Гармонизированные критерии Европейских стран. Основные понятия
Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Презденте РФ
Литература

ТРЕБОВАНИЯ К КЛАССУ ЗАЩИЩЕННОСТИ 1В

Термины и определения из Руководящего документа Гостехкомиссии России "Защита от несанкционированного доступа к информации"


Продолжая начатое в предыдущем номере журнала [1] изложение по основам информационной безопасности остановимся сегодня на версии 1.2 гармонизированных критериев оценки безопасности информационных технологий Information Technology Security Evaluation Criteria, ITSEC), принятые Европейскими странами и опубликованных в июне 1991 года от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Великобритании. Далее рассмотрим руководящие документы по защите от несанкционированного доступа, подготовленные Гостехкомиссией при Преэиденте РФ.

Следуя по пути интеграции, европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC). Выгода от использования согласованных критериев очевидна для всех - и для производителей, и для потребителей, и для самих органов сертификации. Принципиально важной чертой "Европейских Критериев" является отсутствие априорных требований к условиям, в которых должна работать информационная система. (Напомним, что в "Критериях" министерства обороны США очевидна привязка к условиям правительственной системы, обрабатывающей секретную информацию.) Так называемый спонсор или организация, запрашивающая сертификационные услуги, формулирует цель оценки, то есть описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели: корректность и эффективность архитектуры, а также реализации механизмов безопасности в описанных спонсором условиях. Таким образом, в терминологии "Оранжевой книги", "Европейские Критерии" относятся к гарантированности безопасной работы системы. Требования к политике безопасности и к наличию защитных механизмов не являются составной частью "Критериев". Впрочем, чтобы облегчить формулировку цели оценки, "Критерии" содержат в качестве приложения описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем.

Гармонизированные критерии Европейских стран. Основные понятия

"Европейские Критерии" рассматривают следующие составляющие информационной безопасности:

- конфиденциальность - защита от несанкционированного получения информации;

- целостность - защита от несанкционированного изменения информации;

- доступность - защита от несанкционированного удержания информации и ресурсов.

В "Критериях" дается определение различия между системами и продуктами. Система - это конкретная аппаратнопрограммная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт - это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопасности, основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и реальный характер, а относительно угроз продукту можно лишь строить предположения. Разработчик имеет возможность специфицировать условия, пригодные для функционирования продукта; дело покупателя обеспечить выполнение этих условий.

Из практических соображений важно обеспечить единство критериев оценки продуктов и систем - например, чтобы облегчить и удешевить оценку системы, составленной из ранее сертифицированных продуктов. В этой связи для систем и продуктов вводится единый термин - объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключительно к системам, а какие - только к продуктам.

Каждая система и/или продукт предъявляет свои требования к обеспечению конфиденциальности, целостности и доступности. Чтобы удовлетворить эти требования, необходимо предоставить соответствующий набор функций или сервисов безопасности, таких как идентификация и аутентификация, управление доступом или восстановление после сбоев. Сервисы безопасности реализуются посредством конкретных механизмов. Например, для реализации функции идентификации и аутентификации можно использовать такой механизм, как сервер аутентификации Kerberos.

Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности будем называть гарантированностью, которая может быть большей или меньшей в зависимости от тщательности проведения оценки.

Гарантированность затрагивает два аспекта - эффективность и корректность средств безопасности. При проверке эффективности анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безопасности. Точнее говоря, рассматриваются вопросы адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма). Определяется три градации мощности - базовая, средняя и высокая.

Под корректностью понимается правильность реализации функций и механизмов безопасности. В "Критериях" определяется семь возможных уровней гарантированности корректности в порядке возрастания - от ЕО до Е6. Уровень ЕО обозначает отсутствие гарантированности - аналог уровня D "Оранжевой книги" [1]. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения.

Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности. Теоретически эти два аспекта независимы, хотя на практике нет смысла проверять правильность реализации "по высшему разряду", если механизмы безопасности не обладают даже средней мощностью.

Функциональность

В "Европейских Критериях" средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный уровень соответствует общему взгляду только на цели безопасности. На этом уровне дается ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности, из которых можно узнать, какая функциональность на самом деле обеспечивается. Наконец, на третьем уровне содержится информация о механизмах безопасности и где уже видно, как реализуется декларированная функциональность.

Спецификации функций безопасности - важнейшая часть описания объекта оценки. "Критерии" рекомендуют выделить в этих спецификациях разделы со следующими заголовками:

- Идентификация и аутентификация.
- Управление доступом.
- Подотчетность.
- Аудит.
- Повторное использование объектов.
- Точность информации.
- Надежность обслуживания.
- Обмен данными.

Большинство из перечисленных тем были рассмотрены при анализе "Оранжевой книги". Сейчас остановимся лишь на моментах, специфичных для "Европейских Критериев".

Под идентификацией и аутентификацией понимается не только проверка подлинности пользователей в узком смысле, но и функции для регистрации новых пользователей и удаления старых, а также функции для генерации,изменения и проверки аутентификационной информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.

Средства управления доступом также трактуются Европейскими Критериями достаточно широко. В этот раздел помимо прочих попадают функции, обеспечивающие временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов - мера, типичная для систем управления базами данных. В этом же разделе имеются функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных, что также типично для СУБД.

Под точностью в "Критериях" понимается поддержание определенного соответствия между различными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникаций). Точность выступает как один из аспектов целостности информации.

Функции надежности обслуживания должны гарантировать, что действия, критичные по времени, будут выполнены ровно тогда, когда нужно - не раньше и не позже, и что некритичные действия нельзя перевести в разряд критичных. Далее, должна быть гарантия, что авторизованные пользователи за разумное время получат запрашиваемые ресурсы. Сюда же относятся функции обнаружения и нейтрализации ошибок, необходимые для минимизации простоев, а также функции планирования, позволяющие гарантировать время реакции на внешние события.

К области обмена данными относятся функции, обеспечивающие коммуникационную безопасность данных, передаваемых по каналам связи. Здесь" Европейские Критерии" следуют в фарватере рекомендаций Х.800, предлагая следующие подзаголовки:

- Аутентификация.
- Управление доступом.
- Конфиденциальность данных.
- Целостность данных.
- Невозможность отказаться от совершенных действий.

Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы функциональности. В "Европейских Критериях" таких классов десять - пять из них ( F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности "Оранжевой книги".

Класс F-IN предназначается для объектов оценки с высокими потребностями по обеспечению целостности данных и программ, что типично для СУБД. При описании класса F-IN вводится понятие роли и выдвигается требование по предоставлению доступа к определенным объектам только с помощью предопределенных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, переименование (для всех объектов), выполнение, удаление, переименование (для выполняемых объектов), создание и удаление объектов.

Класс F-AV характеризуется повышенными требованиями к доступности. Это существенно, например, для систем управления технологическими процессами. В разделе "Надежность обслуживания" описание этого класса специфицируется следующим образом: объект оценки должен восстанавливаться после отказа отдельного аппаратного компонента таким образом, чтобы все критически важные функции оставались постоянно доступными. То же должно быть верно для вставки отремонтированного компонента, причем после этого объект оценки возвращается в состояние, устойчивое к одиночным отказам. Независимо от уровня загрузки должно гарантироваться время реакции на определенные события и отсутствие тупиков.

Класс F-DI характеризуется повышенными требованиями к целостности передаваемых данных. Перед началом общения стороны должны быть в состоянии проверить подлинность друг друга. При получении данных необходима возможность проверки подлинности источника. При обмене данными должны предоставляться средства контроля ошибок и их исправления. В частности, должны обнаруживаться все повреждения или намеренные искажения адресной и пользовательской информации. Знание алгоритма обнаружения искажений должно исключать возможность производить нелегальную модификацию. Попытки воспроизведения ранее переданных сообщений должны обнаруживаться и трактоваться как ошибки.

Класс F-DC характеризуется повышенными требованиями к конфиденциальности передаваемой информации. Перед поступлением данных в каналы связи должно автоматически выполняться шифрование с использованием сертифицированных средств. На приемном конце также автоматически производится расшифровка, ключи которой должны быть защищены от несанкционированного доступа.

Класс F-DX характеризуется повышенными требованиями и к целостности, и к конфиденциальности информации. Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования, действующими из конца в конец, и с защитой от анализа трафика по определенным каналам. Должен быть ограничен доступ к ранее переданной информации, которая в принципе может способствовать нелегальной расшифровке.

Гарантированность эффективности

Для получения гарантий эффективности средств безопасности рассматриваются следующие вопросы:

- Соответствие набора функций безопасности провозглашенным целям, то есть их пригодность для противодействия угрозам, перечисленным в описании объекта оценки;

- Взаимная согласованность различных функций и механизмов безопасности;

- Способность механизмов безопасности противостоять прямым атакам;

- Возможность практического использования слабостей в архитектуре объекта оценки, то есть наличие способов отключения, обхода, повреждения и обмана функций безопасности;

- Возможность небезопасного конфигурирования или использования объекта оценки при условии, что администраторы и/или пользователи имеют основание считать ситуацию безопасной;

- Возможность практического использования слабостей в функционировании объекта оценки.

Важнейшей частью проверки эффективности является анализ слабых мест в защите объекта оценки. Цель анализа - найти все возможности отключения, обхода, повреждения, обмана средств защиты. Оценивается также способность всех критически важных защитных механизмов противостоять прямым атакам - мощность механизмов. Защищенность системы или продукта не может быть выше мощности самого слабого из критически важных механизмов, поэтому в "Критериях" имеется в виду минимальная гарантированная мощность. Для нее определены три уровня: базовый, средний и высокий. Мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностями. Наконец, мощность можно считать высокой, если есть уверенность, что механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы обыденной практичности.

Важной характеристикой является простота использования продукта или системы. Должны существовать средства, информирующие персонал о переходе объекта в небезопасное состояние (что может случиться в результате сбоя, ошибок администратора или пользователя). Ситуации, когда в процессе функционирования объекта оценки появляются слабости, допускающие практическое использование, в то время как администратор об этом не знает, должны быть исключены. Эффективность защиты признается неудовлетворительной, если выявляются такие слабые места, и они не исправляются до окончания процесса оценки. В таком случае объекту присваивается уровень гарантированности Е0.

Обратим внимание на то, что анализ слабых мест производится в контексте целей, декларируемых для объекта оценки. Например, можно примириться с наличием тайных каналов передачи информации, если отсутствуют требования к конфиденциальности. Далее, слабость конкретного защитного механизма может не иметь значения, если она компенсируется другими средствами обеспечения безопасности, то есть если механизм не является критически важным.

Гарантированность корректности

При проверке корректности объекта оценки применяются две группы критериев. Первая группа относится к конструированию и разработке системы или продукта, вторая - к эксплуатации. Оцениваются следующие аспекты:

- Процесс разработки: требования к объекту оценки; общая архитектура; детализированная архитектура; реализация.

- Среда разработки: средства конфигурационного управления; используемые языки программирования и компиляторы; безопасность среды разработки (ее физическая защищенность, методы подбора персонала и т.п.).

- Эксплуатационная документация: руководство пользователя; руководство администратора.

- Операционное окружение: доставка и конфигурирование системы или продукта; запуск и эксплуатация.

Уровни корректности от E1 до Е6 выстроены по нарастанию требований к тщательности оценки. Так, на уровне E1 анализируется лишь общая архитектура объекта - вся остальная уверенность может быть следствием функционального тестирования. На уровне ЕЗ к анализу привлекаются исходные тексты программ и схемы аппаратуры. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также модели политики безопасности. В общем случае распределение требований по уровням гарантированности в "Европейских Критериях" соответствует аналогичному распределению для классов безопасности С1-А1 из "Оранжевой книги".

Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Презденте РФ

В 1992 году Гостехкомиссия при Президенте РФ опубликовала "Руководящих документов", посвященных проблеме защиты от несанкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС) [2-6]. Рассмотрим важнейшие из них.

Концепция защиты от несанкционированного доступа к информации

Идейной основой набора "Руководящих документов" является "Концепция защиты СВТ и АС от НСД к информации". Концепция "излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД, являющейся частью общей проблемы безопасности информации".

Мы позволим себе многостраничное цитирование Руководящих документов по двум причинам. Во-первых, данные требования, несомненно, важны с практической точки зрения. Лица, отвечающие за информационную безопасность, должны сопоставлять свои действия с Руководящими указаниями, чтобы обеспечить систематичность защитных мер. Во-вторых, брошюры Гостехкомиссии при Президенте РФ являются библиографической редкостью, и ознакомиться с ними в подлиннике затруднительно.

В "Концепции" различаются понятия средств вычислительной техники и автоматизированной системы, аналогично тому, как в "Европейских Критериях" проводится деление на продукты и системы. Более точно, "Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД. Это - направление, связанное с СВТ, и направление, связанное с АС. Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.

Помимо пользовательской информации при создании автоматизированных систем появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации."

Существуют различные способы покушения на информационную безопасность: радиотехнические, акустические, программные и т.п. Среди них НСД выделяется как "доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС."

В "Концепции" формулируются следующие основные принципы защиты от НСД к информации:

"...Защита СВТ обеспечивается комплексом программно-технических средств.

Защита АС обеспечивается комплексом программнотехнических средств и поддерживающих их организационных мер.... Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта,включая технические решения и практическую реализацию средств защиты.

Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами."

"Концепция" ориентируется на физически защищенную среду, проникновение в которую посторонних лиц считается невозможным, поэтому нарушитель определяется как "субъект, имеющий доступ к работе с штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты."

В качестве главного средства защиты от НСД к информации в "Концепции" рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями СРД являются:

- "реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;

- реализация ПРД субъектов и их процессов к устройствам создания твердых копий;

- изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

- управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;

- реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам."

Кроме того, "Концепция" предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:

- "идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

- регистрацию действий субъекта и его процесса;

- предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

- реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;

- тестирование;

- очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

- учет выходных печатных и графических форм и твердых копий в АС;

- контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств."

Видно, что функции системы разграничения доступа и обеспечивающих средств, предлагаемые в "Концепции", по своей сути близки к аналогичным положениям "Оранжевой книги". Это вполне естественно, поскольку близки и исходные посылки - защита от несанкционированного доступа к информации в условиях физически безопасного окружения.

Технические средства защиты от НСД, согласно "Концепции", должны оцениваться по следующим основным параметрам:

- "степень полноты охвата ПРД реализованной СРД и ее качество;

- состав и качество обеспечивающих средств для СРД;

- гарантии правильности функционирования СРД и обеспечивающих ее средств."

Здесь просматривается аналогия с гарантированностью эффективности и корректности в европейских гармонизированных критериях, что можно только приветствовать.

Классификация СВТ по уровню защищенности от НСД

Переходя к рассмотрению предлагаемой Гостехкомиссией при Президенте РФ классификации средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации, отметим ее близость к классификации "Оранжевой книги". Процитируем соответствующий "Руководящий документ".

"...устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

- первая группа содержит только один седьмой класс;

- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

- четвертая группа характеризуется верифицированной защитой и содержит только первый класс."

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, однако при оценке защищенность СВТ оказалась ниже уровня требований шестого класса. В таблице 1 приведены распределения показателей защищенности по шести классам СВТ.

Таблица 1.
Распределение показателей защищенности по шести классам CBT.

Наименование показателя
Класс защищенности
6
5
4
3
2
1
1. Дискреционный принцип контроля доступа
+
+
+
=
+
=
2. Мандатный принцип контроля доступа
-
-
+
=
=
=
3. Очистка памяти
-
+
+
+
=
=
4. Изоляция модулей
-
-
+
=
+
=
5. Маркировка документов
-
-
+
=
=
=
6. Защита ввода и вывода еа отчуждаемый физический носитель информации
-
-
+
=
=
=
7. Сопоставление пользователя с утройством
-
-
+
=
=
=
8. Идентификация и аутентификация
+
=
+
=
=
=
9. Гарантии проектирования
-
+
+
+
+
+
10. Регистрация
-
+
+
+
+
+
11. Взаимодействие пользователя с КСЗ
-
-
-
+
=
=
12. Надежное восстановление
-
-
-
+
=
=
13. Целостность КСЗ
-
+
+
+
=
=
14. Контроль модификации
-
-
-
-
+
=
15. Контроль дистрибуции
-
-
-
-
+
=
16. Гарантии архитектуры
-
-
-
-
-
+
17. Тестирование
+
+
+
+
+
=
18. Руководство пользователя
+
=
=
=
=
=
19. Руководство по КСЗ
+
+
=
+
+
=
20. Тестовая документация
+
+
+
+
+
=
21. Конструкторская (проектная) документация
+
+
+
+
+
+
Обозначения:
"-" - нет требований к данному классу;
"+" - новые или дополнительные требования;
"=" - требования совпадают с требованиями к СВТ предыдущего класса;
"КСЗ" - комплекс средств защиты.

Классификация автоматизированных систем по уровню защищенности от НСД

Классификация автоматизированных систем устроена иначе. Снова обратимся к соответствующему "Руководящему документу".

"...устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

... Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А." В таблице 2 собраны требования ко всем девяти классам защищенности АС.

Таблица 2.
Требования к защищенности автоматизированных систем.

Классы
Подсистемы и требования
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему;
+
+
+
+
+
+
+
+
+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
-
-
-
+
-
+
+
+
+
к программам;
-
-
-
+
-
+
+
+
+
к томам, каталогам, файлам, записям, полям записей.
-
-
-
+
-
+
+
+
+
1.2. Управление потоками информации.
-
-
-
+
-
-
+
+
+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла сети);
+
+
+
+
+
+
+
+
+
выдачи печатных (графических) выходных документов;
-
+
-
+
-
+
+
+
+
запуска/завершения программ и процессов (заданий, задач);
-
-
-
+
-
+
+
+
+
доступа программ субъектов доступа к защищаемым файлам, включая из создания и удаления, передачу по линиям и каналам связи;
-
-
-
+
-
+
+
+
+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
-
-
-
+
-
+
+
+
+
изменения полномочий субъектов доступа;
-
-
-
-
-
-
+
+
+
создаваемых защищаемых объектов доступа.
-
-
-
+
-
-
+
+
+
2.2. Учет носителей информации.
+
+
+
+
+
+
+
+
+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
-
+
-
+
-
+
+
+
+
2.4. Сигнализация попыток нарушения защиты.
-
-
-
-
-
-
+
+
+
3. Криптографическая подсистема
3.1. Шифрование конфиденциалной информации.
-
-
-
+
-
-
-
+
+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.
-
-
-
-
-
-
-
-
+
3.3. Использование аттестованных (сертифицированных) криптографических средств.
-
-
-
+
-
-
-
+
+
4. Подсистема обеспечения целостности
4.1. Обеспечения целостности программных средств и обрабатываемой информации.
+
+
+
+
+
+
+
+
+
4.2. Физическая охрана средств вычислительной техники и носителей информации.
+
+
+
+
+
+
+
+
+
4.3. Наличие администратора (службы) защиты информации в АС.
-
-
-
+
-
-
+
+
+
4.4. Периодическое тестирование СЗИ НСД.
+
+
+
+
+
+
+
+
+
4.5. Наличие средств восстановления СЗИ НСД.
+
+
+
+
+
+
+
+
+
4.6. Использование сертифицированных средств защиты.
-
+
-
+
-
-
+
+
+
Обозначения:
"- " - нет требований к данному классу; "+" - есть требования к данному классу; "СЗИ НСД" - система защиты информации от несанкционированного доступа.
На врезке слева приведено подробное изложение требований к достаточно представительному классу защищенности - 1В.
По существу, перед нами - минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.
Владимир Галатенко Vladimir.Galatenko@jet.msk.su
АО "Инфосистемы Джет"

Литература

[1] Владимир Галатенко. Информационная безопасность // "Открытые системы", # 4, 1995.

[2] Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. - Москва, 1992.

[3] Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. - Москва, 1992.

[4] Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - Москва, 1992.

[5] Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники. - Москва, 1992.

[6] Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. - Москва, 1992.


ТРЕБОВАНИЯ К КЛАССУ ЗАЩИЩЕННОСТИ 1В

Подсистема управления доступом:

  • должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
  • должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам;
  • должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
  • должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
  • должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

    Подсистема регистрации и учета:

  • должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова;
  • должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию;
  • должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
  • должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
  • должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа;
  • должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
  • должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки;
  • должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двухкратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации;
  • должна осуществляться сигнализация попыток нарушения защиты.

    Подсистема обеспечения целостности:

  • должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды, при этом:
  • целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ,
  • целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;
  • должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;
  • должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминами и необходимые средства оперативного контроля и воздействия на безопасность АС;
  • должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;
  • должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НОД и их периодическое обновление и контроль работоспособности;
  • должны использоваться сертифицированные средства защиты."

    Термины и определения из Руководящего документа Гостехкомиссии России "Защита от несанкционированного доступа к информации"

    Порядок следования и нумерация терминов соответствует официальному документу.

    1. Доступ к информации, Доступ, Access to information - Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации

    2. Правила разграничения доступа (ПРД), Security policy - Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

    3. Санкционированный доступ к информации, Authorized access to information - Доступ к информации, не нарушающий правила разграничения доступа

    4. Несанкционированный доступ к информации (НСД), Unauthorized access to information - Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами, Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем

    5. Защита от несанкционированного доступа, Защита от НСД, Protection from unauthorized access - Предотвращение или существенное затруднение несанкционированного доступа

    6. Субъект доступа, Субъект, Access subject - Лицо или процесс, действия которых регламентируются правилами разграничения доступа

    7. Объект доступа, Объект, Access object - Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами

    8. Матрица доступа, Access matrix - Таблица, отображающая правила разграничения доступа

    9. Уровень полномочий, Subject privilege - Совокупность прав доступа субъекта субъекта доступа доступа

    10. Нарушитель правил разграничения доступа, Нарушитель ПРД, Security policy violator - Субъект доступа, осуществляющий несанкционированный доступ к информации

    11. Модель нарушителя правил разграничения доступа, Модель нарушителя ПРД, Security policy violater's model - Абстрактное (формализированное или неформализованное) описание нарушителя правил разграничения доступа

    12. Комплекс средств защиты КСЗ, Trusted computing base - Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации

    13. Система разграничения доступа (СРД), Security poticy realization - Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах

    15. Идентификация, Identification - Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов

    16. Пароль, Password - Идентификатор субъекта доступа, который является его (субъекта) секретом

    17. Аутентификация, Authentication - Проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности

    20, Модель защиты, Protection model - Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и/или организационных мер защиты от несанкционированного доступа

    21. Безопасность информации, Information security - Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз

    22. Целостность информации, Information integrity - Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения {разрушения)

    23. Конфиденциальная информация, Sensitive information - Информация, требующая защиты

    24. Дискреционное управление доступом, Discretionary access control - Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту

    25. Мандатное управление доступом, Mandatory access control - Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности

    26. Многоуровневая защита, Multilevel secure - Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности

    27. Концепция диспетчера доступа, Reference monitor concept - Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам

    28. Диспетчер доступа, Security kernel - Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты

    35. Система защиты информации от несанкционированного доступа (СЗИ НСД), System of protection from unauthorized access to information - Комплекс организационных мер и программно технических (в том числе криптографических) средств зашиты от несанкционированного доступа к информации в автоматизированных системах

    36. Средство криптографической защиты информации (СКЗИ), Cryptographic information protection facility - Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности


    Copyright "Инфосистемы Джет" 1995