Основні критерії
захищеності АС.
1. Класифікація систем
захисту АС.
1.1. Керівні
документи державної технічної комісії Росії
У 1992 р. Держтехкомісії (ГТК) при
Президентові Російської Федерації розробила і опублікувала п'ять керівних
документів, присвячених питанням захисту інформації в автоматизованих
системах її обробки. Основою цих документів є концепція захисту
засобів обчислювальної техніки (ЗОТ) і АС від несанкціонованого доступу до
інформації, яка містить систему поглядів ГТК на проблему інформаційної
безпеки та основні принципи захисту комп'ютерних систем. З точки зору
розробників цих документів, основне завдання засобів безпеки - це
забезпечення захисту від несанкціонованого доступу до інформації. Певний
ухил у бік підтримки секретності інформації пояснюється тим, що дані
документи були розроблені в розрахунку на застосування в інформаційних системах
силових структур РФ.
1.1.1 Структура
вимог безпеки
Керівні документи ГТК складаються з п'яти
частин:
1. Захист від несанкціонованого доступу
до інформації. Терміни і визначення.
2. Концепція захисту ЗОТ і АС від
несанкціонованого доступу (НСД) до інформації.
3. Автоматизовані системи. Захист від
несанкціонованого доступу до інформації. Класифікація автоматизованих
систем і вимоги щодо захисту інформації.
4. Засоби обчислювальної техніки.
Захист від несанкціонованого доступу до інформації. Показники захищеності від
НСД до інформації.
5. Тимчасове положення з організації
розробки, виготовлення і експлуатації програмних і технічних засобів
захисту інформації від несанкціонованого доступу в автоматизованих системах і засобах
обчислювальної техніки.
Найбільший інтерес представляють друге,
третя і четверта частини. У другій частині викладається система поглядів, основних
принципів, які закладаються в основу проблеми захисту інформації від несанкціонованого доступу.
Керівні документи ГТК пропонують дві групи вимог до безпеки --
показники захищеності СВТ від НСД і критерії захищеності АС обробки даних.
Перша група дозволяє оцінити ступінь захищеності окремо поставляються
споживачеві компонентів АС і розглядається в четвертій частині, а другий
розрахована на більш складні комплекси, що включають кілька одиниць СВТ, і
представлена в третій частині керівних документів.
1.1.2. Основні
положення концепції захисту ЗОТ і АС від НСД до інформації
Концепція призначена для замовників,
розробників і користувачів ЗОТ і АС, що використовуються для обробки, зберігання та
передачі потребує захисту інформації. Вона є методологічною базою
нормативно-технічних та методичних документів, спрямованих на вирішення
наступних завдань:
• вироблення вимог щодо захисту ЗОТ і АС
від несанкціонованого доступу до інформації;
• створення захищених ЗОТ і АС, тобто
захищених від несанкціонованого доступу до інформації;
• сертифікація захищених ЗОТ і АС.
Як вже було сказано вище, концепція
передбачає існування двох відносно самостійних напрямків в
проблеми захисту інформації від НСД: напрями, пов'язаного з СВТ, і
напряму, пов'язаного з АС. Різниця двох напрямків породжене тим, що СВТ
розробляються і поставляються на ринок лише як елементи, з яких у
надалі будуються функціонально орієнтовані АС, і тому, не вирішуючи
прикладних задач, СВТ не містять інформації користувачів. У разі СВТ
можна говорити лише про захищеність (захисту) СВТ від НСД до інформації, для
обробки, зберігання та передачі якої СВТ призначене. Прикладом СВТ можна
вважати спеціалізовану плату розширення з відповідним апаратним та
програмним інтерфейсом, що реалізує функції автентифікації користувача за його
біометричних характеристик. Або до СВТ можна віднести програму прозорого
шифрування даних, які зберігаються на жорсткому диску.
При створенні АС з'являються такі
відсутні при розробці СВТ характеристики АС, як повноваження
користувачів, модель порушника, технологія обробки інформації. Типовим
прикладом АС є розрахована на багато користувачів, багатозадачна ОС.
Для визначення принципів захисту
інформації у керівних документах ГТК дається поняття НСД до інформації: НСД --
доступ до інформації, що порушує встановлені правила розмежування доступу, з
використанням штатних засобів, що надаються СВТ або АС. У даному
визначенні під штатними засобами розуміється сукупність програмного,
мікропрограмного та технічного забезпечення СВТ або АС.
Поняття НСД є надзвичайно важливим,
тому що воно визначає, від чого сертифіковані за керівним документам ГТК
системи захисту АС і ЗОТ повинні захищати інформацію. Наприклад, до НСД не віднесені
руйнівні наслідки стихійних лих, хоча вони і становлять загрозу
інформації, зокрема її цілісності та доступності.
До основних способів НСД відносяться:
безпосереднє звернення до об'єктів доступу
(наприклад, через отримання програмою, керованої користувачем, доступу на
читання або запис, у файл);
створення програмних і технічних
засобів, що виконують звертання до об'єктів доступу в обхід засобів захисту
(наприклад, ті, люки, залишені розробниками системи захисту);
модифікація засобів захисту, що дозволяє
здійснити НСД (наприклад, шляхом впровадження в систему захисту програмних
закладок або модулів, що виконують функції "троянського коня ");
впровадження в технічні засоби СВТ або
АС програмних чи технічних механізмів, що порушують передбачувану структуру
і функції СВТ або АС та дозволяють здійснити НСД (наприклад, шляхом завантаження на
комп'ютер в обхід штатної ОС іншої ОС, що не має функцій захисту).
Далі в керівних документах ГТК представлені
сім принципів захисту інформації:
захист ЗОТ і АС грунтується на
положеннях і вимогах існуючих законів, стандартів і
нормативно-методичних документів по захисту від несанкціонованого доступу до інформації;
захист СВТ забезпечується комплексом
програмно-технічних засобів;
захист АС забезпечується комплексом
програмно-технічних засобів і підтримуючих їх організаційних заходів;.
захист АС повинна забезпечуватися на всіх
технологічних етапах обробки інформації і у всіх режимах функціонування,
в тому числі при проведенні ремонтних і регламентних робіт;
програмно-технічні засоби захисту не
повинні істотно погіршувати основні функціональні характеристики АС
(надійність, швидкодію, можливість зміни конфігурації АС);
невід'ємною частиною робіт по захисту
є оцінка ефективності засобів захисту, що здійснюється за методикою,
що враховує всю сукупність технічних характеристик оцінюваного об'єкта,
включаючи технічні рішення та практичну реалізацію засобів захисту;
захист АС повинна передбачати контроль
ефективності засобів захисту від НСД, який або може бути періодичним,
або ініціюватися в міру необхідності користувачем АС або контролюючими
органами.
Незважаючи на те, що загрози інформації
можуть реалізовуватися широким спектром способів, так чи інакше початковим
джерелом всіх загроз є людина чи порушник. Як порушника
розглядається суб'єкт, що має доступ до роботи зі штатними засобами АС і
СВТ і є спеціалістом вищої кваліфікації, що знають все про АС і, в
Зокрема, про систему і засоби її захисту.
У керівних документах ГТК дається
класифікація порушника за рівнем можливостей, що надаються йому штатними
засобами АС і ЗОТ Класифікація є ієрархічною, тобто кожний наступний
рівень включає в себе функціональні можливості попереднього. Виділяється
чотири рівні цих можливостей.
Перший рівень визначає найнижчий
рівень можливостей ведення діалогу в AC - запуск задач (програм) з
фіксованого набору, що реалізують заздалегідь передбачені функції по обробці
інформації (як приклад АС, що надає порушнику описаний коло
можливостей, можна привести систему обробки формалізованих поштових
повідомлень).
Другий рівень визначається можливістю
створення та запуску власних програм з новими функціями з обробки
інформації (наприклад, в даному випадку передбачається, що порушник може
виступати в ролі "звичайного" користувача ОС).
Третій рівень визначається можливістю
управління функціонуванням АС, тобто впливом на базове програмне
забезпечення системи і на склад і конфігурацію її устаткування (наприклад, до
даного класу відноситься порушник, впровадити в систему безпеки АЕС
програмну закладення).
Четвертий рівень визначається всім
обсягом можливостей осіб, які здійснюють проектування, реалізацію та ремонт
технічних засобів АС, аж до включення до складу СВТ власних
технічних засобів з новими функціями з обробки інформації (наприклад,
відомі випадки, коли в АС впроваджувалися "тимчасові бомби", які виводять
систему з ладу після закінчення терміну гарантійного ремонту).
Крім перерахованих вище понять під
другий частини керівних документів ГТК розглядаються:
основні напрями забезпечення захисту
від НСД, зокрема основні функції засобів розмежування доступу (СРР) і
забезпечують СРД засобів;
основні характеристики технічних
засобів захисту від НСД;
порядок організації робіт із захисту.
1.1.3. Показники
захищеності засобів обчислювальної техніки від НСД
У ч.2 керівних документів ГТК встановлюється
класифікація СВТ за рівнем захищеності від НСД до інформації на базі переліку
показників захищеності і сукупності описують їх вимог. Під СВТ
розуміється сукупність програмних і технічних елементів систем обробки
даних, здатних функціонувати самостійно або в складі інших систем.
Показники захищеності містять
вимоги захищеності СВТ від НСД до інформації і застосовуються до загальносистемних
програмних засобів і операційних систем (з урахуванням архітектури
комп'ютера). Конкретні переліки показників визначають класи захищеності СВТ
і описуються сукупністю вимог. Сукупність усіх засобів захисту
складає комплекс засобів захисту (КЗЗ).
За аналогією з критерієм TCSEC, який
буде розглянуто далі. встановлено сім класів захищеності СВТ від НСД до
інформації. Найнижчий клас - сьомий, найвищий - перший. Показники
захищеності та вимоги до класів наведені в табл.1.
Таблиця 1
Показник
захищеності
Клас
захищеності
6
5
4
3
2
1
дискреційний
принцип контролю доступу
+
+
+
=
+
=
Мандатної
принцип контролю доступу
-
-
+
=
=
=
Очищення
пам'яті
-
+
+
+
=
=
Ізоляція
модулів
-
-
+
=
+
=
Маркування
документів
-
-
+
=
=
=
Захист
введення та виведення на відчужений фізичний носій інформації
-
-
+
=
=
=
Зіставлення
користувача з пристроєм
-
-
+
=
=
=
Ідентифікація
і аутентифікація
+
=
+
=
=
=
Гарантії
проектування
-
+
+
+
+
+
Реєстрація
-
+
+
+
=
=
Взаємодія
користувача з КСЗ
-
-
-
+
=
=
Надійне
відновлення
-
-
-
+
=
=
Цілісність
КСЗ
-
+
+
+
=
=
Контроль
модифікації
-
-
-
-
+
=
Контроль
дистрибуції
-
-
-
-
+
=
Гарантії
архітектури
-
-
-
-
-
+
Тестування
+
+
+
+
+
=
Керівництво
користувача
+
=
=
=
=
=
Керівництво
по КСЗ
+
+
=
+
+
=
Текстова
документація
+
+
+
+
+
=
Конструкторська
(проектна) документація
+
+
+
+
+
+
Примітки.
"-" - Немає вимог до даного класу; "+" - нові або
додаткові вимоги; "=" - вимоги збігаються з
вимогами до СВТ попереднього класу.
Важливо зазначити, що вимоги є
класичним прикладом застосування необхідних умов оцінки якості захисту,
тобто якщо який-небудь механізм присутня, то це є підставою для
віднесення СВТ до деякого класу.
Цікаво, що захищені СВТ містять
поділ тільки за двома класами політик безпеки: дискреційною і
мандатної.
Невліяніе суб'єктів один на одного
описується вимогою "ізоляція модулів" (потрібно з 4-го класу).
Гарантії виконання політики безпеки коррелірованни з вимогою
"цілісність КСЗ" (потрібно з 5-го класу) і "гарантії
проектування "(потрібно також з 5-го класу).
1.1.4. Класи
захищеності АС
У ч.З керівних документів ГТК дається
класифікація АС та вимог щодо захисту інформації в АС різних класів. При
цьому визначаються:
1. Основні етапи класифікації АС:
розробка та аналіз вихідних даних;
виявлення основних ознак АС,
необхідних для класифікації;
порівняння виявлених ознак АС з
класифікуються;
присвоєння АС відповідного класу
захисту інформації від несанкціонованого доступу.
2. Необхідні вихідні дані для
класифікації конкретної АС:
перелік захищених інформаційних
ресурсів АС і їх рівень конфіденційності;
перелік осіб, які мають доступ до штатних
засобам АС із зазначенням їх рівня повноважень;
матриця доступу або повноважень суб'єктів
доступу по відношенню до захищається інформаційних ресурсів АС;
режим обробки даних в АС.
3. Ознаки, за якими здійснюється
угруповання АС в різні класи:
наявність в АС інформації різного рівня
конфіденційності;
рівень повноважень суб'єктів доступу АС
на доступ до конфіденційної інформації,
режим обробки даних в АС: колективний
або індивідуальний.
Документи ГТК встановлюють дев'ять
класів захищеності АС від НСД, розподілених на три групи. Кожен клас
характеризується певною сукупністю вимог до засобів захисту. У
межах кожної групи дотримується ієрархія класів захищеності АС. Клас,
відповідний вищого ступеня захищеності для даної групи, позначається
індексом Nа, де N - номер групи (від 1 до 3). Наступний клас позначається NB
і т.д.
Третя група включає АС, в яких
працює один користувач, допущений до всієї інформації АС, розміщеної на
носіях одного рівня конфіденційності. Група містить два класи - ЗБ і
ЗА.
Друга група включає АС, в яких
користувачі мають однакові повноваження доступу до всієї інформації,
оброблюваної і зберігається в АС на носіях різного рівня
конфіденційності. Група містить два класи - 2Б і 2А.
Перша група включає
багатокористувацькі АС, в яких одночасно обробляється і зберігається
інформація різних рівнів конфіденційності. Не всі користувачі мають рівні
права доступу. Група містить п'ять класів - 1Д, 1М, 1В, 1Б і 1А.
У табл. 2 наведені вимоги до
підсистем захисту для кожного класу захищеності.
Таблиця 2
Підсистеми
захисту та вимоги до них
Класи
захищеності
ЗБ
ЗА
2Б
2А
1Д
1Г
1В
1Б
1А
1.
Підсистема управління
доступом
1.1.
Ідентифікація. Вказівки щодо справжності і контроль доступу суб'єктів:
в
систему
+
+
+
+
+
+
+
+
+
до
терміналів, ЕОМ, вузлів мережі ЕОМ, каналів зв'язку, зовнішніх пристроїв ЕОМ
+ +
+ +
+ +
+ +
+ +
до
програмами
+
+
+
+
+
до
томів, каталогам, файлів, записів, полями записів
+ +
+ +
+ +
+ +
+ +
1.2.
Управління потоками інформації
+
+
+
+
2.
Підсистема реєстрації та обліку
2.1.
Реєстрація та облік:
входу/виходу
суб'єктів доступу до/з системи (вузла мережі)
+
+
+
+
+
+
+
+
+
Підсистеми
захисту та вимоги до них
Класи
захищеності
ЗБ
ЗА
2Б
2А
1Д
1Г
1В
1Б
1А
видачі
друкованих (графічних) вихідних документів
+
+
+
+
+
+
запуску/завершення
програм і процесів (завдань, завдань)
+
+
+
+
+
доступу
програм суб'єктів до захищається файлів, включаючи їх створення і видалення,
передачу по лініях та каналах зв'язку
+ +
+ +
+ +
+ +
+ +
доступу
програм суб'єктів, доступу до терміналів, ЕОМ, вузлів мережі ЕОМ, каналів зв'язку,
зовнішніх пристроїв ЕОМ, програмам, каталогів, файлів, записів, полям
записів
+
+
+
+
+
зміни
повноважень суб'єктів доступу
+
+
+
створюваних
захищаються об'єктів доступу
+
+
+
+
2.2.
Облік носіїв інформації
+
+
+
+
+
+
+
+
+
2.3.
Очищення (обнулення, знеособлення) звільняються областей, оперативної пам'яті
ЕОМ і зовнішніх накопичувачів
+
+
+
+
+
+
2.4.
Сигналізація спроб порушення захисту
+
+
+
3.
Криптографічний підсистема
3.1.
Шифрування конфіденційної інформації
+
+
+
3.2.
Шифрування інформації, що належить різним суб'єктам доступу (групам
суб'єктів) на різних ключах
+
3.3.
Використання атестованих (сертифікованих) криптографічних засобів
+
+
+
4.
Підсистема забезпечення цілісності
4.1.
Забезпечення цілісності програмних засобів та оброблюваної інформації
+
+
+
+
+
+
+
+
+
4.2.
Фізична охорона засобів обчислювальної техніки та носіїв інформації
+
+
+
+
+
+
+
+
+
4.3.
Наявність адміністратора (служби) захисту інформації в АС
+
+
+
+
4.4.
Періодичне тестування СЗІ НСД
+
+
+
+
+
+
+
+
+
4.5.
Наявність засобів відновлення СЗІ НСД
+
+
+
+
+
+
+
+
+
4.6.
Використання сертифікованих засобів захисту
+
+
+
+
+
Примітки:
"+" - Вимога до даного класу присутній, в інших випадках
дана вимога є обов'язковою.
Розглянуті вище документи ГТК
необхідно сприймати як першу стадію формування вітчизняних стандартів
в області інформаційної безпеки. На розробку цих документів найбільшу
вплив зробив критерій TCSEC ( "Помаранчева книга"), який буде розглянутий
нижче, однак цей вплив в основному відображається в орієнтованості цих
документів на захищені системи силових структур і у використанні єдиної
універсальної шкали оцінки ступеня захищеності.
До недоліків керівних документів ГТК
відносяться: орієнтація на протидію НСД і відсутність вимог до
адекватності реалізації політики безпеки. Поняття "політика
безпеки "трактується виключно як підтримання режиму секретності
і відсутність НСД. Через це засоби захисту орієнтуються тільки на
протидія зовнішнім загрозам, а до структури самої системи та її
функціонуванню не пред'являється чітких вимог. Ранжування вимог по
класами захищеності в порівнянні з іншими стандартами інформаційної
безпеки максимально спрощено й зведено до визначення наявності або
відсутності заданого набору механізмів захисту, що істотно знижує гнучкість
вимог і можливість їх практичного застосування.
1.2. Критерії оцінки
безпеки комп'ютерних систем Міністерства оборони США ( "Помаранчева
книга ")
"Критерії оцінки безпеки
комп'ютерних систем "(Trusted Computer System Evaluation Criteria-TCSEC),
отримали неформальне, але міцно закріпилася назва "Помаранчева
книга ", були розроблені і опубліковані Міністерством оборони США в 1983
р. з метою визначення вимог безпеки, що пред'являються до апаратного,
програмному та спеціальному програмному та інформаційному забезпеченню
комп'ютерних систем, і вироблення методології та технології аналізу ступеня
підтримки політики безпеки в комп'ютерних системах в основному військового
призначення.
У даному документі були вперше формально
(хоча і не цілком строго) визначені такі поняття, як "політика
безпеки "," коректність "і ін Згідно з" Помаранчевої
книзі "безпечна комп'ютерна система - це система, що підтримує
керування доступом до оброблюваної в ній інформації так, що тільки
відповідним чином авторизовані користувачі або процеси (суб'єкти),
що діють від їхнього імені, мають можливість читати, записувати, створювати та
видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір
функціональних вимог послужили основою для формування всіх з'явилися
згодом стандартів безпеки.
1.2.1. Загальна структура
вимог TCSEC
В "Помаранчевої книзі" запропоновані
три категорії вимог безпеки: політика безпеки, аудит і
коректність, у рамках яких сформульовано шість базових вимог
безпеки. Перші чотири вимоги спрямовані безпосередньо на
забезпечення безпеки інформації, а два останніх на якість засобів
захисту.
Політика безпеки
Вимога 1. Політика безпеки.
Система повинна підтримувати точно визначену політику безпеки.
Можливість доступу суб'єктів до об'єктів повинна визначатися на підставі їх
ідентифікації і набору правил керування доступом. Там, де це необхідно,
повинна використовуватися політика мандатної управління доступом, що дозволяє
ефективно реалізувати розмежування доступу до інформації різного рівня
конфіденційності.
Вимога 2. Мітки. З об'єктами повинні
бути асоційовані мітки безпеки, які використовуються в якості вихідної
інформації для процедур контролю доступу. Для реалізації мандатної управління
доступом система повинна забезпечувати можливість привласнювати кожному об'єкту
мітку або набір атрибутів, що визначають ступінь конфіденційності (гриф
секретності) об'єкта та режими доступу до цього об'єкта.
Підзвітність
Вимога 3. Ідентифікація та
аутентифікація. Усі суб'єкти повинні мати унікальний ідентифікатор. Контроль
доступу повинен здійснюватися на підставі результатів ідентифікації суб'єкта і
об'єкта доступу, підтвердження автентичності їх ідентифікаторів (автентифікації)
і правил розмежування доступу. Дані, які використовуються для ідентифікації та
аутентифікації, повинні бути захищені від несанкціонованого доступу,
модифікації і знищення і повинні бути асоційовані з усіма активними
компонентами комп'ютерної системи, функціонування яких критично з точки
зору безпеки.
Вимога 4. Реєстрація та облік. Для
визначення ступеня відповідальності користувачів за дії в системі, всі
що відбуваються в ній події, що мають значення з точки зору безпеки,
повинні відслідковуватися і реєструватися в захищеному протоколі (тобто повинен
існувати об'єкт комп'ютерної системи, потоки від якого і до якого
доступні тільки суб'єкту адміністрування). Система реєстрації повинна
здійснювати аналіз загального потоку подій і виділяти з нього тільки ті події,
які впливають на безпеку для скорочення обсягу протоколу та
підвищення ефективності його аналізу. Протокол подій повинен бути надійно
захищений від несанкціонованого доступу, модифікації і знищення.
Гарантії (коректність)
Вимога 5. Контроль коректності
функціонування засобів захисту. Засоби захисту повинні містити незалежні
апаратні та/або програмні компоненти, що забезпечують працездатність
функцій захисту. Це означає, що всі засоби захисту, що забезпечують політику
безпеки, управління атрибутами та мітками безпеки, ідентифікацію та
аутентифікацію, реєстрацію та облік, повинні знаходитися під контролем засобів,
перевіряючих коректність їх функціонування. Основний принцип контролю
коректності полягає в тому, що засоби контролю повинні бути повністю
незалежні від засобів захисту.
Вимога 6. Безперервність захисту. Всі
засоби захисту (в тому числі і реалізують дана вимога) повинні бути
захищені від несанкціонованого втручання та/або відключення, причому ця
захист повинен бути постійним і безперервного в будь-якому режимі функціонування
системи захисту та комп'ютерної системи в цілому. Ця вимога
поширюється на весь життєвий цикл комп'ютерної системи. Крім того, його
виконання є однією з ключових аксіом, що використовуються для формального
доказу безпеки системи.
1.2.2. Класи
захищеності комп'ютерних систем по TCSEC
"Помаранчева книга"
передбачає чотири групи критеріїв, які відповідають різної
ступенем захищеності: від мінімальної (група D) до формально доведеною (група
А). Кожна група включає один або декілька класів. Групи D і А містять по
одного класу (класи D і А відповідно), група С - класи С1, С2, а група
У три класи - В1, В2, ВЗ, що характеризуються різними наборами вимог
захищеності. Рівень захищеності зростає від групи D до групи А, а всередині
групи - з збільшенням номери класу. Посилення вимог здійснюється з
поступовим зміщенням акцентів від положень, що визначають наявність в системі
якихось певних механізмів захисту, до положень забезпечують високий
рівень гарантій того, що система функціонує у відповідності вимогам
політики безпеки (табл. 3). Наприклад, по реалізованих механізмів захисту
класи ВЗ і А1 ідентичні.
Таблиця 3
Базові
вимоги "Помаранчевої книги"
Класи
захищеності
С1
С2
В1
В2
ВЗ
А1
Політика
безпеки
1.
дискреційна
політика безпеки
+
+
+
=
=
=
2.
Мандатна
політика безпеки
-
-
+
+
=
=
3.
Мітки
секретності
-
-
+
+
=
=
4.
Цілісність
міток
-
-
+
=
=
=
5.
Робочі
мітки
-
-
-
+
=
=
6.
Повторення
міток
-
-
+
=
=
=
7.
Звільнення
ресурсів при повторному використанні об'єктів
-
+
=
+
=
=
8.
Ізолювання
модулів
-
+
=
=
=
=
9.
Позначка
пристроїв введення/виводу
-
-
+
=
=
=
10.
Позначка
читаного виводу
-
-
+
=
=
=
Підзвітність
11.
Ідентифікація
і аутентифікація
+
+
=
=
=
=
12.
Аудит
-
+
+
+
+
=
13.
Захищений
канал (довірений шлях)
-
-
-
+
=
=
Гарантії
14.
Проектна
специфікація та верифікація
-
-
+
+
+
+
15.
Системна
архітектура
+
=
=
+
+
=
16.
Цілісність
системи
+
=
=
=
=
=
17.
Тестування
системи безпеки
+
+
+
+
+
=
18.
Довірена
відновлення після збоїв
-
-
-
-
+
=
19.
Управління
конфігурацією системи
-
-
-
+
+
+
20.
Довірена
дооснащення системи
-
-
-
+
+
=
21.
Довірена
поширення
-
-
-
-
+
=
22.
Аналіз
прихованих каналів
-
-
-
+
+
+
Документація
23
Керівництво
користувача
+
=
=
=
=
=
24
Керівництво
по конфігурації системи захисту
+
+
+
+
+
=
25
Документація
з тестування
+
=
=
=
=
+
26
Проектна
документація
+
=
+
+
=
+
Примітки.
"-" - Немає вимог до даного класу; "+" - нові або
додаткові вимоги; "=" - вимоги збігаються з
вимогами до СВТ попереднього класу
Розглянемо основні вимоги класів
захищеності із зазначених вище чотирьох категоріях:
• політика безпеки;
• підзвітність;
• гарантії;
• документація.
Центральним об'єктом дослідження і
оцінки за TCSEC є довірча база обчислень (ТСВ).
Група D. Мінімальна захист
Клас D. Мінімальна захист. Клас D
зарезервований для тих систем, які були представлені на сертифікацію
(оцінку), але з якої-небудь причини її не пройшли.
Група С. дискреційна захист
Група С характеризується наявністю
дискреційною управління доступом і аудитом дій суб'єктів.
Клас С1. Системи на основі
дискреційною розмежування доступу. ТСВ систем, що відповідають цьому класу
захисту, задовольняє певним мінімальним вимогам безпечного розділення
користувачів і даних. Вона визначає деякі форми розмежування доступу на
індивідуальній основі, тобто користувач повинен мати можливість захистити свою
інформацію від її випадкового читання або знищення. Користувачі можуть
обробляти дані як окремо, так і від імені групи користувачів.
Політика безпеки. ТСВ має
визначати і керувати доступом між пойменованим об'єктами та суб'єктами
(користувачами або їх групами) у комп'ютерній системі (наприклад, за допомогою
матриці доступу). Механізм захисту повинен дозволяти користувачам визначати і
контролювати розподіл доступу до об'єктів по пойменованим користувачам,
їх групам або з тим і іншим.
Підзвітність. Користувачі повинні
ідентифікувати себе перед ТСВ у разі виконання ними будь-яких дій, нею
контрольованих, при цьому повинен бути використаний хоча б один з механізмів
аутентифікації (наприклад, пароль). Дані аутентифікації повинні бути захищені
від доступу неавторизованого користувача.
Гарантії. ТСВ забезпечує її власну
роботу і захист від поза
