Zdroj: www.cni.cz
ČESKÁ TECHNICKÁ NORMA
ICS 35. 100. 00 Červen 1999
Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura integrity
ČSN
ISO/IEC 10181-6
36 9694
idt lTU-TX. 815: 1995
Information technology - Open Systems Interconnection - Security frameworks for open systems: Integrity framework
Technologies de l'information - Interconnexion de systèmes ouverts (OSI) - Cadres pour la sécurité dans les systèmes ouverts: Cadre général d'intégrité
Informationstechnik - Kommunikation Offener Systeme - Rahmenrichtlinien für IT Sicherheit in Offener Systemen: Rahmenrichtlinien für die Integrität
Tato norma je českou verzí mezinárodní normy ISO/IEC 10181-6: 1996. Mezinárodní norma ISO/IEC 10181-6: 1996 má status české technické normy.
This standard is the Czech version of the International Standard ISO/IEC 10181-6: 1996. The International Standard ISO/IEC 10181-6: 1996 has the status of a Czech Standard.
Anotace obsahu
Tato mezinárodní norma se zabývá integritou dat při sběru, přenosu a managementu informací. Definuje základní pojetí integrity dat, identifikuje možné třídy mechanismů integrity, identifikuje dílčí služby pro každou z těchto tříd mechanismů integrity, identifikuje management potřebný к podpoře těchto tříd mechanismů integrity, zabývá se interakcí mechanismů integrity a podpůrných služeb s ostatními bezpečnostními službami a mechanismy. Zaměřuje se na zajištění integrity prostřednictvím mechanismů, které nespoléhají výhradně na řízení přístupu.
© Český normalizační institut, 1999 56055
Podle zákona č. 22/1997 Sb. smějí být české technické normy rozmnožovány a rozšiřovány jen se souhlasem Českého normalizačního institutu.
ČSN ISO/IEC 10181-6
Národní předmluva
Citované normy
ISO/IEC 7498-1: 1994 zavedena v ČSN EN ISO/IEC 7498-1 Informační technologie - Základní referenční model - Základní model (36 9614)
ISO/IEC 8073: 1992 zavedena v ČSN EN 28073 Informační technologie - Telekomunikace a výměna informací mezi systémy - Propojení otevřených systémů - Protokol pro zajištění transportní služby v režimu se spojením (36 9619), nahrazena ISO/IEC 8073: 1998 dosud nezavedenou
ISO 7498-2: 1989 zavedena v ČSN ISO 7498-2 Systémy na spracovanie informacií - Propojenie otvořených systémov (OSI) - Základný referenčný model - Časť 2: Bezpečnostná architektúra (36 9615)
ISO/IEC 9979: 1991 zavedena v ČSN ISO/IEC 9979 Datové kryptografické techniky. Postupy pro registraci kryptografických algoritmů (36 9781)
ISO/IEC 10181-1: 1996 zavedena v ČSN ISO/IEC 10181-1 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Přehled (36 9694)
ISO/IEC 10181-2: 1996 zavedena v ČSN ISO/IEC 10181-2 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura autentizace (36 9694)
ISO/IEC 10181-3: 1996 zavedena v ČSN ISO/IEC 10181-3 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura řízení přístupu (36 9694)
ISO/IEC 10736: 1995 zavedena v ČSN ISO/IEC 10736 Informační technologie - Telekomunikace a výměna informací mezi systémy - Bezpečnostní protokol transportní vrstvy (36 9245)
ISO/IEC 11577: 1995 zavedena v ČSN ISO/IEC 11577 Informační technologie - Propojení otevřených systémů - Bezpečnostní protokol síťové vrstvy (36 9246)
Upozornění na národní přílohu
Do této normy byla doplněna národní příloha NA, která obsahuje vysvětlivky к textu a slovník použitých termínů.
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník Českého normalizačního institutu: Ing. Jitka Procházková
2
ČSN ISO/IEC 10181-6
MEZINÁRODNÍ NORMA
Informační technologie - Propojení otevřených ISO/IEC 10181-6
systémů - Bezpečnostní struktury otevřených První vydání
systémů: Struktura integrity 1996-09-15
ICS 35. 100. 01
Deskriptory: data processing, information interchange, network interconnection, open systems interconnection, communication procedure, protection of information, security techniques
Obsah
Strana
Obsah........................................................................................................................................................................... 3
Předmluva.................................................................................................................................................................... 5
Úvod............................................................................................................................................................................. 6
1 Předmět normy............................................................................................................................................... 6
2 Normativní odkazy.......................................................................................................................................... 7
2. 1 Identická doporučení mezinárodní normy..................................................................................................... 7
2. 2 Dvojice doporučení mezinárodní normy se shodným technickým obsahem................................................ 7
2. 3 Doplňující odkazy........................................................................................................................................... 7
3 Definice.......................................................................................................................................................... 7
4 Zkratky............................................................................................................................................................ 9
5 Obecná diskuse integrity................................................................................................................................ 9
5. 1 Základní pojmy...............................................................................................................................................10
5. 2 Typy služeb integrity.......................................................................................................................................10
5. 3 Typy mechanismů integrity.............................................................................................................................10
5. 4 Hrozby vůči integritě.......................................................................................................................................11
5. 5 Typy útoků proti integritě................................................................................................................................11
6 Politiky integrity..............................................................................................................................................12
6. 1 Vyjádření politiky............................................................................................................................................12
6. 1. 1 Charakterizace dat.........................................................................................................................................12
6. 1. 2 Charakterizace entity......................................................................................................................................12
6. 1. 2. 1 Politiky založené na identitě...........................................................................................................................12
6. 1. 2. 2 Politiky založené na pravidlech......................................................................................................................13
7 Informace o integritě a dílčí služby integrity....................................................................................................13
7. 1 Informace o integritě.......................................................................................................................................13
7. 1. 1 Informace integrity o vytvoření ochrany..........................................................................................................13
7. 1. 2 Informace integrity o detekci modifikace.........................................................................................................13
7. 1. 3 Informace integrity o zrušení ochrany.............................................................................................................13
7. 2 Dílčí služby integrity........................................................................................................................................13
7. 2. 1 Dílčí služby provozního charakteru................................................................................................................13
7. 2. 2 Dílčí služby týkající se managementu............................................................................................................14
8 Klasifikace mechanismů integrity...................................................................................................................14
3
ČSN ISO/IEC 10181-6
8. 1 Zajištění integrity prostřednictvím kryptografie...............................................................................................14
8. 1. 1 Zajištění integrity prostřednictvím pečetění....................................................................................................15
8. 1. 2 Zajištění integrity prostřednictvím digitálních podpisů....................................................................................15
8. 1. 3 Zajištění integrity prostřednictvím zašifrování redundantních dat..................................................................15
8. 2 Zajištění integrity prostřednictvím kontextu....................................................................................................16
8. 2. 1 Replikace dat.................................................................................................................................................16
8. 2. 2 Předem dohodnutý kontext............................................................................................................................16
8. 3 Zajištění integrity prostřednictvím detekce a potvrzování...............................................................................17
8. 4 Zajištění integrity prostřednictvím prevence...................................................................................................17
9 Interakce s dalšími bezpečnostními službami a mechanismy........................................................................17
9. 1 Řízení přístupu...............................................................................................................................................17
9. 2 Autentizace původu dat..................................................................................................................................17
9. 3 Důvěrnost.......................................................................................................................................................17
Příloha A Integrita v základním referenčním modelu OSI.........................................................................................18
Příloha В Externí konzistence dat............................................................................................................................20
Příloha С Přehled dílčích služeb integrity.................................................................................................................22
Národní příloha NA....................................................................................................................................................24
NA. 1 Vysvětlivky к textu převzaté normy.....................................................................................................................24
NA. 2 Slovník použitých výrazů.....................................................................................................................................24
4
ČSN ISO/IEC 10181-6
Předmluva
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém světové normalizace. Národní orgány, které jsou členy ISO a IEC, se podílejí na vývoji mezinárodních norem prostřednictvím technických komisí, zřízených dotyčnou organizací a zabývajících se určitou oblastí technické činnosti. Technické komise ISO a IEC spolupracují v oblastech společných zájmů. Práce se zúčastňují i mezinárodní komise, vládní i nevládní, s nimiž ISO a IEC navázalo pracovní styk.
ISO a IEC ustavily v oblasti informační technologie společnou technickou komisi, ISO/IEC JTC 1. Návrhy mezinárodních norem, přijaté společnou technickou komisí, se rozesílají národním orgánům ke schvalování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících národních orgánů.
Mezinárodní norma ISO/IEC 10181-6 byla připravena Společnou technickou komisí ISO/IEC JTC 1 Informační technologie, subkomisí SC 21 Propojení otevřených systémů, správa dat a otevřené distribuované zpracování, ve spolupráci s ITU-T. Identický text je publikován jako Doporučení ITU-T X. 815.
ISO/IEC 10181 se skládá z následujících částí se společným názvem Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů:
- Část 1: Přehled
- Část 2: Struktura autentizace
- Část 3: Struktura řízení přístupu
- Část 4: Struktura nepopiratelnosti
- Část 5: Struktura důvěrnosti
- Část 6: Struktura integrity
- Část 7: Struktura bezpečnostního auditu a alarmů
Přílohy A až D této části ISO/IEC 10181 jsou pouze pro informaci.
5
ČSN ISO/IEC 10181-6
Úvod
Mnoho aplikací otevřených systémů má bezpečnostní požadavky, které závisí na integritě dat. Tyto požadavky mohou zahrnovat ochranu dat používaných pro zajištění jiných bezpečnostních služeb, jako je autentizace, řízení přístupu, důvěrnost, audit a nepopiratelnost, které mohou, pokud je útočník schopen je modifikovat, omezit nebo anulovat efektivitu těchto služeb.
Vlastnost, že data nebyla pozměněna nebo zničena neautorizovaným způsobem, se nazývá integrita. Toto doporučení | mezinárodní norma definuje obecnou strukturu pro zajištění služeb integrity.
1 Předmět normy
Toto doporučení | mezinárodní norma se zabývá aplikací bezpečnostních služeb v prostředí otevřených systémů, přičemž termín "otevřený systém" zahrnuje takové oblasti jako databáze, distribuované aplikace, otevřené distribuované zpracování a OSI. Bezpečnostní struktury se zaměřují na definování prostředků pro zajištění ochrany systémů a objektů uvnitř systémů a na interakce mezi systémy. Bezpečnostní struktury se nezabývají metodologií konstrukce systémů nebo mechanismů.
Bezpečnostní struktury se zabývají datovými prvky a posloupnostmi operací (ale nikoliv prvky protokolů), které jsou použity к získání specifických bezpečnostních služeb. Tyto bezpečnostní služby se mohou aplikovat na komunikující entity systémů stejně jako na data vyměňovaná mezi systémy a na data spravovaná systémy.
Toto doporučení | mezinárodní norma se zabývá integritou dat při sběru, přenosu a managementu informací:
1) definuje základní pojetí integrity dat;
2) identifikuje možné třídy mechanismů integrity;
3) identifikuje dílčí služby pro každou z těchto tříd mechanismů integrity;
4) identifikuje management potřebný к podpoře těchto tříd mechanismů integrity;
5) zabývá se interakcí mechanismů integrity a podpůrných služeb s ostatními bezpečnostními službami a mechanismy.
Tuto strukturu může využívat mnoho různých typů norem, včetně:
1) norem, které zahrnují pojetí integrity;
2) norem, které specifikují abstraktní služby obsahující integritu;
3) norem, které specifikují používání služby integrity;
4) norem, které specifikují prostředky к poskytnutí integrity v architektuře otevřených systémů; a
5) norem, které specifikují mechanismy integrity. Tyto normy mohou používat tuto strukturu takto:
- normy typu 1), 2), 3), 4) a 5) mohou využívat názvosloví této struktury;
- normy typu 2), 3), 4) a 5) mohou využívat dílčí služby, definované v článku 7;
- normy typu 5) mohou být založeny na charakteristikách mechanismů definovaných v článku 8.
Některé postupy, popsané v této bezpečnostní struktuře, prosazují integritu aplikací kryptografických technik. Tato struktura není závislá na použití specifických kryptografických nebo jiných algoritmů, i když určité třídy mechanismů integrity mohou záviset na vlastnostech konkrétního algoritmu.
POZNÁMKA - Ačkoliv ISO nenormalizuje kryptografické algoritmy, normalizuje v ISO/IEC postupy, používané pro jejich registraci.
Integrita, kterou se toto doporučení | mezinárodní norma zabývá, je integrita vymezená neměnností hodnoty dat. Toto pojetí (neměnnost hodnoty dat) zahrnuje všechny instance, ve kterých jsou různé reprezentace hodnoty dat považovány za ekvivalentní (jako např. různé zakódovaní stejné hodnoty dle ASN. 1). Jiné formy invariance jsou vyloučeny.
6
ČSN ISO/IEC 10181-6
Používání termínu data v tomto doporučení | mezinárodní normě zahrnuje všechny typy datových struktur (jako soubory nebo skupiny dat, posloupnosti dat, souborové systémy a databáze).
Tato struktura se zabývá zajištěním integrity těch dat, která jsou považována za přístupná pro zápis pro potenciální útočníky. Proto se zaměřuje na zajištění integrity prostřednictvím mechanismů, jak kryptografických, tak jiných než kryptografických, které nespoléhají výhradně na řízení přístupu.
7
Zdroj: www.cni.cz