность сертификации программно-аппаратных изделий. Эффективность сертификации СЗИ как операции порождается совокупностью свойств: результативностью, ресурсоемкостью, оперативностью, т.е. ее можно оценить с помощью следующего е-мерного вектора: Е(е> = (5(з)> К(г>< Т^К

где: Г^> - векторные показатели результативности, ресурсоемкости и

оперативности; е -размерность векторного показателя: е = 5 + г + ^

Как отмечалось ранее, требования по безопасности информации включают требования по защищенности объекта испытаний и требования по безопасности среды:

с _ /с(н сд) <;( н д в)у

Ь <в) - <ь{5 1} ,ь{52> >,

где ^ - размерность векторного показателя.

Формализованное описание цели сертификации можно описать критерием пригодности:

Е< е) е { Е д},

где: { Ед} - область допустимых значений показателя Е ^е> качества результатов сертификации.

В условиях априорной неопределенности факторов сертификации принято использовать вероятность наступления события, которая характеризует степень его объективной возможности при заданном комплексе условий:

Рц - Р(Ё(е> е (ЁДе)}}, где - вероятность достижения целей сертификации.

Итоговой целью сертификации является обеспечение безопасности ресурсов объекта информатизации, в общем случае - информационно-телекоммуникационной системы (ИТКС). В то же время, показатели безопасности информации СЗИ четко заданы в нормативных документах. Как известно, нормативные документы являются отражением текущей доктрины информационной безопасности (ИБ). Сказанное позволяет сформулировать ряд теоретических положений, приведенных ниже и в разделах 3-4.

Утверждение 1. Уровень результативности сертификации СЗИ отстает от уровня результативности анализа защищенности (аудита безопасности) СЗИ на величину отставания

нормативных документов от реальных требований - ( Ь Д^}/ { Ь Д ,

Можно привести доказательство указанного утверждения индуктивным методом. Например, руководящий документ по безопасности информации определяет длину пароля в 8 символов. В то же время энтропия его может быть равна нулю, т.е. система в реальной жизни не защищена. В данном случае, мы видим устаревание показателя парольной защиты, который определяет уязвимость механизма защиты СЗИ и, далее, угрозу ИБ объекта информатизации (ИТКС).

В научном плане остается вопрос: как определить это расстояние между уровнями? Рассмотрим вначале современную парадигму сертификации СЗИ по требования безопасности информации.

3. Современная парадигма сертификации. Наиболее известными нормативно-методическими документами, регулирующими сертификацию в стране, являются положение, руководящие документы и нормативно-правовые акты, представленные на официальном портале ФСТЭК России.

В первую очередь следует отметить текущие показатели результативности сертификации 5 >:

- показатель защищенности информации от несанкционированного доступа (НСД), заданный иерархически в руководящих документах Гостехкомиссии России (соответствует «Оранжевой книге»);

- показатель безопасности ПО СЗИ, формулирующий отсутствие недекларированных возможностей (НДВ).

В первом случае проводится процедура подтверждения (путем функционального тестирования) заданных качественных показателей (например: факт, что пароль должен содержать не менее 8 символов). Если все частные (булевы) показатели подтверждены при проверках, то делается вывод о соответствии СЗИ нормативному документу.

Во втором случае, в соответствии с нормативным документом проводится так называемый статический и (при необходимости) динамический анализ, выражающийся в компиляции и нисходящей декомпозиции программы (сборе маршрутов программ). По завершению проверок делается экспертный вывод об отсутствии НДВ.

Несмотря на то, что указанные методы оценки результативности сертификации имеют ряд косвенных достоинств, следует сделать критический анализ современной доктрины в связи с новыми геополитическими и технологическими условиями. Основными особенностями доктрины являются:

- часть показателей защищенности заданы директивно, т.е. могут не иметь нагрузки для безопасности реального объекта информатизации;

- формально не определена полнота тестирования, т.е. обоснование достоверности носит субъективный характер;

- методический аппарат испытаний опирается на теорию надежности, т.е. мало эффективен при поиске ошибок, связанных с редко используемыми входными данными (например, в случае закладок);

- статичность сертификации, т.е. проверка изделия не проводится до следующей пересертификации (решение о которой мало зависит от инцидентов в области ИБ).

Утверждение 2. Существует ситуация, когда время и стоимость испытаний не влияет на показатели безопасности, но с течением времени эксплуатации изделия его степень безопасности уменьшается:

[V 5Реал

{ 5\5Реала) ^ ю ' где: ТД,Б - обобщенные показатели эффективности сертификации СЗИ, 1 - время эксплуатации СЗИ.

Доказательство утверждения можно выполнить, используя индуктивные методы. Например, Ш22т§-тестирование современной операционной системы предполагает запуск последней до миллиарда раз. Очевидно, что испытательная лаборатория на этапе сертификации не имеет возможности найти уязвимости, опираясь на методы из теории надежности. Еще пример, структурная декомпозиция программ (сбор и контроль всех маршрутов программ) является обязательной и чрезвычайно трудоемкой процедурой, в то же время не связанной напрямую с поиском и локализацией дефектов безопасности.

Следствие 1. Высокая трудоемкость испытаний, основанных на аппарате теории надежности, приводит к снижению показателей ее результативности по причине отвлечения специалистов испытательной лаборатории (ИЛ).

4. Новая парадигма сертификации. Как известно, альтернативным директивному подходу в области ИБ является риск-ориентированный подход.

Сформулируем систему исходящих понятий риск-ориентированного подхода применительно к сертификации СЗИ:

1. Основными факторами ИБ являются (по нисходящей связи): риски ИБ, угрозы (определяющие риски), известные уязвимости (реализация которых может представлять угрозу) и дефекты программ (локализация которых может составить уязвимость).

2. Каждому фактору безопасности поставлены в соответствие классы способов проверки, например:

- методы структурного анализа безопасности программ, направленные на выявление дефектов и уязвимостей;

- методы функционального тестирования (от пентестов до комплексного анализа уязвимостей), ориентированные на идентификацию угроз, в том числе связанных с известными уязвимостями;

- объектовые проверки, позволяющие оценить риски, связанные с актуальными угрозами.

3. Сертификация (согласно системному подходу) рассматривается как неотъемлемая часть непрерывной оценки соответствия, т.е. подразумевает использование результатов приемочных испытаний (в случае модификации изделия) и определение последующего периодического контроля.

Такой подход имеет ряд преимуществ:

- сертификация касается только вопросов ИБ, т.е. исключает трудоемкие (зачастую и невыполнимые) проверки по качеству, в том числе дублируемые разработчиком СЗИ;

- объектовые проверки направлены на защиту только от актуальных угроз, т.е. согласуются с моделью угроз.

- ориентация на факторы безопасности («дефекты-уязвимости») существенно повышает результативность сертификации в смысле повышения безопасности ресурсов АС.

Утверждение 3. Использование риск-ориентированного подхода позволяет

обеспечить заданный уровень эффективности сертификации СЗИ: ~> ь т а х ;

Т < Т ■

1 — хтр>

К ^

Можно предложить доказательство данного подхода, опираясь на индуктивно-дедуктивные методы. Например, базовые классы факторов безопасности, а именно: дефекты безопасности, уязвимости, угрозы и риски - инвариантны, значения их показателей подлежат непрерывному контролю. Эффективность контроля зависит от полноты и ранжирования проверочных процедур, которые, в свою очередь, находятся в постоянном развитии, т.е. подлежат управлению.

Следствие 2. Риск-ориентированный подход позволяет обосновать инкрементальную сертификацию, когда изделие имеет динамически меняющийся код.

Например, имеется ряд изделий, требующих постоянного изменения кода или конфигурационных файлов. В первом случае, как правило, имеем дело с обновлениями, во втором - с базами данных, например, антивирусными базами или базами сигнатур компьютерных атак. Опираясь на риск-ориентированный подход, можно оценить риски, связанные с обновлением ПО, и принять обоснованные решения (провести обработку риска) по периодичности инспекционного контроля обновлений или пересертификации всего изделия.

С учетом новой парадигмы можно уточнить утверждение 1.

Утверждение 4. Степень результативности сертификации продукта (программно-технического средства) может быть определена числом N - опубликованных (нормированных) уязвимостей, оставшихся в продукте в период действия сертификата (с учетом инспекционного контроля).

Следствие 3. В рамках экспертизы материалов должна быть подтверждена полнота спектра выявляемых дефектов и уязвимостей.

Утверждение 5. Результативность сертификации (аттестации) объекта информатизации (ИТКС) может быть определена степенью увеличения риска ИБ AR ресурсам системы, связанного с оставшимися угрозами и уязвимостями за период действия сертификата (с учетом инспекционного контроля).

Следствие 4. В рамках экспертизы материалов должно быть подтверждено соответствие механизмов безопасности СЗИ актуальным угрозам.

5. Методическая база полноты проверок. Как ранее отмечалось, при сертификации используются два класса технологий тестирования: по методу «черного ящика» (функциональное тестирование) и по методу «стеклянного ящика» (структурный анализ).

Обеспечение полноты проверок при структурном анализе видится в реализации эвристического анализа кода, ориентированного на поддержку существующих классификаций и реестров дефектов безопасности.

Обеспечение полноты проверок на уровне функционального тестирования обеспечивается проверками:

- известных уязвимостей и уязвимостей, локализованных по результатам структурного анализа;

- проверкой закрытия актуальных угроз.

Эти задачи упрощаются, если сертификация проводится в соответствии с метастандартом ISO 15408, когда нормативный документ (задание по безопасности) не имеет строго директивного вида, например, ограниченного требованиями к подсистеме разграничения доступа. Согласно методологии ISO 15408, изделие проходит сертификацию на соответствие декларированным в нем механизмам безопасности. В то же время на реальном объекте, имеющем модель угроз ИБ, не представляет трудности соотнести механизмы безопасности с актуальными угрозами. В идеале, администраторы безопасности на объекте могут (в зависимости от оценки стоимости ресурсов) провести оценку рисков с целью редуцирования угроз ИБ.

Внедрение указанных подходов связано с рядом сложностей, к ключевым из которых относят:

- поддержку актуализованной базы эвристик для эвристических анализаторов;

- сложность и новизну понимания метастандарта ISO 15408, трудности его гармонизации с национальными стандартами и специальными требованиями и рекомендациями.

В работе были проанализированы результаты многолетних изысканий, касающихся исследования применения указанных подходов.

6. Статистика работы испытательной лаборатории

6.1. Статистика реализации эвристического анализа. В рамках исследования был разработан эвристических анализатор, совместимый с наиболее известными таксономиями дефектов безопасности (CWE, HP Fortify) и поддерживающий 16 систем программирования. Для каждого языка программирования было разработано около 100 эвристических правил. Для их моделирования был использован продукционный подход [5].

Сравнительный анализ за 7 лет показал весьма высокий результат - 88 % критических уязвимостей было выявлено эвристическим способом (см. рис. 1) [6].

Рис. 1. Статистика результативности способов тестирования

6.2. Статистика внедрения методологии ISO 15408. Апробация методологии ISO 15408 показала ее первичную сложность при обучении персонала, а также разработчиков СЗИ. Несмотря на организацию курсов повышения квалификации, уровень современных разработчиков программно-аппаратных изделий оставляет желать лучшего. Это выражается в том, что на сегодняшний день практически все разработчики программно-аппаратных изделий обращались за помощью по подготовке документации по линии ISO 15408 именно к ИЛ. В то же время проведенные испытаний показали, что их трудоемкость соизмерима с традиционными подходами, что вселяет надежду на успех (рис.2) [7].

Рис. 2. Сравнение трудоемкости тестирование систем обнаружения вторжений

7. Выводы и предложения. Наиболее перспективным направлением развития системы сертификации программно-аппаратных изделий по требованиям безопасности информации видится внедрение риск-ориентированного подхода. Формирование требований по безопасности информации в соответствии с моделью угроз можно осуществлять на базе методологии метастандарта ISO 15408, однако, возможно, с учетом решения проблем сложности указанного подхода. В то же время, вопросы обеспечения безопасности программного обеспечения требуют существенной переработки и новых изысканий.

В качестве предложений можно сформулировать следующие:

- приоритетное использование показателей безопасности информации, а не качества и надежности;

- использование показателей глубины тестирования;

- исследование вопросов интеграции в систему оценки соответствия с учетом приемочных испытаний и периодического контроля;

- формирование рекомендаций (по итогам сертификации) по компенсационным методам защиты информации на объекте;

- формализация требований по оперативному обновлению ПО СЗИ, повторной сертификации (инспекционному контролю).

В завершение следует указать, что отсутствие регламента модификации нормативных документов в соответствии с новыми угрозами в области ИБ является потенциальной причиной возможного снижения эффективности сертификации.

СПИСОК ЛИТЕРАТУРЫ

1. Зубарев И.В., Жидков И.В., Кадушкин И.В. Кибербезопасность автоматизированных систем управления военного назначения // Вопросы кибербезопасности. 2013. № 1(1). С. 10-16.

2. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации / Под ред. А.С. Маркова. М.: Радио и связь, 2012. 192 с.

3. Методическое руководство по оценке качества функционирования информационных систем / Жуков И.Ю., Зубарев И.В., Костогрызов А.И. и др. М. Изд-во 3 ЦНИИ МО РФ, 2004. 352 с.

4. Марков А.С., Цирлов В.Л. Сертификация программ: мифы и реальность // Открытые системы. СУБД. 2011. № 6. С.26-29.

5. Марков А.С., Фадин А.А. Статический сигнатурный анализ безопасности программ. // Программная инженерия и информационная безопасность. 2013. №1(1). С.50-56.

6. Марков А.С., Цирлов В.Л. Опыт выявления уязвимостей в зарубежных программных продуктах // Вопросы кибербезопасности. 2013. № 1(1). С.42-48.

7. Barabanov A.V., Markov A.S., Tsirlov V.L. "Russian IT Security Certification Scheme: Steps Toward Common Criteria Approach". In: Proc. of 15th International Common Criteria Conference (ICCC-2014), New Delhi, India, 2014. pp. 1-11.

UDK 004.056

INFORMATION SECURITY TOOLS CERTIFICATION. NEW PARADIGM

Alexey S. Markov

Dr., Professor, Head of NPO Echelon Yuriy V. Rautkin

PhD, expert of NPO Echelon

Annotation. The problems of certification of information security tools in accordance with information security requirements are discussed. The situation where certification of hardware-software is being mandatory is reviewed. The key features of certification, methodological levels of certification and indicators of the effectiveness of the certification process are formulated. The drawbacks of the modern paradigm of certification are shown. The necessity of the shift of certification paradigm is substantiated. The approaches to ensure the completeness checks of hardware and software products on information security requirements are offered. The results of long-term statistics of certification testing of software and hardware products are presented.

Keyword: information security, information security requirements, information security tools.

References

1. Zubarev I.V., Zhidkov I.V., Kadushkin I.V. Kiberbezopasnost' avtomatizirovannyh sistem upravlenija voennogo naznachenija [Cybersecurity automated control systems for military use] // Voprosy kiberbezopasnosti = Questions cybersecurity. 2013. № 1(1). Pp. 10-16.

2. Markov A.S., Cirlov V.L., Barabanov A.V. Metody ocenki nesootvetstvija sredstv zashhity informacii [Methods for evaluating inconsistencies of information security tools]. Moscow. Radio i svjaz' = Radio and Communications 2012. 192 p.

3. Metodicheskoe rukovodstvo po ocenke kachestva funkcionirovanija informacionnyh sistem [Methodological manual on evaluating the quality of information systems] / Zhukov I.Ju., Zubarev I.V., Kostogryzov A.I. i dr. Moscow. Izd-vo 3 CNII MO RF. 2004. 352 p.

4. Markov A.S., Cirlov V.L. Sertifikacija programm: mify i real'nost' [Certification of Programs: Myths and Reality] // Otkrytye sistemy. SUBD. = Open the system. DBMS 2011. № 6. Pp. 2629.

5. Markov A.S., Fadin A.A. Staticheskij signaturnyj analiz bezopasnosti program [Statistical signature analysis the cybersecurity of program] // Programmnaja inzhenerija i informacionnaja bezopasnost'. = Software Engineering and Information Security. 2013. №1(1). Pp. 50-56.

6. Markov A.S., Cirlov V.L. Opyt vyjavlenija ujazvimostej v zarubezhnyh programmnyh produktah [Experience identifying vulnerabilities in overseas software products] // Voprosy kiberbezopasnosti. = Questions cybersecurity. 2013. № 1(1). Pp. 42-48.

7. Barabanov A.V., Markov A.S., Tsirlov V.L. "Russian IT Security Certification Scheme: Steps Toward Common Criteria Approach". In: Proc. of 15th International Common Criteria Conference (ICCC-2014), New Delhi, India, 2014. pp. 1-11.