╚ßst 23 - CW 33/97

KritΘria hodnocenφ bezpeΦnosti IT

Standardy v pr∙myslovΘm sv∞t∞ znamenajφ jednu ze zßsadnφch cest p°edßvßnφ znalostφ, sni₧ovßnφ nßklad∙ a k umo₧n∞nφ vzßjemnΘ spoluprßce a kompatibility produkt∙.

V bezpeΦnosti IT lze standardy Φlenit do skupin:

-- zßkladnφ standardy -- pro obecnΘ po₧adavky u₧ivatel∙ -- nap°. bezpeΦnostnφ architektura OSI, mechanismy autentizace entit atd.,

-- funkΦnφ standardy -- pro zajiÜt∞nφ a certifikaci produkt∙, pro slu₧by -- vysv∞tlujφ obecn² p°φstup k vyu₧itφ zßkladnφch standard∙ (nap°. po₧adavky k autentizaci dat, zßklad∙m integrity atd.),

-- kritΘria hodnocenφ -- pro hodnocenφ produkt∙ a systΘm∙ (nap°. TCSEC, ITSEC, CC),

-- pr∙myslovΘ standardy a postupy -- technickΘ a procedurßlnφ standardy vy₧adovanΘ specifick²mi skupinami u₧ivatel∙ nebo spoleΦnostφ (nap°. bankovnφ standardy),

-- v²kladovΘ dokumenty -- pr∙vodce, slovnφky pro informovanost a vzd∞lßnφ (pokyny k ochran∞ soukromφ, seznamy termφn∙ atd.).

Pot°eba standardizace (a to nejen v bezpeΦnosti) IT vyvstala s p°echodem od sßlov²ch systΘm∙ k otev°en²m systΘm∙m a rozÜφ°enφm v²znamu komunikacφ. Asi nejd∙le₧it∞jÜφ skupinou standard∙ jsou tzv. kritΘria hodnocenφ bezpeΦnosti IT, kter²m se budeme v∞novat v tΘto Φßsti serißlu. K ostatnφm druh∙m standard∙ se vrßtφme v dφle p°φÜtφm.

KritΘria pro hodnocenφ bezpeΦnosti IT (dßle jen "kritΘria") slou₧φ p°edevÜφm jako m∞°φtko pou₧φvanΘ k hodnocenφ informaΦnφch technologiφ s ohledem na jejich bezpeΦnost, na konkrΘtnφ aplikace slu₧eb a na opat°enφ k zajiÜt∞nφ bezpeΦnosti. Vlßdnφ kritΘria v∞tÜinou urΦujφ hlavnφ sm∞r v²voje i pro kritΘria bankovnφ, komerΦnφ atd. -- obvykle vÜak jsou vlßdnφ kritΘria pou₧φvßna i nevlßdnφmi organizacemi.

HodnocenΘ objekty se Φasto d∞lφ na produkty (nemajφ specifikovßno provoznφ prost°edφ a tedy ani hrozby) a na systΘmy (v∞tÜφ spojitΘ celky s rysem -- kde je p°i hodnocenφ znßma i konfigurace a provoznφ prost°edφ).

P°i hodnocenφ je od v²robce (₧adatele o hodnocenφ) vy₧adovßna podrobnß specifikace, dokumentace a popis postupu p°i v²voji, kterΘ by u jinΘ ne₧ komerΦn∞ nezßvislΘ agentury byly vystaveny v∞tÜφmu riziku ohro₧enφ ·niku informacφ, je₧ jsou pro v²robce Φasto ₧ivotn∞ d∙le₧itΘ. Hodnocenφ je provßd∞no hodnotitelem na zßklad∞ ₧ßdosti (a za prost°edky) v²robce, kter² takΘ specifikuje, na jakΘ ·rovni mß b²t produkt Φi systΘm hodnocen. Podle specifikace po₧adavk∙ v kritΘriφch musφ v²robce hodnotiteli poskytnout pot°ebnou dokumentaci, podporu odbornφk∙ atd.

Hodnocenφ probφhß v urΦitΘm prost°edφ a konfiguraci, proto je takΘ nutno tyto ·daje uvßd∞t p°i prezentovßnφ v²sledk∙ hodnocenφ a akreditace (nap°. u databßzov²ch systΘm∙ uvΘst platformu a operaΦnφ systΘm, se kter²mi bylo hodnocenφ provßd∞no, verze vÜech produkt∙ atd.).

USA -- TCSEC -- "Oran₧ovß kniha"

Koncem 60. let si odpov∞dnφ ΦinitelΘ americk²ch vlßdnφch agentur zaΦali uv∞domovat pot°ebu jednotnΘho m∞°φtka pro hodnocenφ produkt∙ s ohledem na jejich slu₧by p°i ochran∞ informacφ. Hodnocenφ produkt∙ pro jednotlivΘ ·°ady bylo jak Φasov∞, tak i finanΦn∞ nßroΦnΘ a perspektiva jednoho zhodnocenφ a akreditace, kterß by byla platnß pro dan² produkt na celΘm ·zemφ USA, byla snad nejjednoduÜÜφm °eÜenφm. Danß akreditace Üet°φ Φas a vlßdnφ prost°edky, proto₧e bez nφ by bylo nutno provßd∞t hodnocenφ v₧dy znovu p°i ka₧dΘm nßkupu. Druh²m pozitivnφm aspektem je pak mo₧nost srovnßnφ a snazÜφ specifikace pot°eb jednotliv²ch ·°ad∙.

V²sledek dlouholetΘ prßce ministerstva obrany, standardizaΦnφch orgßn∙ a takΘ vlßd∞ blφzk²ch firem se dostavil v podob∞ kritΘriφ pro hodnocenφ d∙v∞ryhodn²ch v²poΦetnφch systΘm∙. Tato kritΘria byla vydßna v roce 1985 jako standard ministerstva obrany. Oran₧ov² p°ebal charakterizoval tuto publikaci, kterß je pod nßzvem "Orange Book" znßma po celΘm sv∞t∞.

Trusted Computer System Evaluation Criteria (TCSEC) jsou ovlivn∞na dobou vzniku a slou₧φ p°edevÜφm pro pot°eby vφceu₧ivatelsk²ch monolitick²ch poΦφtaΦ∙. DatabßzovΘ systΘmy, sφt∞, menÜφ Φßsti systΘm∙ atd. byly pak s postupem Φasu zohledn∞ny "interpretacemi" TCSEC -- jako nap°. Trusted Database Interpretation, Trusted Network Interpretation atd. I jejich barvy p°ebal∙ pak daly podn∞t k nßzv∙m jako "Red Book" atd.

╚ty°i skupiny TCSEC (A, B, C, D) odpovφdajφ v₧dy jednomu kvalitativn∞ odliÜnΘmu stupni bezpeΦnosti a jsou dßle d∞leny do t°φd (D, C1, C2, B1, B2, B3, A1). Ka₧dß ze t°φd pokr²vß a popisuje Φty°i aspekty hodnocenφ -- bezpeΦnostnφ sm∞rnice, zodpov∞dnost, zabezpeΦenφ a dokumentaci.

JednotlivΘ po₧adavky pro danΘ t°φdy se postupn∞ zpodrob≥ujφ a tvo°φ hierarchii s t°φdou D jako prvkem nejni₧Üφm a s t°φdou A1 jako prvkem nejvyÜÜφm. PraktickΘho u₧itφ se dostßvß p°edevÜφm skupinßm B a hlavn∞ C, nebo¥ t°φda D zahrnuje prost∞ produkty, kterΘ byly podrobeny hodnocenφ s u₧itφm TCSEC, ale kterΘ nedosßhly ₧ßdnΘ z vyÜÜφch t°φd, a t°φda A1 stanovuje po₧adavky, kterΘ jsou pro v∞tÜinu produkt∙ z finanΦnφch d∙vod∙ nerealizovatelnΘ. Pro p°iblφ₧enφ -- dob°e "ud∞lan²" Unix se pohybuje na ·rovni C1, po urΦit²ch ·pravßch jej lze dostat na ·rove≥ C2. Pro p°echod do vyÜÜφ ·rovn∞ by bylo t°eba vynalo₧it skuteΦn∞ velkΘ ·silφ.

Novß kritΘria Federal Criteria for Information Technology Security (FC) jsou vyvφjena ve spoluprßci National Security Agency (NSA) a National Institute of Standards and Technology (NIST).

ITSEC

S ohledem na neorganizovan² v²voj a aktivity v EC (vlßdnφ a komerΦnφ kritΘria v Britßnii, jinß kritΘria ve Francii i N∞mecku) doÜlo ke shod∞ vlßd t∞chto zemφ a Nizozemφ a v²sledkem byla pozd∞ji Information Technology Security Evaluation Criteria (ITSEC). ITSEC p°inesla zm∞nu v podob∞ zavedenφ mo₧nosti hodnotit celΘ systΘmy (tedy nejen jednotlivΘ produkty) a hlavn∞ v uvedenφ dvou dimenzφ pro hodnocenφ systΘm∙ -- funkΦnosti (popisujφcφ funkΦnφ rysy) a zßruky (poskytujφcφ novΘ m∞°φtko pro celkovΘ obecnΘ hodnocenφ efektivnosti a sprßvnosti zajiÜt∞nφ bezpeΦnosti).

KritΘria ITSEC jsou skuteΦn∞ vynikajφcφm nßstrojem a m∞°φtkem ve svΘ dimenzi zßruky -- t°φdy E0 (nevyhovujφcφ) a₧ E6. Po₧adavky na bezpeΦnostnφ slu₧by i architekturu jsou precizn∞ specifikovßny stylem odpovφdajφcφm n∞kter²m model∙m bezpeΦnostnφ politiky, resp. sm∞rnic. Na druhΘ stran∞ ale kritΘria ITSEC neposkytujφ mnoho informacφ pro hodnocenφ prvk∙ funkΦnosti a vzhledem k dob∞ svΘho vzniku by mohly v∞novat vφce pozornosti sφtφm. FunkΦnφ t°φdy jsou uvedeny spφÜe jako p°φklady a je mo₧nΘ je dßle dopl≥ovat a rozÜi°ovat -- existuje nap°. t°φda pro ΦipovΘ karty. V roce 1993 doÜlo k dopln∞nφ ITSEC o metodologickou p°φruΦku pro hodnocenφ -- Information Technology Security Evaluation Manual (ITSEM).

CTCPEC -- kanadskß kritΘria

V roce 1989 byla vydßna prvnφ verze kanadsk²ch kritΘriφ -- Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) -- jejich₧ souΦasnß verze poskytuje velice kvalitnφ m∞°φtko pro hodnocenφ bezpeΦnosti a tato kritΘria jsou podle mne nejpropracovan∞jÜφ podobou kritΘriφ ve skuteΦn∞ pou₧itelnΘ podob∞.

Podobn∞ jako ITSEC, jsou i kanadskß kritΘria rozd∞lena na dv∞ Φßsti -- funkΦnost a zßruka. FunkΦnost je v kanadsk²ch kritΘriφch dßle d∞lena do Φty° Φßstφ, kterΘ takΘ odpovφdajφ Φty°em zßkladnφm skupinßm po₧adavk∙ na bezpeΦnost informaΦnφch technologiφ:

-- d∙v∞rnost (po₧adavky na omezenφ odhalenφ informaΦnφho obsahu),

-- integrita (po₧adavky na omezenφ modifikace informacφ),

-- dostupnost (po₧adavky na zajiÜt∞nφ p°φstupu autorizovan²ch osob k ochra≥ovanΘmu systΘmu a na zajiÜt∞nφ proces∙ s tφm souvisejφcφch),

-- zodpov∞dnost (po₧adavky na sledovßnφ a °φzenφ p°φstupu k systΘmu).

Takto definovanΘ oblasti pak p°φmo adresujφ mo₧nΘ hrozby a prvky b∞₧nΘ zranitelnosti systΘm∙. Ka₧dß z oblastφ se sklßdß z n∞kolika slu₧eb (poΦetn∞ 4, 7, 4, 3), kterΘ mohou slou₧it jako protiopat°enφ k zajiÜt∞nφ bezpeΦnosti. Tento rys (p°φmΘ adresovßnφ slu₧eb jako protiopat°enφ k mo₧n²m hrozbßm) je typick²m rysem kanadsk²ch kritΘriφ. Rozpracovßnφ zßruk je v CTCPEC v podstat∞ dopln∞nφm n∞kter²ch praktick²ch po₧adavk∙ a detail∙ k ITSEC. Vlastnφ klasifikace do t°φd je pak T-0 (nevyhovujφcφ) a₧ T-7 (zahrnuje formßlnφ model nßvrhu hodnocenΘho bezpeΦnostnφho systΘmu a jasn² popis nßvaznosti praktickΘ implementace a zvolenΘho designu). Jako nezßvislß Φßst kanadskΘho systΘmu hodnocenφ bezpeΦnosti byla souΦasn∞ s CTCPEC vydßna kritΘria pro hodnocenφ kryptografick²ch modul∙.

SpoleΦnß kritΘria

V zßjmu praktickΘ realizace zßjm∙ zainteresovan²ch stran v Severnφ Americe a Evrop∞ se zßstupci Evropsk²ch spoleΦenstvφ, Kanady a Spojen²ch stßt∙ shodli na v²voji SpoleΦn²ch kritΘriφ -- Common Criteria (CC). Jß jsem m∞l to Üt∞stφ, ₧e jsem mohl p°iΦichnout k tΘto velmi zajφmavΘ prßci spolu s kanadskou stranou. Dle mΘho nßzoru vÜak tato kritΘria zaΦala trp∞t "otylostφ". Nßvrh CC ve verzi 0.9 Φφtal p°ibli₧n∞ 850 stran dokumentace. Velmi v²sti₧n∞ komentovalo situaci vyjßd°enφ n∞meckΘho PrΣsidiumsarbeitskreis Datenschutz und Datensicherung der Gesellschaft fⁿr Informatik: "V²sledn² nßvrh se stal p°φliÜ velk²m ... ╚tenß°i, zvlßÜt∞ zßkaznφci a po°izovatelΘ nebudou schopni jej Φφst a rozum∞t mu jako celku. ... CC se jevφ jako poh°bφvajφcφ strukturu p°φvalem detail∙."

Odbornß ve°ejnost takΘ kritizovala povrchnφ zpracovßnφ hodnocenφ kryptografick²ch mechanism∙, jemu₧ se nedostalo pat°iΦnΘ pozornosti pro individualistickΘ zßjmy vlßd n∞kter²ch zemφ (p°edevÜφm USA). SpoleΦnß kritΘria v.1.0 byla uvoln∞na 31. 1. 1996. Bohu₧el, i p°es oznaΦenφ 1.0 nejsou SpoleΦnß kritΘria v tΘto verzi stßle dokonΦena.

KritΘria budou jsou a z∙stanou velmi d∙le₧itou oblastφ v bezpeΦnosti IT. Jejich existence:

1. usnad≥uje aplikaci a pou₧itφ IT s bezpeΦnostnφmi prvky -- kritΘria poskytujφ m∞°φtko k hodnocenφ a srovnßvßnφ;

2. umo₧≥uje jednoduÜÜφ specifikaci po₧adavk∙ p°i po°izovßnφ prost°edk∙ IT;

3. napomßhß p°i nßvrhu a v²voji nov²ch technologiφ, kdy kritΘria slou₧φ jako pomocn² ukazatel.

Serißl je rovn∞₧ k dispozici na www.idg.cz/computerworld/bvsk/

TCSEC a Duhovß sΘrie:

http://csrc.ncsl.nist.gov/secpubs/rainbow/

DalÜφ dokumenty relevantnφ TCSEC a bezpeΦnosti obecn∞:

http://csrc.ncsl.nist.gov/secpubs/

Seznam produkt∙ skuteΦn∞ vyhodnocen²ch dle TCSEC:

http://www.radium.ncsc.mil/tpep/epl/

CTCPEC:

ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC/

ITSEC:

http://www.itsec.gov.uk/docs/formal.htm#ITSEC

DalÜφ dokumenty k ITSEC, seznam vyhodnocen²ch produkt∙ apod.:

http://www.itsec.gov.uk/

http://www.itsec.gov.uk/products/locate.htm

SpoleΦnß kritΘria (CC):

<http://www.tno.nl/instit/fel/refs/cc.html>, resp.

<http://www.cse.dnd.ca/cse/english/cc.html>.