![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 23 - CW 33/97
Kritéria hodnocení bezpečnosti ITVáclav Matyáš ml.
Standardy v průmyslovém světě znamenají jednu ze zásadních cest předávání znalostí, snižování nákladů a k umožnění vzájemné spolupráce a kompatibility produktů.
V bezpečnosti IT lze standardy členit do skupin: -- základní standardy -- pro obecné požadavky uživatelů -- např. bezpečnostní architektura OSI, mechanismy autentizace entit atd., -- funkční standardy -- pro zajištění a certifikaci produktů, pro služby -- vysvětlují obecný přístup k využití základních standardů (např. požadavky k autentizaci dat, základům integrity atd.), -- kritéria hodnocení -- pro hodnocení produktů a systémů (např. TCSEC, ITSEC, CC), -- průmyslové standardy a postupy -- technické a procedurální standardy vyžadované specifickými skupinami uživatelů nebo společností (např. bankovní standardy), -- výkladové dokumenty -- průvodce, slovníky pro informovanost a vzdělání (pokyny k ochraně soukromí, seznamy termínů atd.). Potřeba standardizace (a to nejen v bezpečnosti) IT vyvstala s přechodem od sálových systémů k otevřeným systémům a rozšířením významu komunikací. Asi nejdůležitější skupinou standardů jsou tzv. kritéria hodnocení bezpečnosti IT, kterým se budeme věnovat v této části seriálu. K ostatním druhům standardů se vrátíme v díle příštím. Kritéria pro hodnocení bezpečnosti IT (dále jen "kritéria") slouží především jako měřítko používané k hodnocení informačních technologií s ohledem na jejich bezpečnost, na konkrétní aplikace služeb a na opatření k zajištění bezpečnosti. Vládní kritéria většinou určují hlavní směr vývoje i pro kritéria bankovní, komerční atd. -- obvykle však jsou vládní kritéria používána i nevládními organizacemi. Hodnocené objekty se často dělí na produkty (nemají specifikováno provozní prostředí a tedy ani hrozby) a na systémy (větší spojité celky s rysem -- kde je při hodnocení známa i konfigurace a provozní prostředí). Při hodnocení je od výrobce (žadatele o hodnocení) vyžadována podrobná specifikace, dokumentace a popis postupu při vývoji, které by u jiné než komerčně nezávislé agentury byly vystaveny většímu riziku ohrožení úniku informací, jež jsou pro výrobce často životně důležité. Hodnocení je prováděno hodnotitelem na základě žádosti (a za prostředky) výrobce, který také specifikuje, na jaké úrovni má být produkt či systém hodnocen. Podle specifikace požadavků v kritériích musí výrobce hodnotiteli poskytnout potřebnou dokumentaci, podporu odborníků atd. Hodnocení probíhá v určitém prostředí a konfiguraci, proto je také nutno tyto údaje uvádět při prezentování výsledků hodnocení a akreditace (např. u databázových systémů uvést platformu a operační systém, se kterými bylo hodnocení prováděno, verze všech produktů atd.).
USA -- TCSEC -- "Oranžová kniha" Koncem 60. let si odpovědní činitelé amerických vládních agentur začali uvědomovat potřebu jednotného měřítka pro hodnocení produktů s ohledem na jejich služby při ochraně informací. Hodnocení produktů pro jednotlivé úřady bylo jak časově, tak i finančně náročné a perspektiva jednoho zhodnocení a akreditace, která by byla platná pro daný produkt na celém území USA, byla snad nejjednodušším řešením. Daná akreditace šetří čas a vládní prostředky, protože bez ní by bylo nutno provádět hodnocení vždy znovu při každém nákupu. Druhým pozitivním aspektem je pak možnost srovnání a snazší specifikace potřeb jednotlivých úřadů. Výsledek dlouholeté práce ministerstva obrany, standardizačních orgánů a také vládě blízkých firem se dostavil v podobě kritérií pro hodnocení důvěryhodných výpočetních systémů. Tato kritéria byla vydána v roce 1985 jako standard ministerstva obrany. Oranžový přebal charakterizoval tuto publikaci, která je pod názvem "Orange Book" známa po celém světě. Trusted Computer System Evaluation Criteria (TCSEC) jsou ovlivněna dobou vzniku a slouží především pro potřeby víceuživatelských monolitických počítačů. Databázové systémy, sítě, menší části systémů atd. byly pak s postupem času zohledněny "interpretacemi" TCSEC -- jako např. Trusted Database Interpretation, Trusted Network Interpretation atd. I jejich barvy přebalů pak daly podnět k názvům jako "Red Book" atd. Čtyři skupiny TCSEC (A, B, C, D) odpovídají vždy jednomu kvalitativně odlišnému stupni bezpečnosti a jsou dále děleny do tříd (D, C1, C2, B1, B2, B3, A1). Každá ze tříd pokrývá a popisuje čtyři aspekty hodnocení -- bezpečnostní směrnice, zodpovědnost, zabezpečení a dokumentaci. Jednotlivé požadavky pro dané třídy se postupně zpodrobňují a tvoří hierarchii s třídou D jako prvkem nejnižším a s třídou A1 jako prvkem nejvyšším. Praktického užití se dostává především skupinám B a hlavně C, neboť třída D zahrnuje prostě produkty, které byly podrobeny hodnocení s užitím TCSEC, ale které nedosáhly žádné z vyšších tříd, a třída A1 stanovuje požadavky, které jsou pro většinu produktů z finančních důvodů nerealizovatelné. Pro přiblížení -- dobře "udělaný" Unix se pohybuje na úrovni C1, po určitých úpravách jej lze dostat na úroveň C2. Pro přechod do vyšší úrovně by bylo třeba vynaložit skutečně velké úsilí. Nová kritéria Federal Criteria for Information Technology Security (FC) jsou vyvíjena ve spolupráci National Security Agency (NSA) a National Institute of Standards and Technology (NIST).
ITSEC S ohledem na neorganizovaný vývoj a aktivity v EC (vládní a komerční kritéria v Británii, jiná kritéria ve Francii i Německu) došlo ke shodě vlád těchto zemí a Nizozemí a výsledkem byla později Information Technology Security Evaluation Criteria (ITSEC). ITSEC přinesla změnu v podobě zavedení možnosti hodnotit celé systémy (tedy nejen jednotlivé produkty) a hlavně v uvedení dvou dimenzí pro hodnocení systémů -- funkčnosti (popisující funkční rysy) a záruky (poskytující nové měřítko pro celkové obecné hodnocení efektivnosti a správnosti zajištění bezpečnosti). Kritéria ITSEC jsou skutečně vynikajícím nástrojem a měřítkem ve své dimenzi záruky -- třídy E0 (nevyhovující) až E6. Požadavky na bezpečnostní služby i architekturu jsou precizně specifikovány stylem odpovídajícím některým modelům bezpečnostní politiky, resp. směrnic. Na druhé straně ale kritéria ITSEC neposkytují mnoho informací pro hodnocení prvků funkčnosti a vzhledem k době svého vzniku by mohly věnovat více pozornosti sítím. Funkční třídy jsou uvedeny spíše jako příklady a je možné je dále doplňovat a rozšiřovat -- existuje např. třída pro čipové karty. V roce 1993 došlo k doplnění ITSEC o metodologickou příručku pro hodnocení -- Information Technology Security Evaluation Manual (ITSEM).
CTCPEC -- kanadská kritéria V roce 1989 byla vydána první verze kanadských kritérií -- Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) -- jejichž současná verze poskytuje velice kvalitní měřítko pro hodnocení bezpečnosti a tato kritéria jsou podle mne nejpropracovanější podobou kritérií ve skutečně použitelné podobě. Podobně jako ITSEC, jsou i kanadská kritéria rozdělena na dvě části -- funkčnost a záruka. Funkčnost je v kanadských kritériích dále dělena do čtyř částí, které také odpovídají čtyřem základním skupinám požadavků na bezpečnost informačních technologií: -- důvěrnost (požadavky na omezení odhalení informačního obsahu), -- integrita (požadavky na omezení modifikace informací), -- dostupnost (požadavky na zajištění přístupu autorizovaných osob k ochraňovanému systému a na zajištění procesů s tím souvisejících), -- zodpovědnost (požadavky na sledování a řízení přístupu k systému). Takto definované oblasti pak přímo adresují možné hrozby a prvky běžné zranitelnosti systémů. Každá z oblastí se skládá z několika služeb (početně 4, 7, 4, 3), které mohou sloužit jako protiopatření k zajištění bezpečnosti. Tento rys (přímé adresování služeb jako protiopatření k možným hrozbám) je typickým rysem kanadských kritérií. Rozpracování záruk je v CTCPEC v podstatě doplněním některých praktických požadavků a detailů k ITSEC. Vlastní klasifikace do tříd je pak T-0 (nevyhovující) až T-7 (zahrnuje formální model návrhu hodnoceného bezpečnostního systému a jasný popis návaznosti praktické implementace a zvoleného designu). Jako nezávislá část kanadského systému hodnocení bezpečnosti byla současně s CTCPEC vydána kritéria pro hodnocení kryptografických modulů.
Společná kritéria V zájmu praktické realizace zájmů zainteresovaných stran v Severní Americe a Evropě se zástupci Evropských společenství, Kanady a Spojených států shodli na vývoji Společných kritérií -- Common Criteria (CC). Já jsem měl to štěstí, že jsem mohl přičichnout k této velmi zajímavé práci spolu s kanadskou stranou. Dle mého názoru však tato kritéria začala trpět "otylostí". Návrh CC ve verzi 0.9 čítal přibližně 850 stran dokumentace. Velmi výstižně komentovalo situaci vyjádření německého Präsidiumsarbeitskreis Datenschutz und Datensicherung der Gesellschaft für Informatik: "Výsledný návrh se stal příliš velkým ... Čtenáři, zvláště zákazníci a pořizovatelé nebudou schopni jej číst a rozumět mu jako celku. ... CC se jeví jako pohřbívající strukturu přívalem detailů." Odborná veřejnost také kritizovala povrchní zpracování hodnocení kryptografických mechanismů, jemuž se nedostalo patřičné pozornosti pro individualistické zájmy vlád některých zemí (především USA). Společná kritéria v.1.0 byla uvolněna 31. 1. 1996. Bohužel, i přes označení 1.0 nejsou Společná kritéria v této verzi stále dokončena. Kritéria budou jsou a zůstanou velmi důležitou oblastí v bezpečnosti IT. Jejich existence: 1. usnadňuje aplikaci a použití IT s bezpečnostními prvky -- kritéria poskytují měřítko k hodnocení a srovnávání; 2. umožňuje jednodušší specifikaci požadavků při pořizování prostředků IT; 3. napomáhá při návrhu a vývoji nových technologií, kdy kritéria slouží jako pomocný ukazatel.
Seriál je rovněž k dispozici na www.idg.cz/computerworld/bvsk/
Zdroje dostupné na WWW
TCSEC a Duhová série: http://csrc.ncsl.nist.gov/secpubs/rainbow/
Další dokumenty relevantní TCSEC a bezpečnosti obecně: http://csrc.ncsl.nist.gov/secpubs/
Seznam produktů skutečně vyhodnocených dle TCSEC: http://www.radium.ncsc.mil/tpep/epl/
CTCPEC: ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC/
ITSEC: http://www.itsec.gov.uk/docs/formal.htm#ITSEC
Další dokumenty k ITSEC, seznam vyhodnocených produktů apod.: http://www.itsec.gov.uk/products/locate.htm
Společná kritéria (CC): <http://www.tno.nl/instit/fel/refs/cc.html>, resp. <http://www.cse.dnd.ca/cse/english/cc.html>.
Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |