В сентябре НПО «Эшелон» традиционно приняло участие в международном слёте «сертификаторов» – 16-ой конференции International Common Criteria Conference (ICCC 2015).
Наш доклад был посвящен последним тенденциям отечественной системы сертификации, которые связаны с переходом к использованию методологии «Общих критериев» и заданием требований к безопасному программному обеспечению. С презентацией доклада можно познакомиться, перейдя по ссылке.
Краткий отчет по конференции представлен далее.
Рассмотрим основные доклады, которые могут быть интересны отечественным специалистам по информационной безопасности в свете последних тенденций в системе сертификации, регулируемой ФСТЭК России.
Основной темой практически всех докладов была тема, связанная с изменениями подхода, лежащего в основе сертификации по методологии «Общих критериев». Напомню, что по инициативе ряда систем сертификации (в частности, систем сертификации США, Англии, Австралии) с 2012 года ведутся работы по совершенствованию подхода «Общих критериев» с целью сокращения времени испытаний, обеспечения повторяемости и воспроизводимости их результатов. Связаны эти изменения с тем, что опыт ряда зарубежных систем сертификации показал неэффективность использования оценочных уровней доверия (ОУД) и сертификации на соответствие заданий по безопасности, которые не декларируют соответствие ни одному из существующих (утверждённых) профилей защиты:
- сертификация даже на ОУД 3 или ОУД 4 занимает в среднем от полутора до двух лет, что является полностью неприемлемым в современном мире информационных технологий (напомню, что сертификация выполняется в отношении конкретной версии программного (программно-технического) обеспечения, при тех или иных доработках объекта оценки испытания, по сути, необходимо начинать заново);
- сертификация по требованиям заданий по безопасности, которые не декларируют соответствие ни одному из утверждённых профилей защиты, требует от испытательных лабораторий разработки уникальных методик проведения испытаний, в первую очередь функционального тестирования – разные испытательные лаборатории могут протестировать один тот же продукт с различной степенью глубины и покрытия и получить различные результаты;
- при сертификации по требованиям заданий по безопасности, который не декларирует соответствие ни одному из утверждённых профилей защиты, может возникнуть ситуация, при которой испытательная лаборатории и особенно орган по сертификации попросту тратят время – сертификат нужен разработчику/спонсору сертификации только для коммерческого продвижения и не связан с нейтрализацией актуальных угроз безопасности информации.
Зарубежными системами сертификации были предложены следующие решения указанных проблем.
а) Отказ от сертификации на соответствие требованиям заданий по безопасности, которые не декларирует соответствие ни одному из утверждённых профилей защиты. Предполагается, что системы сертификации совместно с ведущими исследователями и разработчиками с учетом национальных интересов будут определять перечень критичных с точки зрения защиты информации технологий и разрабатывать соответствующие профили защиты. Разработку профилей защиты ведут международные технические комитеты (International Technical Communities), в состав которых входят представители испытательных лабораторий, органов по сертификации и разработчиков средств защиты информации. Сами профили защиты нового поколения называются совместными профилями защиты (Collaborative Protection Profile, cPP).
На сегодняшний момент разработаны и приняты 4 совместных профиля защиты (с ними можно ознакомиться, перейдя по ссылке):
- cPP для межсетевых экранов;
- cPP для сетевых устройств;
- два cPP для средств шифрования дисков.
Более подробную информацию о совместных профилях защиты можно получить из публикации (ссылка).
Следует отметить, что для обеспечения детерминированности процесса разработчикам заданий по безопасности запрещается дополнять/усиливать перечень требований безопасности (функциональных и требований доверия), указанные в cPP.
Наиболее активную работу по созданию профилей защиты нового поколения осуществляет NIAP – организация, которая регулирует систему сертификации в США. Именно профили защиты, разрабатываемые под руководством этой организации, как правило, становятся основой для совместных профилей защиты. С уже разработанными NIAP профилями защиты нового поколения можно ознакомиться на их официальном сайте (ссылка).
б) Отказ от использования понятия «оценочный уровень доверия» и понижение требований доверия. Отличительной особенностью совместных профилей защиты является отказ от использования понятия «оценочный уровень доверия» ‑ требования доверия по-прежнему задаются, но они не образуют тот или иной ОУД. Кроме этого, номенклатура используемых требований доверия является подмножеством ОУД 1 – наиболее «слабого» ОУД. Например, проведение анализа исходных текстов ПО при проведении испытаний уже не требуется. Со сравнительным анализом требований доверия, используемых в cPP, и требований классических ПЗ ФСТЭК России (4 класс) можно ознакомиться в одной из предыдущих публикаций.
в) Разработка типовых методик проведения испытаний. Те же международные технические комитеты для каждого разработанного cPP создают типовые методики испытаний (Evaluation Activities), предназначенные для испытательных лабораторий и описывающих предполагаемые при проведении функционального тестирования и анализа документации действия оценщика – эксперта испытательной лаборатории. Ознакомиться с уже разработанными типовыми методиками можно на сайте Common Criteria Portal поссылке.
Существенная часть докладов была посвящена процессу разработки совместных профилей защиты и опыту сертификации по требованиям этих профилей:
- В докладе «Community action: a call to arms» (ссылка) представлена общая информация о работе технических комитетов, разрабатывающих совместные профили защиты.
- Доклад «Network international technical community -progress & status» (ссылка) посвящен работе технического комитета, разрабатывающего cPP для средств защиты вычислительных сетей.
- Доклад «Full Drive Encryption iTC Update» (ссылка) посвящен работе технического комитета, разрабатывающего cPP для средств шифрования дисков.
- Доклад «International collaboration, its practice and discussions in MFP TC» (ссылка) рассказывает о работе международного комитета по созданию профилей защиты для многофункциональных устройств.
- В докладе «Harder than you thought: Updating the Hardcopy Device Protection Profile» (ссылка) была представлена информацию о процессе разработки совместного профиля защиты для устройств выдачи печатных копий (например, принтеров, сканеров).
- Результаты практического применения cPP при сертификации сетевых устройств были отражены в докладе «Testing the Network Device — Lessons from the Korean Government» (ссылка).
- В докладе «PP Goals – Are We On Target?» (ссылка) рассмотрены аспекты практического применения нового подхода. Утверждается, что применение cPP позволяет существенно сократить время проведения испытаний и повысить повторяемость результатов.
Отдельно следует рассмотреть результаты внедрения нового подхода в США и Англии — основных инициаторах реформы. Общая информация доступна в презентациях:
- «United Kingdom Common Criteria Scheme Update» (ссылка);
- «Update on the US Common Criteria Scheme (NIAP)» (ссылка);
- «NIAP: Around the Evaluation in 90 Days» (ссылка).
Утверждается, что внедрение нового подхода позволило повысить количество успешных сертификаций в среднем на 500%. Более того, NIAP работает над программой «сертификация за 90 дней», предусматривающей строгий контроль за действиями лаборатории и заявителей (спонсоров) и санкции (вплоть до аннулирования решения на сертификацию) при невыполнении условий.
Следует отметить, что новый подход пока не используется повсеместно. Во-первых, не для всех критичных с точки зрения безопасности информации технологий разработаны cPP и типовые методики испытаний. Во-вторых, существуют некоторые области, в которых необходимо обеспечивать повышенное доверие к сертифицированным продуктам, а cPP этим свойствам не обладают. В связи с этим будут интересны следующие доклады:
- Доклад «Protection Profiles: Market penetration and lessons for the next CC» (ссылка) содержит результаты сравнительного анализа сертификации по требованиям cPP и классической сертификации.
- Совместный доклад представителей французской, голландской и немецкой систем сертификации «Medium and higher assurance evaluations in the european context» (ссылка) посвящен вопросам проведения испытаний средств, для которых требуется проверка выполнения повышенных (относительно стандартных требований cPP) требований доверия. Предлагается проведения двух параллельных сертификаций с оформлением двух отдельных сертификатов соответствия: первая – на соответствие требованиям cPP (с заданием по безопасности, соответствующим данному cPP), вторая – на соответствие отдельному заданию по безопасности, которое будет содержать дополнительные требования (сертификация выполняется в рамках соглашения SOG-IS).
Отдельно следует отметить работы зарубежных систем сертификации, направленные на поддержу конечных пользователей сертифицированных решений. Этой теме были посвящены следующие доклады:
- «Improving cPP Development with End-Users» (ссылка);
- «Using CC Evaluated Products — an End User’s Perspective» (ссылка).
Следующие идеи, отражённые в докладах, возможно, будет полезно внедрить и в отечественной системе сертификации.
- Публикованные системами сертификации более подробных технических отчетов по результатам сертификационных испытаний: конечные пользователи сертифицированной продукции должны понимать, что и в каком объеме было проверено экспертами испытательной лаборатории (в первую очередь это касается функционального тестирования). В зарубежных системах сертификации данный отчет носит название «Assurance Activity Report», с примерами данных документов можно, например, ознакомиться на сайте NIAP (например, в документе).
- Совместное создание (разработчиком, испытательной лабораторией и органом по сертификации) и публикация руководства по установке и эксплуатации сертифицированной продукции (Common Criteria Evaluated Configuration Guide), содержащего детальные инструкции по правильной работе с сертифицированными функциями по безопасности.
- Опубликование таблиц соответствий функциональных требований безопасности, декларируемых в ПЗ, и мер по защите информации, подлежащих реализации в информационных системах. С примерами подобных таблиц можно ознакомиться на сайте NIAP (например, в документе).
С практической и методической точек зрения могут быть полезны презентации следующих докладов:
- Доклад «Vulnerability Analysis for collaborative Protection Profiles» (ссылка), в котором отражен подход, предлагаемый для проведения анализа уязвимостей при сертификации по cPP.
- Доклад «Non-Interfering Composed Evaluation or How to Exchange Components without Re-Evaluation» (ссылка), посвященный вопросам сертификации составных объектов оценки, то есть объектов оценки, в состав которых входят уже сертифицированные компоненты.
- Доклад «Clarification of Concepts» (ссылка), который содержит информацию о фундаментальных терминах «Общих критериев» (например, «продукт ИТ», «объект оценки» или «интерфейс к функциям по безопасности») и их правильном применении в ходе проведения испытаний.
С остальными докладами можно ознакомиться на официальном сайте конференции по ссылке.