Norma PN-ISO/IEC 15408

6.3. Norma PN-ISO/IEC 15408

Projektowanie i wykonywanie produktów informatycznych o dużym znaczeniu powinno spełniać przyjęte normy międzynarodowe, między innymi dotyczące bezpieczeństwa. Norma PN-ISO/IEC 15408 została opracowana w celu określenia wspólnych kryteriów bezpieczeństwa (ang. common criteria) [52]. Został w niej zdefiniowany szereg zasad pozwalających na dokonanie specyfikacji oraz analizy wymogów bezpieczeństwa produktów informatycznych, a także ustalenia dla nich odpowiednich poziomów zaufania. Zakres normy PN-ISO/IEC 15408 pokrywa poufność, integralność oraz dostępność informacji [13].

Zaprezentowane w normie podejście polega na analizie systemu i wyborze spośród zdefiniowanych celów bezpieczeństwa (ang. security objectives) wymagań pokrywających cały zakres produktów IT. Norma może być używana zarówno przez użytkowników końcowych, programistów oraz ekspertów oceniających bezpieczeństwo produktów informatycznych. Na podstawie przeprowadzonej oceny użytkownicy mogę zdecydować, czy oferowany produkt informatyczny spełnia ich oczekiwania pod względem bezpieczeństwa.

Tworzenie produktów informatycznych zgodnie z normą ISO 15408 pozwala na wczesne wyspecyfikowanie wymagań bezpieczeństwa i wpisanie ich w proces wytwarzania od samego początku, w odróżnieniu od podejścia ad-hoc do problemów bezpieczeństwa. Dla ekspertów oceniających bezpieczeństwo norma dostarcza szablon pozwalający na dokonanie usystematyzowanej i spójnej oceny [28].

Norma ta powstała pod koniec lat dziewięćdziesiątych jako połączenie wcześniejszych standardów bezpieczeństwa, takich jak:

• Trusted Computer System Evaluation Criteria (TCSEC) - standard opracowany przez Departament Obrony USA, określający podstawowe wymagania dla oceny skuteczności systemów bezpieczeństwa. TCSEC został opracowany na potrzeby służb wojskowych USA, głównie w celu zagwarantowania poufności informacji. Standard ten był powszechnie znany pod nazwą Pomarańczowa Księga (ang. Orange Book).

• Information Technology Security Evaluation Criteria (ITSEC) - europejski standard opublikowany w 1990 roku. Zgodnie z nim produkt jest oceniany w kontekście wymogów operacyjnych i zagrożeń jakie mogą wystąpić.

• Canadian Trusted Computer Evaluation Criteria (CTCPEC) - standard opracowany na początku lat dziewięćdziesiątych w Kanadzie na bazie TCSEC i ITSEC. Oceniane są m.in. poufność, integralność, dostępność i odpowiedzialność.

Z uwagi na swoje cele oraz genezę norma nosi nazwę Common Criteria for Information Security Evaluation, w skrócie CC (Wspólne kryteria do oceny zabezpieczeń informatycznych). Norma składa się z trzech niezależnych części:

• PN-ISO/IEC 15408-1 (CC Part 1) - definiuje główne założenia i cele oceny bezpieczeństwa produktów informatycznych oraz prezentuje ogólny model oceny.

• PN-ISO/IEC 15408-2 (CC Part 2) - określa zbiór komponentów funkcjonalnych (ang. functional components) pozwalających na zdefiniowanie funkcjonalnych wymagań bezpieczeństwa (ang. Security Functional Requirements, SFR).

6.3. Norma PN-ISO/IEC 15408

• PN-ISO/IEC 15408-3 (CC Part 3) - określa zbiór komponentów uzasadniających zaufanie (ang. assurance components), które pozwalają na zdefiniowanie wymagań uzasadniających zaufanie do zabezpieczeń (ang. Security Assurance Requirements, SAR) oraz prezentuje skalę oceny wiarygodności EAL (ang. Evaluation Assurance Levels).

Zbiory komponentów funkcjonalnych oraz komponentów uzasadniających zaufanie są przedstawione w formie ustrukturalizowanych katalogów podzielonych na klasy (ang.

classes), rodziny (ang. families) oraz komponenty (ang. components) [12].

W nomenklaturze normy produkt informatyczny podlegający ocenie nosi nazwę przedmiot oceny (ang. Target of Evaluation, TOE). Przedmiotem oceny mogą być zarówno aplikacje, systemy operacyjne, ale również sieci komputerowe czy inteligentne urządzenia elektroniczne.

Zgodnie z metodologią Common Criteria funkcjonalne wymagania bezpieczeństwa i wymagania uzasadniające bezpieczeństwo produktów IT mogą być przedstawione w dwóch formach: jako Profil Ochrony (ang. Protection Profile, PP) oraz Zadania Zabezpieczeń (ang.

Security Target, ST).

Profil Ochrony pozwala na tworzenie zbiorów wymogów bezpieczeństwa dla całych kategorii produktów informatycznych, takich jak np. programy antywirusowe (Protection Profile Anti-Virus Applications for Workstations in Basic Robustness Environments) [129], systemy baz danych (Protection Profile Database Management Systems for Basic Robustness Environments) [130], czy systemy operacyjne (Operating System Protection Profile) [126].

Opracowany dokument jest z założenia wielokrotnego użycia i może zostać wykorzystany do specyfikacji i identyfikacji wymagań bezpieczeństwa dla konkretnych produktów IT.

Dokument Zadania Zabezpieczeń (ST) jest natomiast opracowywany dla konkretnego TSF), do których zaliczane są wszystkie mechanizmy powiązane bezpośrednio lub pośrednio z bezpieczeństwem.

Mechanizm ICAR jest rozszerzeniem systemu operacyjnego i nie może być wg normy traktowany jako oddzielny produkt informatyczny. Dlatego przeprowadzono analizę korzyści wynikających z jego wdrożenia dla systemu operacyjnego pod kątem wymagań funkcjonalnych zdefiniowanych w normie PN-ISO/IEC 15408.

Jako dokument referencyjny został wybrany Profil Ochrony Systemów Operacyjnych (Operating System Protection Profile, OSPP) [126] opracowany przez niemiecki Federalny Urząd Bezpieczeństwa Informacji (niem. Bundesamt für Sicherheit in der Informationstechnik). Obecnie dostępny jest w wersji 2.0, która została opublikowana w czerwcu 2010 roku. Profil ochrony dotyczy systemów operacyjnych ogólnego przeznaczenia (ang. general-purpose operating systems) działających w dobrze zarządzanym środowisku.

Przeznaczony jest głównie do przeprowadzania oceny systemów serwerowych. Możliwe jest również wykorzystanie do oceny stacji roboczych działających w przedsiębiorstwach lub organizacjach rządowych.

6.3. Norma PN-ISO/IEC 15408

Można więc przyjąć, że wymagania bezpieczeństwa systemów operacyjnych zawarte w OSPP są wystarczające. W rzeczywistości większość współczesnych systemów operacyjnych, a zwłaszcza tych przeznaczonych dla zastosowań serwerowych, spełnia te wymagania, wliczając w to dystrybucje systemu Linux.

Zastosowanie systemu bezpieczeństwa ICAR pozwala na większą ochronę systemów operacyjnych niż jest to wymagane przez dokument OSPP. Oznacza to, że system operacyjny Linux z włączonym system bezpieczeństwa ICAR nie tylko spełnia wymagania bezpieczeństwa według profilu ochrony OSPP, ale dodatkowo zwiększa zakres ochrony.

Norma PN-ISO/IEC 15408 pozwala na zdefiniowanie dodatkowych wymagań bezpieczeństwa. Z przeprowadzonej analizy możliwości systemu bezpieczeństwa ICAR wynika, że jest możliwe zdefiniowanie dwóch dodatkowych wymagań bezpieczeństwa, niezawartych w Profilu Ochrony Systemów Operacyjnych. Spełnienie tych wymagań może przyczynić się do większego bezpieczeństwa systemów operacyjnych. Pierwsze wymaganie, określane w Common Criteria jako FDP_SDI (ang. User data protection, Stored data inegrity) dotyczy ochrony integralności przechowywanych danych. Natomiast drugie, FPT_RCV (ang. Protection of the TSF, Trusted recovery) dotyczy zabezpieczania i przywracania danych systemów ochrony.

FDP_SDI

Wymaganie funkcjonalne FDP_SDI należy do klasy FDP (User Protection Data), która odpowiada za specyfikację wymagań oraz politykę bezpieczeństwa dla TOE dotyczących ochrony danych użytkowych. W profilu ochrony OSPP znajdują się już komponenty należące do tej klasy i są to m.in. rodziny:

• Access control policy (FDP_ACC) – opisujące politykę kontroli dostępu do zasobów,

• Access control functions (FDP_ACF) – opisujące wymagania dla funkcji implementujących politykę dostępu do zasobów,

• Information flow control policy (FDP_IFC) – opisujące politykę kontroli przepływu informacji,

• Information flow control functions (FDP_IFF) – opisujące wymagania dla funkcji implementujących politykę kontroli przepływu informacji,

• Import from outside TSF control (FDP_ITC) – opisujące mechanizm pobierania danych spoza zakresu ochrony TSF.

Zastosowanie systemu ICAR pozwala na rozszerzenie ochrony o wymaganie dotyczące integralności przechowywanych danych, oznaczone skrótem FDP_SDI (ang. Stored Data Integrity). Ochrona jaką ICAR obejmuje wybrane pliki nie może być zakwalifikowana do rodziny FDP_ACF gdyż dostęp do modyfikacji przechowywanych danych jest zblokowany dla wszystkich użytkowników, więc nie ma miejsca na „kontrolę dostępu”. Możliwość modyfikacji danych posiadają wyłącznie użytkownicy z uprawnieniami administracyjnymi, posiadający fizyczny dostęp do komputera.

Dodatkowo komponent oznaczony jako FDP_SDI.2 pozwala nie tylko na kontrolę integralności danych, ale również na podjecie odpowiedniej akcji w przypadku wykrycia modyfikacji. W przypadku wykorzystania systemu ICAR akcją taką będzie przywrócenie danych z niemodyfikowalnego nośnika.

6.3. Norma PN-ISO/IEC 15408

FPT_RCV

Drugie ze zidentyfikowanych wymagań, oznaczone skrótem FPT_RCV, należy do klasy FPT (Protection of the TSF), która zawiera rodziny wymagań funkcjonalnych związanych z ochroną mechanizmów bezpieczeństwa TSF oraz danych potrzebnych do prawidłowego działania zabezpieczeń. W profilu ochrony systemów operacyjnych (OSPP) nie zostały uwzględnione żadne komponenty z tej klasy. Rodzina komponentów FTP_RCV (Trusted recovery) specyfikuje wymagania pozwalające na zabezpieczenie TOE przed niepowołanymi modyfikacjami mechanizmów ochrony.

Opisane w rozdziale 4.5 metody wykorzystania systemu ICAR do ochrony systemu operacyjnego zakładają przechowywanie wszelkich danych systemu zabezpieczeń, w tym jądra systemu operacyjnego, na nośnikach niemodyfikowalnych. W ten sposób zablokowana jest, na poziomie sprzętowym, możliwość wyłączenia systemu ICAR, a także zmiana danych potrzebnych do jego prawidłowego działania. Następnie za pomocą systemu ICAR zabezpieczone mogę zostać pozostałe składniki systemu operacyjnego odpowiedzialne za bezpieczeństwo. Mechanizm automatycznego przywracania zmienionych danych przez system ICAR spełnia wymagania opisane w komponencie FTP_RCV.2.

Wykorzystanie mechanizmu ICAR w zabezpieczaniu systemu operacyjnego pozwala na rozszerzenie bezpieczeństwa ponad to, które jest wymagane przez Profil Ochrony Systemów Operacyjnych OSPP. Ochrona integralności przechowywanych danych oraz mechanizmów ochrony pozwala na bardziej niezawodne działanie systemów operacyjnych i z tych względów zwiększa niezawodność ich działania. W przyszłości należy rozważyć zasadność dołączenia przedstawionych komponentów do profilu ochrony OSPP.