10. Спецификация раздела "Цели безопасности". Национальный стандарт РФ ГОСТ Р 57628-2017 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.08.2017 N 967-ст)

10 Спецификация раздела "Цели безопасности"

10.1 Введение

Данный раздел содержит рекомендации по идентификации и определению целей безопасности в ПЗ или ЗБ, требования к которым приведены в ГОСТ Р ИСО/МЭК 15408-1, подразделы А.7 и В.7 соответственно. Как и в случае с определением проблемы безопасности, подраздел В.7 состоит только из ссылки на подраздел А.7, что в явном виде указывает на то, что содержание этих разделов идентично. Как и в случае с определением проблемы безопасности, приведенные в ГОСТ Р ИСО/МЭК 15408-3 требования подтверждения правильности спецификации целей безопасности в обоих случаях идентичны.

Цели безопасности представляют собой краткое изложение предполагаемой реакции на проблему безопасности (см. ГОСТ Р ИСО/МЭК 15408-3, пункты 9.4.1 и 10.4.1). При этом не следует неправильно интерпретировать это утверждение, так как в действительности описание реакции является спецификацией функциональных требований безопасности (см. раздел 11). Лучше, когда цели безопасности выражают в виде аннотации и описания структуры требуемых функциональных возможностей безопасности, что обеспечивает связь между детализацией ФТБ и абстрактным определением проблемы безопасности. Иными словами, указав в определении проблемы безопасности, в чем состоят проблемы безопасности, следует указать и каким образом они будут решаться объектом оценки и его средой функционирования.

Согласно ГОСТ Р ИСО/МЭК 15408 требуются два различных типа целей безопасности, которые подлежат спецификации:

а) цели безопасности для ОО, которые должны достигаться путем применения технических (ИТ) мер защиты информации, реализуемых ОО;

б) цели безопасности для среды, которые должны достигаться путем применения технических мер, реализуемых ИТ-средой, или не-ИТ-мер (например, организационных, процедурных мер).

Указанные типы целей безопасности приведены на рисунке 2.

Рисунок 2 - Роль целей безопасности

Во всех ПЗ и ЗБ необходимо специфицировать цели безопасности для среды функционирования ОО. В ПЗ и ЗБ для низких уровней доверия (см. раздел 15) не требуется специфицировать цели безопасности для ОО, а цели безопасности для среды функционирования ОО принимаются как не требующие доказательства, то есть не требуется их прослеживание к определению проблемы безопасности.

В дальнейшем в данном разделе предполагается, что требуются оба типа целей безопасности, и они прослеживаются к определению проблемы безопасности.

Цели безопасности должны быть сформулированы в виде требований. Они должны представлять собой краткие и четкие формулировки, в совокупности определяющие решение верхнего уровня для проблемы безопасности, идентифицированной в соответствующем определении проблемы безопасности. При формулировании целей целесообразно использовать глагол "должен".

ГОСТ Р ИСО/МЭК 15408 не предполагает и не предписывает использование какого-либо конкретного процесса или методического подхода для разработки целей безопасности; можно выбрать любой подходящий метод. Это представляет определенные трудности для лиц, не обладающих опытом разработки ПЗ и ЗБ. Поэтому в данном разделе содержится подробное описание простого методического подхода, который был опробован и испытан на практике, и эффективность которого была подтверждена применением в различных организациях и средах функционирования. Он основан на выполнении последовательности следующих шагов:

а) структурирование перечня всех угроз, политик и предположений, которые должны охватываться целями безопасности;

б) идентификация целей безопасности для не-ИТ-среды функционирования;

в) идентификация целей безопасности для ИТ-среды функционирования;

г) идентификация целей безопасности для ОО;

д) разработка обоснования целей безопасности посредством обратного сопоставления целей безопасности и идентифицированных угроз, политики предположений.

Каждый из этих шагов описан в последующих подразделах. В большинстве случаев эти шаги целесообразно выполнять в указанной выше последовательности.

Это всего лишь один из возможных подходов к идентификации целей безопасности. В некоторых конкретных случаях предложенный методический подход может быть не самым простым в реализации или требующим существенных затрат времени. Существуют и другие применимые подходы.

Учитывая центральную роль, которую играют цели безопасности в ПЗ и ЗБ, большое значение имеет вопрос о наиболее приемлемом уровне детализации при их (целей безопасности) изложении. Требование краткого изложения целей безопасности предполагает достижение равновесия между двумя следующими аспектами:

а) с одной стороны, цели безопасности должны помочь пользователю ПЗ или ЗБ без углубленного изучения деталей реализации (за исключением случаев, когда такая детализация предписана в определенной проблеме безопасности) понять, как аспекты проблемы безопасности, идентифицированные в определенной проблеме безопасности, решаются объектом оценки. В идеале цели безопасности для ОО должны быть независимы от реализации. Таким образом, основное внимание необходимо сосредоточить на том, какое решение предпочтительнее, а не на том, каким образом это решение достигается;

б) в то же время необходимо, чтобы формулировка целей безопасности не являлась простым повторением, хотя и в несколько другой форме, информации, содержащейся в описании угроз и ПБОр.

Одним из критериев правильности выбора уровня детализации формулировки целей безопасности, применяемым на этапах обоснования целей безопасности и требований безопасности, является следующий. Если обоснование одной цели безопасности (или требования) является слишком тривиальным, а другое обоснование - слишком объемным, сложным и трудным для понимания, то существует вероятность того, что формулировка целей безопасности является либо слишком детализированной, либо слишком абстрактной.

Сформированный соответствующим образом набор целей безопасности для ОО будет способствовать тому, что выбранные для удовлетворения целей функциональные требования безопасности не будут избыточными. Это, в свою очередь, позволит минимизировать стоимость и затраты времени на оценку (сертификационные испытания) ОО.

10.2 Структурирование угроз, политик и предположений

Первоочередной задачей является структурирование полного перечня всех применимых угроз, политик и предположений из определения проблемы безопасности.

Следует учитывать, что некоторые угрозы могут иметь отношение к ОО, но в результате анализа рисков или изучения среды функционирования может быть принято решение о том, что некоторые угрозы могут быть исключены из рассмотрения. При использовании рекомендуемого в настоящем стандарте методического подхода следует включить такие угрозы в определение проблемы безопасности, а также сформулировать предположения, в которых указывается, что они не являются применимыми. Такие угрозы не порождают целей безопасности, поэтому первый шаг состоит в том, чтобы идентифицировать их и связанные с ними предположения, а также исключить эти угрозы и предположения из дальнейшего рассмотрения. Следует убедиться в том, что из определения проблемы безопасности очевидно, что эти угрозы были исключены именно таким образом.

Остальные угрозы, политики и предположения следует затем разделить по следующим типам:

- относящиеся к не-ИТ-среде функционирования;

- относящиеся к ИТ-среде функционирования;

- относящиеся к функциональным возможностям ОО.

Обычно процесс такой классификации не представляет сложностей: политика, требующая применения средств физической защиты, может быть применима только к не-ИТ-среде функционирования; угроза, представляющая собой потенциально возможную атаку непосредственно на ОО, относится к функциональным возможностям ОО. Следует заметить, что предположения могут быть применимы только к элементам среды функционирования. В том случае, когда обнаруживается, что политика или угроза охватывают несколько вопросов, следует разделить их и поставить в соответствие каждому вопросу одну политику или угрозу.

Например, некоторую угрозу можно разделить на две части:

- часть угрозы, относящаяся к ИТ-среде функционирования;

- часть угрозы, относящаяся к функциональным возможностям ОО.

В случае сомнений следует разделить политику или соответствующую угрозу на несколько частей. Невостребованные элементы можно будет легко исключить в дальнейшем. При этом упущение каких-либо аспектов может привести к упущению целей безопасности, а эту проблему будет гораздо труднее обнаружить в ходе проверки правильности ПЗ или ЗБ.

10.3 Идентификация целей безопасности для не-ИТ-среды функционирования

Цели для среды функционирования определить легче, чем цели для ОО, а цели для не-ИТ-среды функционирования - легче, чем цели для ИТ-среды. Поэтому имеет смысл рассмотреть сначала цели для не-ИТ-среды функционирования.

Первым шагом в идентификации этих целей является рассмотрение всех предположений, определенных для не-ИТ-среды функционирования, и перефразирование их по принципу "один к одному" в соответствующие цели (далее в этом разделе приведено руководство по выполнению этого шага). Цели для среды не анализируются в дальнейшем в ПЗ и ЗБ или в процессе оценки, поэтому нет смысла в выявлении их совместимости, общности, перекрытии и т.д. в случае, если цели безопасности сформулированы ясно и четко.

Затем разрабатываются и добавляются любые другие цели, необходимые для учета аспектов угроз и политик, определенных для не-ИТ-среды функционирования, путем переформулирования этих угроз и политик в цели, но без детализации или пояснений. Определение соответствующих формулировок обычно также не представляет трудностей. В противном случае могут быть использованы методы категорирования, используемые для более сложной задачи - определение целей безопасности для ОО. Эти методы описаны в 10.5.

Иные цели безопасности для не-ИТ-среды могут включать:

а) цели, связанные с разработкой и реализацией процедур, обеспечивающих эксплуатацию ОО в безопасных режимах (в частности, соблюдаются все предположения о среде);

б) цели, связанные с обучением и подготовкой администраторов и пользователей по практическим вопросам обеспечения информационной безопасности.

На данной стадии эти цели может быть труднее идентифицировать, так как они поддерживают цели безопасности для ОО. Если они очевидны, то следует включить их на этой стадии. В ином случае на последующих стадиях предлагаемого методического подхода цели безопасности для среды могут быть пересмотрены и дополнены.

Целям для среды функционирования часто присваиваются идентификационные имена, помогающие отличать их от целей безопасности для ОО. В рассмотренных целях должно быть четко указано, что они достигаются организационными (процедурными) или физическими мерами; при необходимости в описании цели следует явно указать на "не-ИТ-среду функционирования".

Цели для среды функционирования, полученные на основе предположений, целесообразнее формулировать аналогично предположениям, то есть как констатацию фактов. Например:

"При окончательном выводе из эксплуатации магнитные машинные носители информации размагничиваются или измельчаются".

Цели, полученные на основе угроз и политик, должны быть сформулированы в виде требований. Например:

"Ответственный за эксплуатацию персонал должен через регулярные интервалы времени просматривать записи аудита с целью обнаружения недопустимой и необычной деятельности".

Большинство целей для не-ИТ-среды функционирования формулируют на основе предположений.

Ниже приведены примеры изложения целей безопасности для ОО на базе профиля защиты ФСТЭК России для средств контроля подключения съемных машинных носителей информации:

"Цель для среды функционирования ОО-1

Совместимость

Объект оценки должен быть совместим с СВТ (ИС), в котором (которой) он функционирует.

Цель для среды функционирования ОО-3

Физическая защита ОО

Должна быть обеспечена защита от осуществления действий, направленных на нарушение физической целостности СВТ, доступ к которым контролируется с применением СКН.

Цель для среды функционирования ОО-8

Требования к персоналу

Персонал, ответственный за функционирование объекта оценки, должен обеспечивать требуемое функционирование объекта оценки, руководствуясь эксплуатационной документацией".

Приведенные примеры целей безопасности для среды функционирования получены на основе примеров предположений, изложенных в 9.5.

Цели, полученные только на основе анализа угроз, могут свидетельствовать о том, что в определении проблемы безопасности пропущены соответствующие предположения. В этом случае следует проверить и при необходимости пересмотреть определение проблемы безопасности.

Для удобства могут быть определены отдельные цели, охватывающие несколько взаимосвязанных предположений, или предположение и связанные с ним угрозы, или политики и связанные с ними угрозы. Такие элементы полезно сочетать, если это позволит получить более понятный общий результат.

Ответственность за достижение целей для не-ИТ-среды функционирования возлагается на организацию, которая использует рассматриваемый продукт ИТ. На данной стадии определения целей очень важно убедиться в том, что сформулированные цели являются реалистичными и достижимыми. Лучше узнать об имеющихся проблемах на данной стадии, так как на данной стадии цели могут еще быть изменены или угрозы и политики могут быть учтены иными способами.

10.4 Идентификация целей безопасности для ИТ-среды функционирования

Методы, используемые для идентификации и определения целей для ИТ-среды функционирования, идентичны методам, описанным в 10.3 в отношении целей для не-ИТ-среды. Однако важно, чтобы цели для ИТ-среды излагались отдельно от целей для не-ИТ-среды, так как цели для ИТ-среды могут стать целями для ОО в случае последующего изменения границ ОО в процессе спецификации и проектирования ОО.

Поэтому в цели для ИТ-среды функционирования целесообразно включать текст "ИТ-среда функционирования" либо каким-то иным образом пояснять, что эти цели будут реализовываться программно-техническими средствами, находящимися за пределами границ ОО.

Ниже также приведены примеры изложения целей безопасности для ИТ-среды функционирования ОО на базе профиля защиты ФСТЭК России для средств контроля подключения съемных машинных носителей информации:

"Цель для среды функционирования ОО-4

Поддержка аудита

Должны быть обеспечены поддержка средств аудита, используемых в ОО (расширенные возможности по хранению и анализу информации аудита безопасности), и предоставление для них соответствующего источника меток времени.

Цель для среды функционирования ОО-5

Идентификация и аутентификация

Должна быть обеспечена возможность идентификации и аутентификации администратора СКН до предоставления ему возможности по управлению ОО, просмотру аудита безопасности и выполнения иных действий по администрированию ОО".

В предыдущих редакциях ГОСТ Р ИСО/МЭК 15408 допускалось специфицировать требования безопасности для удовлетворения целей для ИТ-среды, чтобы определить и объяснить, каким образом предполагается их достичь. В действующей редакции ГОСТ Р ИСО/МЭК 15408 это не допускается. Однако имеются и другие методы, например использование замечаний по применению, которые могут использоваться для указания ограничений по реализации целей.

В составном продукте цели для ИТ-среды одной части продукта становятся целями для ОО других частей. Такие цели следует формулировать очень тщательно для упрощения установления соответствия.

10.5 Идентификация целей безопасности для ОО

Цели безопасности для ОО являются наиболее важными и при этом их сложнее всего сформулировать достаточно полно и правильно. В отличие от целей для среды функционирования, они используются как обоснование функциональных требований безопасности. Поэтому важно, чтобы они были четко сформулированы с указанием их назначения и обеспечением хорошей прослеживаемости между детализированными требованиями безопасности и проблемой безопасности. При этом недостаточно только переформулировать проблему безопасности или перечислить конкретные требования безопасности.

Методический подход, предложенный в данном разделе, предполагает систематизацию цели для ОО на базе четких областей функциональных возможностей безопасности, выбранных для четкого сопоставления со структурой организации функциональных компонентов в семействах и классах в ГОСТ Р ИСО/МЭК 15408-2. Широта и глубина изложения целей в рамках каждой области функциональных возможностей связаны с использованием концепции основных и вспомогательных целей. Каждая основная цель устанавливает общую стратегию относительно рассмотрения аспекта безопасности ("лучшую практику"). Вспомогательные цели детализируют конкретные специфичные вопросы, которые имеются в изложении любой проблемы безопасности.

При использовании этого методического подхода первый шаг определения целей для ОО состоит в переупорядочивании перечня применимых угроз, а также политик, назначенных для функциональных возможностей ОО с целью совместного группирования соответствующих угроз и политик. При этом не должно быть каких-либо предположений относительно функциональных возможностей ОО, так как предположения делаются только относительно среды функционирования. Если какие-либо предположения были сделаны для конкретной рубрики, их следует изучить и откорректировать.

Способ группирования для конкретных ПЗ и ЗБ зависит от вида (типа) рассматриваемого ОО. В любом случае для формирования функциональных требований безопасности будет полезно, чтобы проведенное группирование было связано с внутренней структурой ГОСТ Р ИСО/МЭК 15408-2.

Методический подход, предлагаемый в данном разделе, предполагает семь рубрик, под которыми группируются все угрозы и политики. Этот подход был опробован и протестирован на практике и оказался работоспособным для многих типов ОО.

Такими рубриками являются:

а) управление доступом (объекты, атрибуты, операции, правила доступа);

б) управление пользователями (типы пользователей, идентификация, аутентификация);

в) собственная защита ОО (обнаружение сбоев, доверенное восстановление и т.д.);

г) безопасное взаимодействие (установление соединений, свойства соединений, правила);

д) аудит (ведение журналов аудита, реагирование, управление инцидентами, анализ);

е) требования к архитектуре (требуемые свойства и ограничения);

ж) другие функции [сюда относится все, не попадающее очевидным образом под рубрики а)-е) - например, доверенный источник времени].

Существует тесная взаимосвязь между предложенными рубриками и предложенной в разделе 12 структурой для идентификации и спецификации функциональных требований безопасности.

Хотя у целей безопасности может быть любая структура и для их систематизации может использоваться любой метод, в общем случае предложенное выше группирование упростит процесс создания перекрестных ссылок и формирования аргументов для последующего обоснования полноты и непротиворечивости. Могут существовать такие конкретные ОО, для которых в дальнейшем будет целесообразнее и проще использовать другой подход группирования. То есть важно обдумать структуру и выбрать подходящий подход.

Следующий шаг при определении целей для ОО состоит в том, чтобы привести простое определение типов сервисов безопасности или функций безопасности, требуемых для каждой из выбранных областей для удовлетворения всех потребностей, вытекающих из проблемы безопасности. Вместо того чтобы пытаться анализировать и обобщать определение проблемы безопасности, целесообразнее вернуться к неформализованному требованию безопасности, на основе которого было получено определение проблемы безопасности. Из неформализованного требования безопасности обычно очевидно, какие основные функции безопасности должны быть реализованы для каждой из областей. Некоторые области могут не упоминаться либо могут быть указаны как не значимые. На данном шаге эти области следует не рассматривать.

Полученный перечень сервисов (функций) затем следует сопоставить с систематизированным списком угроз и политик. Для каждого сервиса следует решить, к каким угрозам и политикам он относится. Все остальные угрозы и политики следует отнести к рубрике - "другие функции (сервисы)".

Затем следует разделить угрозы и политики, связанные с каждым сервисом, на общие и специфические требования. К общим следует относить требования, которые предъявляются ко всем аспектам определения сервиса, а специфические требования предъявляются к конкретным аспектам.

Далее следует переформулировать определение сервиса в утвердительное высказывание, в котором рассматривается общее требование. Оно станет основной целью для этого сервиса. Следует переформулировать все специфические требования в связанные, но отдельные вспомогательные цели для этого сервиса.

Ниже приведен пример изложения цели безопасности для ОО, направленной на противостояние угрозе, приведенной в качестве примера (Угроза-1) в 9.3.5:

"Цель безопасности-5

Контроль устройств

Объект оценки должен обеспечивать контроль типов подключаемых внешних программно-аппаратных устройств, а также конкретных съемных машинных носителей информации".

На противостояние угрозам может быть направлена цель, которая предотвращает реализацию угрозы путем устранения или блокирования одного из ее необходимых компонентов: например, исключение возможности со стороны источника угрозы осуществить негативное воздействие; перемещение, изменение либо защита актива таким образом, что негативное воздействие становится неприменимым, устранение источника угрозы (например, путем определения цели для среды функционирования относительно мер контроля физического доступа). Угрозы могут также предотвращаться косвенным образом: например, реализация подотчетности через аудит, повышение уровня профессиональной подготовки с целью предотвращения ошибок пользователей, частое выполнение резервного копирования для упрощения восстановления утраченных либо поврежденных активов.

Таким образом, не от всех угроз можно обеспечить защиту. Иногда целесообразнее обнаружить связанный с угрозой инцидент и сгенерировать оповещение или запись в журнале аудита. Решение о такой обработке угроз необходимо принять на этапе проектирования. Если в качестве ответной реакции выбрано обнаружение, то это порождает потребность в сервисе аудита для реагирования на инциденты. Ниже приводится пример:

"Цель безопасности-6

Аудит безопасности СКН

Объект оценки должен обеспечивать соответствующие механизмы регистрации и предупреждения (сигнализации) о событиях, относящихся к возможным нарушениям безопасности. Механизмы регистрации должны предоставлять уполномоченным лицам с учетом их ролей возможность полного или выборочного ознакомления с информацией о произошедших событиях".

В ходе процесса спецификации целей безопасности для ОО может возникнуть потребность в переопределении угроз и политик. В результате более четкого определения сервисов конкретные угрозы или политики могут быть сопоставлены со вспомогательной, а не с основной целью или наоборот либо они будут больше подходить для рассмотрения в рамках другого сервиса. В ходе процесса спецификации целей безопасности для ОО часто идентифицируются соответствующие цели для среды функционирования, которые ранее были пропущены. Например, если в качестве реагирования на конкретные угрозы выбрано оповещение, то от администраторов потребуется реагировать на эти оповещения. В некоторых случаях в результате принятых проектных решений конкретные угрозы или политики могут даже полностью перейти из рубрики целей для ОО под рубрику целей для среды функционирования или наоборот. Такие изменения возможны, поэтому необходимо проводить несколько итераций, пока не будет получен четкий список целей, покрывающий все рубрики.

Политики помимо выражения общих требований безопасности (сопоставляемых непосредственно с основной целью) иногда используются и для ограничения характеристик соответствующего технического решения. Такой тип ограничений должен быть выражен в виде вспомогательной цели, связанной с общим требованием.

Некоторые угрозы будут непосредственно сопоставимы с конкретной вспомогательной целью, которая направлена на противостояние только этой угрозе. В этом случае следует сформировать цель таким образом, чтобы она соответствовала первопричине. В дальнейшем это упростит прослеживание - в обосновании при сопоставлении целей с определением проблемы безопасности и для понимания ПЗ или ЗБ.

Вспомогательная цель может быть направлена на учет нескольких угроз и политик. Например, во многих ПЗ и ЗБ имеется цель, связанная с повторным использованием объекта, как вспомогательная цель для области управления ресурсами. Правильнее отделить ее от других аспектов управления ресурсами, так как у них обычно существует мало общего с точки зрения учитываемых угроз. Однако нет никакой необходимости в дальнейшем разбиении цели по различным типам ресурсов, хотя различные типы ресурсов могут обрабатываться разными способами, например, некоторые угрозы для оперативной памяти (RAM) не применимы к магнитным носителям. Различие становится ясным на стадии спецификации требований безопасности, когда в качестве механизмов для различных ресурсов будут выбираться различные ФТБ.

Еще одним важным различием в определении вспомогательных целей является тип требуемых мер обеспечения безопасности. Меры могут быть предупредительными (предотвращающими возникновение инцидента), обнаруживающими (распознающим факт возникновения инцидента) или корректирующим (устраняющим последствия инцидента). Если противостояние угрозам либо осуществление политик требует реализации более чем одного из этих типов реагирования, то целесообразно наличие различных вспомогательных целей для каждого такого типа. Подобная ситуация часто связана со случаем, когда описание проблемы безопасности требует глубокой защиты либо когда основная цель для сервиса будет состоять только в том, чтобы снизить или смягчить последствия реализации угрозы, а не блокировать ее.

Примером цели безопасности предупредительного характера может служить следующая цель, которая определяет необходимость идентификации и аутентификации пользователей ОО:

"Объект оценки должен уникально идентифицировать каждого пользователя и выполнять процедуру аутентификации идентифицированного пользователя до предоставления ему доступа к функциональным возможностям ОО".

Цели безопасности, связанные с управлением доступом и информационными потоками, также попадают в категорию ц