# 1. Стандарт безопасности «Оранжевая книга»

Стандарт **«Критерии оценки доверенных компьютерных систем» /Trusted Computer System Evaluation Criteria/**, более известный как **«Оранжевая книга»**, был разработан Министерством Обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности.

Требования «Оранжевой книги» имеют следующую структуру:

### 1. Политика безопасности

    1.1. Система должна поддерживать точно определённую политику безопасности.
    Возможность доступа субъектов к объектам должна определяться на
    основании их идентификации и набора правил управления доступом. По мере
    необходимости должна использоваться политика мандатного управления
    доступом.
    
    1.2. С объектами должны быть ассоциированы метки безопасности, используемые
    в качестве исходной информации для процедур контроля доступа. Для
    реализации мандатного управления доступом система должна обеспечивать
    каждому объекту набор атрибутов, определяющих степень
    конфиденциальности объекта и режимы доступа к этому объекту.
    
### 2. Подотчётность

    2.1. Все субъекты должны имееть уникальные идентификаторы. Контроль доступа
    должен осуществляться на основе идентификации субъекта и объекта
    доступа, аутентификации и правил разграничения доступа. Данные,
    используемые для идентификации и аутентификации, должны быть
    защищены от несанкционированного доступа, модификации и уничтожения и
    должны быть ассоциированы со всеми активными компонентами компьютерной системы, 
    функционирование которых критично с точки зрения безопасности.
    
    2.2. Для определения степени ответственности пользователя за действия в системе,
    все происходящие в ней события, имеющие значение с точки зрения
    безопасности, должны отслеживаться и регистрироваться в защищённом
    протоколе. Система регистрации должна осуществлять анализ общего потока
    событий и выделять из него только те события, которые оказывают влияние на
    безопасность. Протокол событий должен быть надёжно защищён от
    несанкционированного доступа, модификации и уничтожения.


### 3. Гарантии

    3.1. Средства защиты должны содержать независимые аппаратные или
    программные компоненты, обеспечивающие работоспособность функций
    защиты. Это означает, что все средства защиты, обеспечивающие политику
    безопасности, управление атрибутами и метками безопасности, регистрацию
    и учёт, должны находиться под контролем средств, проверяющих
    корректность их функционирования. Средства контроля должны быть
    полностью независимы от средств защиты.
    
    3.2. Все средства защиты должны быть защищены от несанкционированного
    вмешательства и отключения, причём эта защита должна быть постоянной и
    непрерывной в любом режиме функционирования системы защиты и
    автоматизированной системы в целом. Данное требование распространяется
    на весь жизненный цикл автоматизированной системы.
    
    
    
Напомним, что «Оранжевая книга» является **оценочным стандартом** – а значит, предназначена в первую очередь для проведения анализа защищённости автоматизированных систем. По результатам такого анализа АС должна быть отнесена к
одному из определённых в документе классов защищённости.

### «Оранжевая книга» определяет четыре группы классов защищённости:

- A – содержит единственный класс A1.
- B – содержит классы B1, B2 и B3.
- С – содержит классы C1 и C2.
- D – содержит единственный класс D1.

Требуемый уровень защищённости системы возрастает от группы D к группе A, а в пределах одной группы – с увеличением номера класса. Каждый класс характеризуется определённым фиксированным набором требований к подсистеме обеспечения
информационной безопасности, реализованной в АС.

Приведём краткие характеристики каждого из классов защищённости.

### I. Группа D – минимальная защита.
К данной категории относятся те системы, которые были представлены для сертификации по требованиям одного из более высоких классов защищённости, но не прошли испытания.

### II. Группа C - дискреционная защита.

Данная группа характеризуется наличием дискреционного управления доступом и регистрации действий субъектов.
#### Класс C1 – дискреционная защита

    Система включает в себя средства контроля и управления доступом,
    позволяющие задавать ограничения для отдельных пользователей. Класс C1
    рассчитан на однопользовательские системы, в которых осуществляется
    совместная обработка данных одного уровня конфиденциальности.
    
#### Класс C2 – управление доступом
    Система обеспечивает более избирательное управление доступом путём
    применения средств индивидуального контроля за действиями
    пользователей, регистрации, учёта событий и выделения ресурсов.
    
### 3. Группа B – мандатная защита

Система обеспечивает мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификаций на функции ядра безопасности. Реализуется концепция монитора безопасности обращений, контролирующего все события в системе.

#### Класс B1 – защита с применением меток безопасности
    Помимо выполнения всех требований к классу C2, система должна
    поддерживать маркировку данных и мандатное управление доступом. При
    экспорте из системы информация должна подвергаться маркировке.
    
>**Ядро безопасности** - Программные и аппаратные элементы, реализующие концепцию монитора ссылок. Они должны разделять все попытки доступа субъектов к объектам, быть защищенным от модификации и проверены на корректное выполнение своих функций.

#### Класс B2 – структурированная защита
    Ядро безопасности должно поддерживать формально определённую и чётко
    документированную модель безопасности, предусматривающую
    дискреционное и мандатное управление доступом, которое
    распространяется на все субъекты. Должен осуществляться контроль
    скрытых каналов передачи информации. В структуре ядра безопасности
    должны быть выделены элементы, критичные с точки зрения безопасности.
    Интерфейс ядра безопасности должен быть чётко определён, а его
    архитектура и реализация должны быть выполнены с учётом возможности
    проведения тестовых испытаний. Управление безопасностью должно
    осуществляться администратором безопасности.
#### Класс B3 – домены безопасности
    Ядро безопасности должно поддерживать монитор безопасности
    обращений, который контролирует все типы доступа субъектов к объектам
    и который невозможно обойти. Ядро безопасности содержит исключительно
    подсистемы, отвечающие за реализацию функций защиты, и является
    достаточно компактным для обеспечения возможности эффективного
    тестирования. Средства аудита должны включать механизмы оповещения
    администратора о событиях, имеющих значение для безопасности системы.
    Необходимо наличие средств восстановления работоспособности системы.
    
### 4. Группа A – верифицированная защита

Группа характеризуется применением формальных методов верификации корректности функционирования механизмов управления доступом. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра безопасности отвечает требованиям безопасности.

Функциональные требования совпадают с классом B3, однако на всех этапах разработки АС требуется применение формальных методов верификации систем защиты.

**Разработка и публикация «Оранжевой книги» стали важнейшей вехой в становлении теории информационной безопасности.** Такие базовые понятия, как **«политика безопасности»**, **«монитор безопасности обращений»** или **«администратор безопасности»** впервые в открытой литературе **появились именно в «Оранжевой книге».**

В то же время с течением времени стали проявляться многочисленные недостатки «Оранжевой книги» и предложенного подхода к классификации АС в целом. Во многом её **устаревание** было связано с принципиальными изменениями аппаратной базы средств вычислительной техники, произошедшими с 1983 г. – и прежде всего, **с распространением распределённых вычислительных систем и сетей, особенности которых в «Оранжевой книге» никак не учитываются.** Не нашли отражения в «Оранжевой книге» и вопросы обеспечения доступности информации. Наконец, с усложнением АС всё больше стала проявляться принципиальная ограниченность «табличного» подхода к классификации систем по требованиям безопасности информации, когда автоматизированная система должна быть отнесена к одному из классов защищённости исходя из выполнения
фиксированного набора требований к функциональным характеристикам – такой подход принципиально не позволяет учесть особенности системы и является недостаточно гибким.

Стараясь не отстать от развивающихся информационных технологий, разработчики «Оранжевой книги» вплоть до 1995 г. выпустили целый ряд вспомогательных документов, известных как **«Радужная серия»**. Эти документы содержали рекомендации по применению положений «Оранжевой книги» для различных категорий автоматизированных систем, а также вводили ряд дополнительных требований. 

Наибольший интерес в «Радужной серии» представляют три документа: 
- «Интерпретация для защищённых сетей»
- «Интерпретация для защищённых СУБД»
- «Руководство по управлению паролями».

В настоящее время «Оранжевая книга» не используется для оценки автоматизированных систем и представляет интерес исключительно с исторической точки зрения.

# 2. Руководящие документы ФСТЭК. Основные документы, краткая характеристика

## Общие положения

Гостехкомиссия России (ныне Федеральная служба по техническому и экспортному контролю – ФСТЭК России) в период с 1992 по 1999 г. разработала пакет **руководящих документов**, посвящённых вопросам защиты информации в автоматизированных системах. Наибольший интерес представляют следующие документы:

- [Защита от несанкционированного доступа к информации. Термины и определения.](https://fstec.ru/component/attachments/download/298)
- [Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.](https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/387-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g4)
- [Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.](https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/384-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g)
- [Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации.](https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/385-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g2)
- [Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищённости от несанкционированного доступа к информации.](https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/383-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-25-iyulya-1997-g)
- [Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.](https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/382-rukovodyashchij-dokument-prikaz-predsedatelya-gostekhkomissii-rossii-ot-4-iyunya-1999-g-n-114)
- [Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К)](http://www.rfcmd.ru/sphider/docs/InfoSec/RD_FSTEK_requirements.htm)

# 3. Руководящий документ "Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей"

Руководящий документ устанавливает классификацию программного обеспечения по уровню контроля отсутствия в нём недекларированных возможностей.

Под недекларированными возможностями понимаются возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Одной из возможных реализаций недекларированных возможностей являются программные закладки – преднамеренно внесённые в программное обеспечение (ПО) функциональные объекты, которые при определённых условиях инициируют выполнение
не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

Устанавливаются 4 уровня контроля, каждый из которых характеризуется определённой совокупностью минимальных требований. В общем случае к ПО предъявляются следующие требования:
### Требования к документации
1. Контроль состава и содержания документации
    - Спецификация.
    - Описание программы.
    - Описание применения.
    - Пояснительная записка.
    - Тексты программ, входящих в состав программного обеспечения.

### Требования к содержанию испытаний
2. Контроль исходного состояния программного обеспечения.
3. Статический анализ исходных текстов программ.

    - Контроль полноты и отсутствия избыточности исходных текстов.
    - Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.
    - Контроль связей функциональных объектов по управлению.
    - Контроль связей функциональных объектов по информации.
    - Контроль информационных объектов.
    - Контроль наличия заданных конструкций в исходных текстах
    - Формирование перечня маршрутов выполнения функциональных объектов.
    -  Анализ критических маршрутов выполнения функциональных объектов(критическим считается маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов).
    - Анализ алгоритма работы функциональных объектов на основе блок-схем, построенных по исходным текстам контролируемого программного обеспечения.
4. Динамический анализ исходных текстов программ
    - Контроль выполнения функциональных объектов.
    - Сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа.
5. Отчётность

    - Предъявляются требования к документам, разрабатываемым в ходе и по результатам проведённых испытаний. Испытания, проводимые в соответствии с данным документом, должны содержать проверки, относящиеся к двум основным категориям – статическому и динамическому анализу. Статический анализ исходных текстов программ – это совокупность методов контроля соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на структурном анализе и декомпозиции исходных текстов программ. В свою очередь, динамический анализ основывается на идентификации фактических маршрутов выполнения функциональных объектов с последующим сопоставлением маршрутам, построенным в процессе проведения статического анализа. Статически и динамический методы анализа дополняют друг друга: результаты статического анализа используются при проведении динамического анализа.

# 4. Руководящий документ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"

Руководящий документ устанавливает классификацию межсетевых экранов по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.

Показатели защищённости применяются к межсетевым экранам (МЭ) для определения уровня защищённости, который они обеспечивают при межсетевом взаимодействии.
Устанавливаются 5 классов защищённости МЭ, однозначно сопоставленных с классами автоматизированных систем:

| Класс МЭ | Класс АС |
| --- | --- |
| 5 | 1Д |
| 4 | 1Г |
| 3 | 1В |
| 2 | 1Б |
| 1 | 1А |

Тем самым, для каждого класса защищённости АС определён класс МЭ, который должен применяться для осуществления безопасного взаимодействия АС с внешней средой.

Принадлежность к тому или иному классу МЭ определяется путём анализа соответствия следующим показателям защищённости:
1. Управление доступом (фильтрация данных и трансляция адресов). Для различных классов защищённости фильтрация производится на разных уровнях модели ISO/OSI.
2. Идентификация и аутентификация (входящих и исходящих запросов).
3. Регистрация.
4. Администрирования: идентификация и аутентификация.
5. Администрирование: регистрация.
6. Администрирование: простота использования.
7. Целостность.
8. Восстановление.
9. Тестирование (возможность проведения регламентного тестирования).
10. Руководство администратора защиты.
11. Тестовая документация.
12. Конструкторская (проектная) документация.

>Ключевая особенность рассмотренного документа состоит в том, что классификация межсетевых экранов производится в том числе и **по уровням модели ISO/OSI**, на которых осуществляется фильтрация. **Данный подход впервые был предложен
именно в этом руководящем документе**.

# 5. Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"

Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.

Средство вычислительной техники (СВТ) рассматривается в документе как совокупность программных и технических элементов АС, способных функционировать самостоятельно или в составе других систем.

Устанавливаются 7 классов защищённости СВТ от НСД к информации, разбитые на 4 группы:

1. 7 класс – СВТ, которые были представлены к оценке, однако не удовлетворяют требованиям более высоких классов.
2. 6 и 5 классы – дискреционная защита.
3. 4, 3 и 2 классы – мандатная защита.
4. 1 класс – верифицированная защита.

Требования ужесточаются с уменьшением номера класса.
Каждый класс характеризуется фиксированным набором показателей защищённости. Классы являются иерархически упорядоченными: каждый последующий класс содержит требования всех предыдущих.

В общем случае требования предъявляются к следующим показателям защищённости:
1. Дискреционный принцип контроля доступа.
2. Мандатный принцип контроля доступа.
3. Очистка памяти.
4. Изоляция модулей.
5. Маркировка документов.
6. Защита ввода и вывода на отчуждаемый физический носитель информации.
7. Сопоставление пользователя с устройством (например, с консолью).
8. Идентификация и аутентификация.
9. Гарантии проектирования.
10. Регистрация.
11. Взаимодействие пользователя с комплексом средств защиты (подразумевается чёткое определение всех возможных интерфейсов).
12. Надежное восстановление.
13. Целостность КСЗ.
14. Контроль модификации.
15. Контроль дистрибуции (имеется в виду контроль точности копирования при изготовлении копий с образца носителя данных).
16. Гарантии архитектуры (означает, что реализованная модель безопасности обеспечивает гарантированный перехват монитором безопасности обращений всех попыток доступа в системе).
17. Тестирование.
18. Руководство для пользователя.
19. Руководство по комплексу средств защиты.
20. Тестовая документация.
21. Конструкторская (проектная) документация. Оценка класса защищённости СВТ осуществляется путём проведения сертификационных испытаний

# 6. Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"

Руководящий документ устанавливает классификацию АС, подлежащих защите от НСД к информации, и задаёт требования по защите информации в автоматизированных системах различных классов.

В соответствии с документом, классификация АС включает следующие этапы:
1. Разработка и анализ исходных данных.
2. Выявление основных признаков АС, необходимых для классификации.
3. Сравнение выявленных признаков АС с классифицируемыми.
4. Присвоение АС соответствующего класса защиты информации от НСД.

Исходными данными для классификации АС являются:
1. Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
2. Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
3. Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
4. Режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. Устанавливаются 9 классов защищённости АС от НСД к информации, каждый класс характеризуется определённой минимальной
совокупностью требований по защите. Классы подразделяются на 3 группы:

### III группа – классы 3Б и 3А
Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.

### II группа – классы 2Б и 2А
Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.

### I группа – классы 1Д, 1Г, 1В, 1Б и 1А
В соответствующих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.
Для каждого из классов фиксируется набор требований, составленный из следующего общего списка:

1. Подсистема управления доступом
    1. Идентификация, проверка подлинности и контроль доступа субъектов:
        - в систему;
        - к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
        - к программам;
        - к томам, каталогам, файлам, записям, полям записей.

    2. Управление потоками информации
2. Подсистема регистрации и учёта
    1. Регистрация и учёт:
        - входа (выхода) субъектов доступа в (из) систему (узел сети);
        - выдачи печатных (графических) выходных документов;
        - запуска (завершения) программ и процессов;
        - доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
        - доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
        - изменения полномочий субъектов доступа;
        - создаваемых защищаемых объектов доступа.
    2. Учёт носителей информации.
    3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
    4. Сигнализация попыток нарушения защиты.
    
3. Криптографическая подсистема
    1. Шифрование конфиденциальной информации.
    2. Шифрование информации, принадлежащей различным субъектам доступа (илигруппам субъектов), на различных ключах.
    3. Использование аттестованных (сертифицированных) криптографических средств.
4. Подсистема обеспечения целостности
    1. Обеспечение целостности программных средств и обрабатываемой информации.
    2. Физическая охрана СВТ и носителей информации.
    3. Наличие администратора (службы) защиты информации в АС.
    4. Периодическое тестирование средств защиты информации (СЗИ) от НСД.
    5. Наличие средств восстановления СЗИ от НСД.
    6. Использование сертифицированных средств защиты. Проверка соответствия требованиям по защите информации от НСД для АС производится в рамках сертификационных или аттестационных испытаний

# 7. Руководящий документ "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации "

Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.

Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.

Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.

В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено.

При этом защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.

# 8. Проект РД Гостехкомиссии России “Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К), официально не принят 

СТР-К является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации. 

В ходе изучения вопросов правового обеспечения вопросов информационной безопасности, столкнулся с тем фактом, что никак не мог найти основания для использования автоматизированных систем определённого класса (1Г, 1Д и т.п.) для обработки конкретных видов информации: коммерческая тайна, служебная тайна и других.

Подобные рекомендации нашлись в документе "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К) 2001г.

Например, вот что говорится о служебной тайне: "АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г". (прим. Официально СТР-К в свободном доступе найти нельзя, т.к. документ имеет пометку "Для служебного пользования" - ДСП, но при достаточно настойчивом поиске в Интернете что-то всё-таки найти удаётся).

Помимо сложностей с получением самого текста СТР-К, заключаемых в том, что нужно обращаться с запросом во ФСТЭК по вопросу его получения, периодически возникают вопросы о том, является ли данный документ обязательным к применению и для кого?

Подытожив мнение различных специалистов можно сказать следующее:

- Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г. действительно не регистрировался в Минюсте;
- Регулятор считает, что это технический документ и регистрации в Минюсте не подлежит;
- Для доказывания своей точки зрения на правовой статус данного документа нужно обращаться в суд;
- На практике при проведении аттестации автоматизированных систем как аттестаторы, так и проверяющие органы следуют рекомендациям этого документа;
- Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям и попыток обратиться в суд с обжалованием (по крайней мере, широко известных попыток) никто не предпринимал.

# 9. Стандарт «Общие Критерии». Концепция, основные понятия и определения.

Как для «Оранжевой книги», так и для в целом аналогичных ей руководящих документов Гостехкомиссии России, характерны многочисленные недостатки.

Перечислим наиболее существенные из них:
- Документы ориентированы на обеспечение защиты информации от угроз нарушения конфиденциальности и, в определённой степени, целостности. Угрозы нарушения доступности практически не рассматриваются.
- Используемый «табличный» подход не позволяет учесть специфику конкретных систем или продуктов, в том числе порядок обработки информации в автоматизированной системе. Так, например, понятие «политика безопасности» в РД Гостехкомиссии России не упоминается.
- Документы содержат перечень механизмов, наличие которых необходимо для отнесения СВТ или АС к тому или иному классу защищённости. При этом совершенно не формализованы методы проверки корректности и адекватности реализации функциональных требований
- Формулировки ряда требований чрезвычайно туманны и допускают неоднозначную интерпретацию.

В целом, РД Гостехкомиссии России и «Оранжевая книга», как и все другие оценочные стандарты первого поколения, создавались для давно ушедшей в прошлое материально-технической базы и по целому ряду аспектов являются морально
устаревшими.

Стандарт **ISO/IEC 15408-1999 “Common Criteria for Information Technology
Security Evaluation”** был разработан совместными усилиями специалистов Канады, США, Великобритании, Германии, Нидерландов и Франции в период с 1990 по 1999 год, развитие стандарта непрерывно продолжается. Исторически за стандартом закрепилось разговорное название **“Common Criteria”** – «Общие критерии».

В России аутентичный перевод «Общих критериев» версии 2.0 принят в качестве ГОСТ в 2002 году и введён в действие с 1 января 2004 г. Точное название документа: **ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства
обеспечения безопасности. Критерии оценки безопасности информационных технологий».**
Документ состоит из трёх частей:
1. Введение и общая модель.
2. Функциональные требования безопасности.
3. Требования доверия к безопасности.

В перспективе «Общие критерии» должны заменить РД Гостехкомиссии России во всех системах сертификации средств защиты информации. В настоящий момент оба поколения стандартов используются одновременно, причём «Общие критерии» применяются исключительно при проведении сертификации продуктов, не предназначенных для обработки информации, составляющей государственную тайну.

**Основное свойство «Общих критериев» (ОК) - это максимально возможная универсальность**: под объектом оценки (ОО) понимается произвольный продукт информационных технологий или система с руководствами администратора и
пользователя. Продукт рассматривается как совокупность программных, программноаппаратных или аппаратных средств информационных технологий, предоставляющая определённые функциональные возможности и предназначенная для непосредственного использования или включения в состав различных систем. В свою очередь, система – это специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.

Предполагается, что общие критерии могут быть использованы следующими категориями пользователей:
1. Потребители.
    - ОК позволяют определить, вполне ли оцениваемый продукт или система удовлетворяют их потребностям в безопасности.
2. Разработчики
    - Конструкции ОК могут быть использованы для формирования утверждения о соответствии объекта оценки установленным требованиям.
3. Оценщики
    - Стандарт может быть использован при формировании заключения о соответствии ОО предъявляемым к ним требованиям безопасности. Объект оценки рассматривается в контексте среды безопасности, в которую включаются:
        - **законодательная среда** – законы и нормативны акты, затрагивающие ОО;
        - **административная среда** – положения политик безопасности, затрагивающих ОО и учитывающих его особенности;
        - **процедурная среда** – меры физической защиты, персонал и его специфика;
        - **программно-техническая среда** – назначение ОО, предполагаемые области его применения.


При подготовке к оценке формализуются следующие аспекты среды ОО:

1. Предположения безопасности
Предположения выделяют ОО из общего контекста и задают границы его рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. При проведении оценки предположения безопасности принимаются без доказательств.
2. Угрозы безопасности
Выделяются угрозы, наличие которых в рассматриваемой среде установлено или предполагается. Угроза характеризуется следующими параметрами:
        - источник угрозы;
        - предполагаемый способ реализации угрозы;
        - уязвимости, которые являются предпосылкой для реализации угрозы;
        - активы, которые являются целью нападения;
        - нарушаемые свойства безопасности активов;
        - возможные последствия реализации угрозы.
3. Политики безопасности
Излагаются положения политики безопасности, применяемые в организации, которые имеют непосредственное отношение к ОО.
На основании сформулированных предположений безопасности, при учёте угроз и политик формулируются цели безопасности для ОО, направленные на обеспечение противостояния угрозам и выполнение положений политики безопасности.
Для достижения поставленных целей к ОО и его среде предъявляются требования безопасности. Вторая и третья части «Общих критериев» представляют собой каталоги требований безопасности следующих типов:
- Функциональные требования (Часть 2) – соответствуют активному аспекту защиты и предъявляются к функциям безопасности ОО и реализующим их механизмам.
- Требования доверия (Часть 3) – предъявляются к технологии и процессу разработки, эксплуатации и оценки ОО и призваны гарантировать адекватность реализации механизмов безопасности.

При формулировании требований к ОО могут быть разработаны два документа:
1. Профиль защиты – не зависящая от конкретной реализации совокупность требований информационных технологий для некоторой категории ОО

Профиль защиты (ПЗ) непривязан к конкретному ОО и представляет собой обобщённый стандартный набор функциональных требований и требований доверия для определённого класса продуктов или систем. Например, может быть разработан профиль защиты на межсетевой экран корпоративного уровня или на биллинговую систему. Именно каталог утверждённых профилей защиты должен послужить заменой традиционных руководящих документов Гостехкомиссии России.
        
2. Задание по безопасности – документ, содержащий требования безопасности для конкретного ОО и специфицирующий функции безопасности и меры доверия, предлагаемые объектом оценки для выполнения установленных требований. В задании по безопасности (ЗБ) может быть заявлено соответствие одному или нескольким профилям защиты. ЗБ можно рассматривать как техническое задание на подсистему обеспечения информационной безопасности для ОО.

Задание по безопасности служит основой для проведения оценки ОО с целью демонстрации соответствия его требованиям безопасности.
Нетрудно видеть, что по сравнению с традиционными стандартами «Общие критерии» представляют собой принципиально более гибкий и универсальный инструмент. Однако стандарт не претендует на всеобъемлющую универсальность и, в
частности, имеет следующие ограничения:
1. ОК не содержат критериев оценки, касающихся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий (управление персоналом, вопросы физической безопасности и т.д.). Соответствующие аспекты в рамках «Общих критериев» могут рассматриваться исключительно в виде предположений безопасности. Предполагается, что оценка соответствующих механизмов должна проводиться с использованием других стандартов.
2. Вопросы защиты информации от утечки по техническим каналам, такие как контроль ПЭМИН, непосредственно не затрагиваются, хотя многие концепции ОК потенциально применимы и в данной области.
3. В ОК не рассматриваются ни методология оценки, ни административноправовая структура, в рамках которой критерии могут применяться органами оценки.
4. Процедуры использования результатов оценки при аттестации продуктов и систем находятся вне области действия ОК.
5. В ОК не входят критерии оценки специфических свойств криптографических алгоритмов. Независимая оценка математических свойств криптографических компонентов, встроенных в ОО, должна проводиться как самостоятельная независимая процедура

# 10. Стандарт «Общие Критерии». Структура и содержание ПЗ

Введение ПЗ должно содержать информацию управления документооборотом и обзорную информацию, необходимые для работы с реестром ПЗ:
- идентификация ПЗ должна обеспечить маркировку и описательную информацию, необходимые, чтобы идентифицировать, каталогизировать, регистрировать ПЗ и ссылаться на него;
- аннотация ПЗ должна дать общую характеристику ПЗ в описательной форме. Она должна быть достаточно подробной, чтобы потенциальный пользователь ПЗ мог решить, представляет ли ПЗ для него интерес. Аннотация должна быть также применима для размещения в виде самостоятельного реферата в каталогах и реестрах ПЗ.

![](pz.png)

Описание ОО служит цели лучшего понимания его требований безопасности и даёт представление о типе продукта и основных характерных особенностях ИТ применительно к ОО. Описание ОО предоставляет контекст для оценки. Информация, содержащаяся в описании ОО, будет использована в процессе оценки для выявления противоречий. Поскольку ПЗ обычно не ссылается на конкретную реализацию, то характерные особенности ОО могут быть представлены в виде предположений.
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его применения. Это изложение должно включать:
1. Описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использоваться или предполагается к использованию. Оно должно включать в себя:
    - информацию относительно предполагаемого использования ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования;
    - информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей.
2. Описание угроз, включающее все те угрозы активам, против которых требуется защита средствами ОО или его среды. Заметим, что необходимо приводить не все угрозы, которые могут встретиться в среде, а только те из них, которые влияют на безопасную эксплуатацию ОО. Если цели безопасности ОО следуют только из политики безопасности организации и предположений, то описание угроз может быть опущено.
3. Описание политики безопасности организации, идентифицирующее и, при необходимости, объясняющее все положения политики безопасности организации или правила, которым должен подчиняться объект оценки. Если цели безопасности следуют только из угроз и предположений безопасности, описание политики безопасности организации может быть опущено.

Изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение
противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации.

Цели безопасности для ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым необходимо противостоять средствами ОО, или с политикой безопасности организации, которой должен отвечать ОО.

Цели безопасности для среды ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым не полностью противостоит ОО, или с политикой безопасности организации и предположениями, не полностью
удовлетворяемыми ОО.

Цели безопасности для среды могут повторять, частично или полностью, некоторые предположения, сделанные при изложении среды безопасности ОО.

При изложении требований безопасности ОО должны быть определены функциональные требования и требования доверия, которым должны удовлетворять ОО и свидетельства поддержки его оценки для достижения целей безопасности ОО.

При изложении функциональных требований безопасности ОО следует определять функциональные требования к ОО, где это возможно, как функциональные компоненты, выбираемые из части 2 ОК. В случае необходимости, требования формулируются в явном виде, однако при их изложении необходимо сохранять стилистику «Общих критериев».

При выборе компонентов функциональных требований из части 2 ОК, над ними могут быть осуществлены следующие операции:
- итерация, позволяющая неоднократно использовать компонент при различном выполнении в нем операций;
- назначение, позволяющее специфицировать параметр, устанавливаемый при использовании компонента;
- выбор, позволяющий специфицировать пункты, которые выбираются из перечня, приведенного в компоненте;
- уточнение, позволяющее осуществлять дополнительную детализацию при использовании компонента.

Требования доверия к безопасности ОО обычно формулируются как один из приведённых в части 3 ОК оценочных уровней доверия (ОУД) – стандартных наборов требований доверия. При этом допускается:
- усиливать выбранный уровень доверия компонентами из других ОУД;
- явным образом формулировать требования доверия, не содержащиеся в части 3 ОК.

Необязательное изложение требований безопасности для среды ИТ должно определять требования безопасности ИТ, которым должна отвечать среда ИТ этого ОО. Если безопасность ОО не зависит от среды ИТ, то эта часть ПЗ может быть опущена.
Хотя требования безопасности среды, не относящиеся к ИТ, часто бывают полезны на практике, не требуется, чтобы они являлись формальной частью ПЗ, поскольку они не связаны непосредственно с реализацией ОО.

Раздел ПЗ Замечания по применению является необязательным и может содержать дополнительную информацию, которая считается уместной или полезной для создания, оценки и использования ОО. Обоснование ПЗ поддерживает утверждения о том, что ПЗ является полной и взаимосвязанной совокупностью требований, и что соответствующий ему ОО обеспечит
эффективный набор контрмер безопасности ИТ в определенной среде безопасности.
Обоснование должно включать:
- логическое обоснование целей безопасности, демонстрирующее, что изложенные цели безопасности сопоставлены со всеми идентифицированными аспектами среды безопасности ОО и пригодны для их охвата
- логическое обоснование требований безопасности, демонстрирующее, что совокупность требований безопасности ОО и его среды пригодна для достижения целей безопасности и сопоставима с ними. При изложении логического обоснования требований безопасности должно быть продемонстрировано следующее:
    1. Сочетание отдельных компонентов функциональных требований и требований доверия для ОО и его среды ИТ в совокупности отвечает изложенным целям безопасности.
    2. Данный набор требований безопасности образует единое и внутренне непротиворечивое целое. В частности, должны быть удовлетворены все существующие зависимости между функциональными требованиями.
    3. Выбор требований безопасности строго обоснован. Каждое из перечисленных ниже условий должно быть строго обосновано:
        - выбор требований, не содержащихся в частях 2 или 3 ОК;
        - выбор требований доверия, не включенных в какой-либо ОУД;
        - случаи неудовлетворения зависимостей.
    4. Выбранный для ПЗ уровень стойкости функций и заявленная в явном виде стойкость функций согласуются с целями безопасности для ОО.

# 11. Стандарт «Общие Критерии». Структура и содержание ЗБ

В целом структура ЗБ аналогична ПЗ, все изменения связаны с включением информации, относящейся к специфике реализации конкретного ОО.

В целом ЗБ должно быть оформлено как документ, максимально ориентированный на пользователя – с минимумом ссылок на внешние материалы.

Раздел Соответствие ОК должен содержать все поддающиеся оценке утверждение о соответствии ОО Общим критериям. Такие утверждения могут звучать следующим образом:
- соответствие части 2, если в ЗБ при изложении функциональных требований безопасности используются исключительно компоненты из части 2 ОК;
- расширение части 2, если в изложение функциональных требований включены компоненты, отсутствующие в части2 ОК;
- соответствие части 3, если требования доверия представлены в виде ОУД из части 3 ОК или пакета требований доверия, включающего только компоненты доверия из части 3 ОК;
- усиление части 3, если требования доверия представлены в виде ОУД или пакета требований доверия и включают другие компоненты доверия из части 3 ОК.
- расширение части 3, если требования доверия представлены в виде ОУД, дополненного требованиями доверия не из части 3 ОК, или пакета требований доверия, который включает требования доверия, не содержащиеся в части 3 ОК или полностью состоит из них.
- соответствие ПЗ - ОО соответствует ПЗ только в том случае, если он соответствует всем частям этого ПЗ.

![](zb.png)

Краткая спецификация ОО должна определить отображение требований безопасности для ОО. Эта спецификация должна предоставить описание функций безопасности и мер доверия к ОО, которые отвечают требованиям безопасности ОО.

Краткая спецификация должна включать:

1. Изложение функций безопасности ОО, которое должно охватывать все функции безопасности ИТ и определять, каким образом эти функции удовлетворяют функциональным требованиям безопасности ОО. Изложение должно включать двунаправленное сопоставление функций и требований с четким указанием, какие функции каким требованиям удовлетворяют, и что удовлетворены все требования. Каждая функция безопасности должна участвовать в удовлетворении, по меньшей мере, одного функционального требования безопасности ОО. Функции безопасности ИТ должны быть определены неформальным образом на уровне детализации, необходимом для понимания их предназначения. Все ссылки в ЗБ на механизмы безопасности должны быть сопоставлены с соответствующими функциями безопасности так, чтобы было видно, какие механизмы безопасности используются при реализации каждой функции.
2. Изложение мер доверия, которое должно специфицировать меры доверия к ОО, заявленные для удовлетворения изложенных требований доверия. Меры доверия должны быть сопоставлены с требованиями таким образом, чтобы было понятно, какие меры в удовлетворении каких требований участвуют. Там, где это возможно, меры доверия могут быть определены путем ссылки на соответствующие планы обеспечения качества, жизненного цикла или управления.

В утверждение о соответствии ПЗ включаются материалы, необходимые для подтверждения факта соответствия.
Если сделано утверждение о соответствии одному или нескольким ПЗ, то изложение утверждений о соответствии должно содержать следующий материал для каждого ПЗ:
- Ссылку на ПЗ, идентифицирующую ПЗ, соответствие которому утверждается, плюс любые дополнительные материалы, которые могут потребоваться в соответствии с этим утверждением. Обоснованное утверждение о соответствии подразумевает, что ОО отвечает всем требованиям ПЗ.
- Конкретизацию ПЗ, идентифицирующую те требования безопасности ИТ, в которых выполняются операции, разрешенные в ПЗ, или дополнительно уточняются требования ПЗ.
- Дополнение ПЗ, идентифицирующее цели и требования безопасности ОО, которые дополняют цели и требования ПЗ. Случай, когда в ЗБ утверждается о частичном соответствии ПЗ, не приемлем для оценки в рамках ОК. Логическое обоснование краткой спецификации ОО, показывает, что функции безопасности и меры доверия к ОО пригодны, чтобы отвечать требованиям безопасности ОО. Должно быть продемонстрировано следующее:
- сочетание специфицированных для ОО функций безопасности ИТ при совместном использовании удовлетворяет функциональным требованиям безопасности ОО;
- справедливы сделанные утверждения о стойкости функций безопасности ОО либо заявление, что в таких утверждениях нет необходимости;
- строго обосновано утверждение, что изложенные меры доверия соответствуют требованиям доверия.

Уровень детализации логического обоснования должен соответствовать уровню детализации определения функций безопасности.

Логическое обоснование утверждений о соответствии ПЗ объясняет любые различия между целями и требованиями безопасности ЗБ и любого ПЗ, соответствие которому утверждается. Эта часть ЗБ может быть опущена, если не сделано утверждений
о соответствии ПЗ, или если цели и требования безопасности ЗБ и каждого ПЗ, соответствие которому утверждается, полностью совпадают

# 12. Стандарт «Общие Критерии». Функциональные требования безопасности

Систематизированный каталог функциональных требований безопасности
сосредоточен во второй части ОК. Функциональные требования разбиты на 11 классов, 66 семейств и 135 компонентов.

![](func.png)

Имя класса содержит информацию, необходимую для идентификации функционального класса и отнесения его к определенной категории. Каждый функциональный класс имеет уникальное имя. Информация о категории предоставлена кратким именем, состоящим из трех букв латинского алфавита. Краткое имя класса используют при задании кратких имен семейств этого класса. Представление класса содержит рисунок, показывающий все семейства этого класса и иерархию компонентов в каждом семействе.

![](func2.png)

Каждое функциональное семейство имеет уникальное имя. Первые три символа идентичны краткому имени класса, далее следуют символ подчеркивания и краткое имя семейства в виде XXX_YYY.

Характеристика семейства – это описание функционального семейства, в котором излагаются его цели безопасности и общее описание функциональных требований. Цели безопасности семейства характеризуют задачу безопасности, которая может быть решена с помощью ОО, включающего компонент из этого семейства. Описание функциональных требований обобщает все требования, которые включены в компоненты.

Цель ранжирования компонентов – предоставить пользователям информацию для выбора подходящего функционального компонента из семейства.

Связи между компонентами в пределах функционального семейства могут быть иерархическими и неиерархическими. Компонент иерархичен (т.е. расположен выше по иерархии) по отношению к другому компоненту, если предлагает большую безопасность.
Требования управления содержат информацию для разработчиков ПЗ/ЗБ, учитываемую при определении действий по управлению для данного компонента.

Требования управления детализированы в компонентах класса «Управление безопасностью» (FMT).

Требования аудита содержат события, потенциально подвергаемые аудиту, для их отбора разработчиками ПЗ/ЗБ при условии включения в ПЗ или ЗБ требований из класса FAU «Аудит безопасности». Эти требования включают в себя события, относящиеся к безопасности, применительно к различным уровням детализации, поддерживаемым компонентами семейства FAU_GEN «Генерация данных аудита безопасности». Например, запись аудита какого-либо механизма безопасности может включать на разных уровнях детализации, которые раскрываются в следующих терминах:

 - минимальный - успешное использование механизма безопасности;
 - базовый - любое использование механизма безопасности, а также информация о текущих значениях атрибутов безопасности.
 - детализированный - любые изменения конфигурации механизма безопасности, включая параметры конфигурации до и после изменения