«Общие критерии» для Windows

Несколько программных продуктов Microsoft получили сертификат EAL 4+

сертификат Common Criteria четвертого уровня вместе с сертификатом ALC_FLR.3 получили 32-разрядная и 64-разрядная версии Windows Server 2003 Standard Edition с пакетом дополнений Service Pack 1, Windows Server 2003 Enterprise Edition с пакетом дополнений Service Pack 1

По сообщению корпорации Mic?rosoft, несколько ее продуктов получили сертификат Common Criteria 4+, что, несомненно, укрепит репутацию платформы Windows среди государственных организаций и клиентов с ряда других вертикальных рынков, нуждающихся в ИТ-решениях с высокой степенью безопасности.

Common Criteria представляет собой общепризнанный стандарт, на который используют прежде всего правительственные учреждения для оценки безопасности ИТ-продуктов перед принятием решения об их приобретении.

Как заявил Марио Хуарес, старший менеджер по продуктам подразделения Microsoft Security Technology Unit, сертификат Common Criteria четвертого уровня в комбинации с сертификатом ALC_FLR.3 получили 32-разрядная и 64-разрядная версии Windows Server 2003 Standard Edition с пакетом дополнений Service Pack 1, Windows Server 2003 Enterprise Edition с пакетом дополнений Service Pack 1 и Windows Server 2003 Datacenter Edition с пакетом дополнений Service Pack 1. (Данный сертификат часто обозначают аббревиатурой EAL 4+, где «+» означает добавление сертификата ALC_FLR.3, т. е. «систематическое устранение недостатков. — Прим. ред.)

Наивысшим является уровень сертификации Common Criteria EAL 7. К числу других программных продуктов Windows, получивших сертификат EAL 4+, относятся Windows Server 2003 Certificate Server, компоненты выпуска и управления сертификатами CIMC (Certificate Issuing and Management Components); Windows XP Professional с пакетом дополнений Service Pack 2 и Windows XP Embedded с пакетом дополнений Service Pack 2.

Хуарес заявил, что Microsoft начала процесс сертификации Windows Server 2003 около двух лет назад и тестировала все свои продукты не по отдельности, а совместно, как полнофункциональную платформу, поскольку именно так они обычно и будут использоваться.

«Если мы говорим об определенной угрозе безопасности системы, мы имеем в виду платформу Windows в целом», — пояснил он.

Ранее Microsoft получила сертификат EAL 4 для Windows Server 2000, но не тестировала тогда свою серверную операционную систему совместно с другими компонентами программного обеспечения, которые обычно будут работать под ее управлением, добавил Хуарес.

Расс Купер, редактор списка рассылки NTBugtraq и сотрудник компании Cybertrust, занимающейся проблемами безопасности, назвал получение сертификата EAL4 + «прекрасным достижением» Microsoft, но выразил обеспокоенность, не придется ли системным администраторам и инженерам специальным образом настраивать Windows, чтобы воспроизвести условия испытаний.

«Иногда для получения сертификата необходимо произвести дополнительные настройки программного продукта, например отключить некоторые небезопасные сервисы, — сказал он. — Вопрос в том, что нужно подкрутить в операционной системе и насколько функциональной она после этого останется. Если Microsoft говорит: ?Мы достигли этого после установки коробочного варианта с параметрами по умолчанию?, тогда это действительно большое дело».

В электронном письме компании Waggener Edstrom, выполняющей функции агентства Microsoft по связям с общественностью, со ссылкой на Хуареса поясняется, что при сертификации EAL 4+ не использовались параметры настройки Windows по умолчанию. Согласно этому заявлению, обычно компании специальным образом настраивают конфигурацию Windows для целей безопасности.

«Каждая организация имеет свою собственную политику безопасности, которая неизбежно требует некоторого конфигурирования, — говорится в письме. — Посредством этого… сертификата мы предоставляем набор руководящих документов, шаблонов и инструментов, помогающих клиентам развернуть безопасные системы в условиях реального мира».

Исторически сложилось так, что ИТ-системы многих государственных структур строились на базе Unix, операционной системы, безопасность которой была многократно подтверждена, а в последние годы все более широкое распространение получает также ОС Linux. В настоящее время сертификацию EAL 4 проходит система Red Hat Enterprise Linux 4. Согласно сообщению, опубликованному на Web-сайте компании Novell, ее система SUSE Linux Enterprise Server 9, установленная на сервере IBM eServer, также получила сертификат EAL 4.

Несколько последних лет Microsoft подвергалась серьезной критике из-за небезопасности Windows. В результате корпорацию стало заботить не только само по себе устранение прорех в безопасности Windows, но и складывающееся мнение о Windows как о системе, непригодной для приложений, требующих высочайшего уровня безопасности.

Корпорация уже многое сделала в этом направлении и продолжает предпринимать усилия, повышая безопасность Windows и подтверждая достигнутые результаты авторитетными независимыми оценками, чтобы клиенты чувствовали уверенность, сказал Хуарес. Сертификат Common Criteria EAL 4+ — один из результатов этих усилий.

«Три года назад мы поняли, что должны поднять уровень защищенности платформы Windows по нескольким направлениям, и начали рассматривать вопросы безопасности всесторонне, — сказал Хуарес. — Сертификация Common Criteria стала нелегким решением. Она потребовала затрат времени и финансовых ресурсов. Процесс сертификации программных продуктов заставил внести изменения в процесс их разработки».

Ступени безопасности

• EAL1 — минимальная конфиденциальность; обеспечение безопасности не рассматривается как важное требование;
• EAL2 — средний уровень гарантированной безопасности в отсутствие полной информации о всех процедурах разработки;
• EAL3 — средний уровень гарантированной безопасности наряду с исчерпывающим исследованием операционной системы и этапов ее разработки, но без существенной переработки;
• EAL4 — высокий уровень гарантированной безопасности операционной системы со специальной доработкой уже существующей ОС для обеспечения этих требований;
• EAL5 — высокий уровень гарантированной безопасности операционной системы и строгий подход к проектированию, так чтобы эти свойства были заложены уже на этапе проектирования, с использованием специальных средств обеспечения безопасности;
• EAL6 — соответствует приложениям, для которых характерен высокий уровень опасных ситуаций и где оправданы высокие затраты на защиту от несанкционированного доступа;
• EAL7 — соответствует приложениям с очень высокой ценой в случае несанкционированного доступа.