Модель разработки требований к объекту аттестации по его безопасности и аттестации

Разработка требований безопасности и спецификаций СЗИ

Проектирование и аттестация безопасного объекта аттестации(ОА) предполагает существование адекватного и внутренне согласованного набора требований безопасности и спецификаций СЗИ. На рисунке 1 изображена блок-схема алгоритма, посредством которого можно разработать требования и спецификации безопасности при разработке профиля защиты и проекта СЗИ. Эта блок-схема не является обязательной, но отражает результаты применения некоторых подходов к созданию СЗИ.

Все требования к безопасности ОА выдвигаются только на основе учета назначения и специфики ОА. Предполагается, что описание среды ОА должно включать релевантную специфическую информацию по безопасности, такую как организация физической защиты ОА, безопасность в кадровых вопросах, организационные меры по защите ИТ-систем. После сбора данных и описания всех процессов в ОА можно будет сформулировать требования.

Набор требований по безопасности ИТ является основой при разработке проекта ОА и профиля защиты для него. Исследование организационных мер безопасности, угроз и рисков должно позволять описать для ОА следующие вещи:

  1. Описание физической среды ОА должно содержать описание всех аспектов операционной среды ОА, имеющих отношение к безопасности ОА. Как минимум, в нем должна быть информация об известных мерах физической защиты и мерах защиты, осуществляемых людьми.
  2. Описание ИТ-ценностей , требущих защиты должно содержать список всех ценностей, работа с которыми осуществляется с помощью АС объекта аттестации, и которые будут субъектами действия требований и политик безопасности. Этот список может включать ценности, которые имеют форму файлов или баз данных, а также ценности, которые косвенно являются субъектами действия требований безопасности, такие, как полномочия на авторизацию и сама АС.
  3. Описание угроз безопасности ИТ-ценностей должно содержать список всех угроз, осознаваемых аналитиками, которые имеют отношение к ОА. Угроза характеризуется в терминах агента угрозы, предполагаемого метода атаки, всех возможных уязвимых мест, которые позволяют осуществиться атаке, и списка ценностей, против которых направлена эта атака.
  4. Описание уместных требований руководящих документов по безопасности должно содержать список всех уместных мер и правил безопасности из руководящих документов организации. Для ИТ-систем наборы таких требований( например, требования классов защищености АС от НСД ГТК РФ) могут уже существовать, в то время как для ИТ-продукта обшего назначения или класса продуктов может понадобиться сделать самим рабочий набор требований к безопасности.
  5. Оценка рисков безопасности должна сопоставлять с каждой угрозой оценку вероятности того, что существование данной угрозы приведет к организации реальной атаки, вероятности того, что такая атака будет успешной, оценку ущерба, который будет иметь место в этом случае.

Целью анализа среды безопасности является выявление и описание всех аспектов безопасности, которые имеют отношение к ОА, или могут иметь к нему отношение.

Результаты анализа среды безопасности могут затем использоваться при принятии решения, для каких угроз и целей политики безопасности потребуется применение контрмер, и приведут ли необходимость этих контрмер к добавлению требований к ИТ-безопасности. Решение будет основываться на результатах технического анализа, требованиях руководящих документов, экономическом анализе и критериях приемлемости риска.

В результате этого процесса должны быть разработаны:

  1. Описание целей безопасности ИТ ОА, в котором должны быть описаны все угрозы и цели руководящих документов, контрмеры для которых реализуются с помощью ИТ-ресурсов ОА.
  2. Описание имеющих отношение целей безопасности, достигаемых с помощью среды ИТ(внешних мер защиты), должно включать список мер, реализуемых не при помощи ИТ, которые необходимы для того, чтобы иметь гарантии защищенности выявленных ИТ-ценностей против угроз, борьба против которых не включена в цели безопасности ИТ ОА, или для того, чтобы цели политики ИТ-безопасности были выполнены.

Формулирование целей безопасности нужно для того, чтобы иметь гарантии учета всех аспектов безопасности и для того, чтобы явно указать, какая часть безопасности будет обеспечиваться с помощью ИТ, а какая внешним образом, с помощью среды ИТ. Правильное формулирование целей безопасности для ИТ - вопрос квалификации в области безопасности ИТ, инженерного опыта и критериев принятия решения о приемлемости остаточного риска.

Цели безопасности для ИТ ОА могут быть затем уточнены и представлены в виде набора требований к безопасности ИТ ОА. При их формулировании должен использоваться стандартный каталог требований.

Для того, чтобы можно было осуществить аттестацию ОА, в которых реализация политики безопасности осуществляется не только с помощью мер защиты, реализуемых ИТ, но и внешних мер защиты( физической защиты, организационных мер )может оказаться необходимым добавление требований безопасности ИТ, которые должны быть выполнены с помощью среды ИТ ОА, для того чтобы ОА считался безопасным. Такие требования могут быть описаны с помощью отдельного документа - "Требований безопасности к среде ИТ".

В процессе дальнейшего уточнения требований должны быть разработаны спецификации СЗИ ОА. И именно они должны использоваться при реализации мер защиты ОА.

Проектирование СЗИ

При разработке СЗИ должно производиться уточнение требований к безопасности до набора общих спецификаций СЗИ. Каждое уточнение(детализация) должен представлять собой декомпозицию проекта. Предлагается иметь, как минимум, три уровня проекта - концептуальный проект, детальный проект и проект уровня реализации.

Описание проекта СЗИ, представляемое в ходе аттестации, должно удовлетворять следующим требованиям: