Для проведения сертификации безопасности необходимо наличие критерия оценки и методики оценки. В качестве критерия оценки при сертификации выступает набор требований безопасности, сформулированных в Руководящих Документах (РД) органов государственного управления, внутриведомственных и межведомственных приказах, соответствующих национальных и международных стандартах, требования конкретной организации, требования пользователей и, возможно, какие-либо другие требования.
Нормативные документы, регламентирующие вопросы проведения сертификации безопасности, определяют процедуру сертификации, функции участников этого процесса, основные методики, концепции и критерии оценки безопасности. Кроме этого, при проведении сертификации используются нормативные документы, посвященные жизненному циклу программных средств и вопросам защиты информации. Важную роль также играют документы, регламентирующие правовые аспекты проведения сертификации безопасности. В каждой системе сертификации используется свой набор нормативных документов, который можно разделить на следующие группы: законодательные акты;
международные и национальные стандарты;
межведомственные и внутриведомственные приказы, руководящие документы и временные положения;
внутриведомственные методики и руководства.
Рассмотрим те группы документов, которые используются или в перспективе должны использоваться в отечественной практике проведения сертификационных испытаний. Условно все множество международных стандартов, используемых при сертификации, можно разделить на три группы. Первая группа стандартов создается под руководством подкомитета ПК27 - ISO/IEC JTC/SC27 и ориентирована преимущественно на конкретные методы и алгоритмы защиты. В этой группе создаются методологические стандарты защиты информации и криптографии независимо от базовой модели взаимодействия открытых систем (ВОС). Делается попытка обобщения конкретных методов и средств защиты в систему организации и управления защитой информации. Вторая группа стандартов создается под руководством подкомитета ПК22 - ISO/IEC JTC1/SC22 и посвящена развитию и детализации концепции взаимосвязи открытых систем (ВОС). Защита информации в этой группе рассматривается как одна из компонент, обеспечивающих возможность полной реализации концепции. Для этого определены услуги и механизмы защиты по уровням базовой модели ВОС и разрабатываются стандарты, последовательно детализирующие методические основы защиты информации и конкретные протоколы защиты на разных уровнях ВОС. Третья группа стандартов направлена на защиту функционирования банковских систем. Она создается под руководством технического комитета - ISO/TC 68 - Банковское дело и соответствующие финансовые операции. Стандарты ориентированы, в основном, на шифрование и аутентификацию при обмене финансовой информацией в процессе деятельности банков. С точки зрения критерия и методики сертификации, интерес представляет лишь первая группа стандартов, начало которой положил стандарт министерства обороны США - DOD 5200.28 - STD (Оранжевая книга). Оранжевая книга посвящена защите грифованных данных, составляющих государственную тайну, которые обрабатываются в многопользовательских АС. Она определяет два подхода к оценке безопасности, связанных со следующими условиями: оценкой, проведенной в отсутствии влияния окружающей среды;
оценкой, выполненной на функционирующей компьютерной системе в реальной среде (или в моделируемой).
Оранжевая книга определяет четыре уровня безопасности, которые делятся на классы: уровень А означает гарантированную защиту. Он предназначен только для некоторых военных систем;
уровень В означает полное управление доступом (MAC - Mandatory Access Control);
уровень C означает избирательное управление доступом (DAC - Discretionary Access Control). DAC позволяет пользователям предоставлять другим пользователям доступ к своим личным данным. Если оценивать коммерческие системы, то можно почти всех их отнести к уровню C.
уровень D предлагает минимальную безопасность.
Национальный Институт Компьютерной Безопасности (National Computer Security Institute) США выпустил приложение к Оранжевой книге под названием Интерпретация для надежных СУБД (Trusted Database Management Systems Interpretation), которое расширяет и конкретизирует критерий оценки безопасности по отношению к СУБД. На практике необходимы подходы, позволяющие производить оценку безопасности или сертификацию системы по частям, и, на основе анализа отдельных частей, делать вывод о безопасности системы в целом. Механизмы безопасности, реализуемые СУБД, опираются на соответствующие механизмы безопасности ОС и расширяют их. Разработка ОС и СУБД обычно осуществляется различными производителями, поэтому и сертификация этих продуктов осуществляется по раздельности. В связи с этим, встает вопрос об оценке безопасности всей системы ОС + СУБД. Интерпретация критерия оценки безопасности для СУБД расширяет понятие надежной вычислительной базы (НВБ), путем введения понятия подмножества НВБ, формулирует условия разбиения НВБ на подмножества и определяет требования критерия оценки безопасности для каждого подмножества. В результате интерпретации Оранжевой книги для нужд безопасности сетей появилась Красная книга. Фактически Красная книга - это две отдельные книги под названиями Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria (NCSC-TG-005) и Trusted Network Interpretation Enviroments Guideline: Guidance for Applying the Trusted Network Interpretation (NCSC-TG-0011). Эти книги были выпущены Национальным центром компьютерной безопасности Министерства обороны США (NCSC) в качестве инструкций для оценки сетей автоматизированных систем Министерства обороны. В руководстве рассматриваются два вопроса - определение метрик для классификации сетей в соответствии с уровнем обеспечиваемой ими защиты и определение минимального уровня защиты, требуемой в различных средах. В целом американская "радужная серия" насчитывает десятки книг с разноцветными обложками, послужившими основой для разработки соответствующих государственных и международных стандартов в области защиты информации. Зеленая книга (Green Book) Агентства информационной безопасности Германии является ответом на американскую Оранжевую книгу. В сентябре 1990 г. этот документ был предложен в качестве основы для всеевропейской Белой книги, определяющей стандарты по обеспечению безопасности информации. В отличие от Оранжевой книги, в которой основной упор сделан на вопросы конфиденциальности, Зеленая книга рассматривает в комплексе требования к доступности, целостности и конфиденциальности данных. Ее требования предназначены не только для использования в военном деле, но и в частном секторе. Она также затрагивает вопросы передачи секретной информации по открытым каналам. Белая книга (White Book): ITSEC - Information Technology Security Evaluation Criteria - это европейский стандарт, который определяет критерии, требования и процедуры для создания систем повышенной безопасности. Стандарт имеет две различные схемы оценки: по эффективности (E1-E6, E6 - для наиболее защищенных систем) и по функциональности (F-IN, F-AV, F-DI, F-DC, F-DX). Оценка по функциональности описывает доступность, целостность системы, целостность данных, их конфиденциальность и передачу данных. Отечественными аналогами перечисленных стандартов являются Руководящие документы Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации” и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”. Среди направлений международной стандартизации можно выделить ряд наиболее важных для обеспечения защищенности информационных технологий. Рабочая группа - ISO/ITC JTC1/SC27/WG3 - Критерии оценки безопасности - разрабатывает в этой области следующие направления: критерии оценки защищенности информационных технологий;
методические документы по применению критериев защищенности;
административные процедуры, необходимые для реализации соответствующих систем испытаний и сертификации методов и средств защиты информации.
По этим направлениям созданы проекты стандартов: JTC1.27.13 - Служебные информационные объекты защиты;
JTC1.27.14 - Руководство по управлению и административным мерам защиты информации. Часть 1: Концепция и модели защиты информации. Часть 2: Управление и планирование защиты информации. Часть 3: Методы административного управления защитой информации;
JTC1.27.15 - Сбор и анализ требований к критериям оценки безопасности ИТ;
JTC1.27.16 - Критерии оценки безопасности информационных технологий. Часть 1: Общая модель. Часть 2: Функциональность защиты в продуктах, системах и компонентах информационных технологий. Часть 3: Удостоверение защищенности продуктов, систем и компонент информационных технологий;
JTC1.27.17 - Механизмы защиты на базе методов с нулевым знанием;
JTC1.27.18 - Управление ключами.
В существующих стандартах пока намечены только первые шаги по формализации аттестации и сертификации качества защиты в АС. Необходимо расширение номенклатуры и углубление содержания стандартов по следующим направлениям: разграничение доступа, контроль и регистрация использования ресурсов, аутентификация, цифровые подписи, тестирование, испытания и сертификация качества средств защиты.