КРИТЕРИИ И КЛАССЫ ЗАЩИЩЕННОСТИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ И АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

Конкретизация механизмов, алгоритмов и методов, используемых для защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС), связана с базовыми понятиями и положениями существующих стандартов по оценке безопасности информационных технологий. При рассмотрении этих вопросов в настоящей главе основное внимание уделяется базовым критериям оценки защищенности АС и СВТ в соответствии с ГОСТ и РД и примерам их практической реализации.

Стандарты по оценке защищенных систем

Стандарт — документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг (ФЗ № 184 «О техническом регулировании» от 27.12.2002).

В настоящее время в области информационной безопасности применяется большое количество стандартов и спецификаций (международных, национальных, отраслевых и т. п.), которые регламентируют основные понятия и концепции информационной безопасности и определяют понятие «защищенная система» посредством стандартизации требований и критериев безопасности. Они образуют шкалу оценки степени защищенности СВТ и АС.

Таким образом, защищенная система - это система, отвечающая тому или иному стандарту информационной безопасности.

Рассмотрим наиболее значимые зарубежные и отечественные стандарты в области информационной безопасности компьютерных систем.

Критерии безопасности компьютерных систем

«Критерии безопасности компьютерных систем» (ТСSECTrusted Computer System Evaluation Criteria) [5. Гала- тепко] разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем, и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.

Согласно данному стандарту безопасная компьютерная система - это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.

В данном стандарте предложены три категории требований безопасности - политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности к политике безопасности, меткам безопасности, идентификации и аутентификации, регистрации и учету, контролю корректности функционирования средств защиты, непрерывности защиты (рис. 2.1).

Требования к безопасности компьютерных систем согласно «Критериям безопасности компьютерных систем»

Рис. 2.1. Требования к безопасности компьютерных систем согласно «Критериям безопасности компьютерных систем»

Общая структура требований TCSEC

В «Оранжевой книге» предложены три категории требований безопасности: политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних — на качество средств защиты. Рассмотрим эти требования подробнее.

Политика безопасности

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, позволяющая эффективно реализовать разграничение доступа к информации различного уровня конфиденциальности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и режимы доступа к этому объекту.

Подотчетность

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

Гарантии (корректность)

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.

Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности (рис. 2.2).

Класс D — минимальная защита. Этот класс зарезервирован для отнесения систем, не удовлетворяющих ни одному из других классов защиты.

Классы безопасности компьютерных систем согласно «Критериям безопасности компьютерных систем»

Рис. 2.2. Классы безопасности компьютерных систем согласно «Критериям безопасности компьютерных систем»

Класс С1 - защита, основанная на разграничении доступа (DAC). Обеспечивается разграничение пользователей и данных.

Класс С2 - защита, основанная на управляемом контроле доступа. Наличие усовершенствованных средств управления доступом и распространения прав, аудита событий, имеющих отношение к безопасности системы и разделению ресурсов. Общие ресурсы должны очищаться перед повторным использованием другими процессами.

Класс В1 — мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем вычислительной базы защиты (ядра защиты). Необходима реализация механизма присваивания меток экспортируемым данным.

Класс В2 - структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. Анализ побочных каналов утечки информации. Специальные процедуры изменения конфигурации. Возможность тестирования и полного анализа вычислительной базы защиты. Разбиение ее структуры на критические с точки зрения защиты и некритические элементы.

Класс ВЗ - домены безопасности. Реализации концепции монитора обращений, который гарантированно защищен от доступа, модификации и подделки, обрабатывает все обращения, прост для анализа и тестирования (предоставляется полная система тестов, полнота которой доказана).

Класс А1 - верифицированный проект. Проект вычислительной базы защиты должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.

Класс защиты системы определяется на основе анализа режима ее функционирования. В данном стандарте определено пять типовых режимов:

  • 1. Режим, в котором система постоянно обрабатывает ценную информацию одного класса в окружении, которое обеспечивает безопасность для работы с этим классом.
  • 2. Режим особой секретности самой системы. Все пользователи и элементы системы имеют один класс и могут получить доступ к любой информации.
  • 3. Многоуровневый режим. Обработка информации разных классов, не все пользователи имеют доступ ко всем классам информации.
  • 4. Контролирующий режим. Многоуровневый режим, в котором защищенность вычислительной базы защиты полностью не гарантируется.

5. Режим изолированной безопасности. Изолированная обработка информации различных классов. Например, защищаться может лишь один класс информации, а остальные нет.

Основой для выбора класса является индекс риска: разность между максимальным классом (грифом) информации и минимальным классом пользователей. Значения индекса риска образуют шкалу оценки степени защищенности компьютерных систем. Чем выше разность, тем больший класс защиты требуется (табл. 2.1).

Таблица 2.1

Соответствие между индексом риска и классом _защищенности АС_

Индекс риска

Режим функционирования

Минимальный класс защищенности

0

1

любой уровень

0

2

В1

1

3, 4,5

В2

2

3, 4,5

ВЗ

3

3,4

А1

4

3

А1

5

3

невозможно

6

3

невозможно

7

3

невозможно

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >