Группа В. Мандатное управление доступом.

Основные требования этой группы - мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.

Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополни­тельные требования.B2

Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы.

Подотчетность. Аудиту подлежат любые изменения меток секрет­ности читаемого вывода.

Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.

Документация должна дополнительно включать:

- Для системного администратора описание функций, относящихся к безопасности ТСВ, а также описание путей и методов наилучшего ис­пользования защитных свойств системы; указание, как безопасно соз­дать новую ТСВ; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля за безопасной работой системы.

- Описание формальной или неформальной политики безопасности, а также то, как она реализована в системе.

Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Ин­терфейс ТСВ должен быть хорошо определен и ее проект и конечный ре­зультат должны быть подвергнуты полной проверке и тестированию. Ме­ханизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.

Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:

- защищен от несанкционированного изменения или порчи;

- обрабатывать все обращения;

- прост для анализа и тестирования.

ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.

Дополнительно должно быть обеспечено:

- поддержка администратора безопасности;

- расширение механизма аудита с целью сигнализации о любых собы­тиях, связанных с безопасностью;

- поддержка процедуры восстановления системы.

Группа А. Верифицированная защита.

Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (дискреционного и мандатного). Требуется, чтобы было формально пока­зано соответствие архитектуры и реализации ТСВ требованиям безопасности.

Класс А1. Формальная верификация. Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополни­тельным свойством систем, отнесенных к классу А1, является проведен­ный анализ ТСВ на соответствие формальным высокоуровневым специ­фикациям и использование технологий проверки с целью получения высо­ких гарантий того, что ТСВ функционирует корректно.

Основные положения Руководящих документов ГТК в области защиты информации. Определение и классификация НСД. Определение и классификация нарушителя. Классы защищенности автоматизированных систем от НСД к информации.

 

С 1992 года Гостехкомиссия при Президенте РФ опубликовала девять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации:

- Руководящий документ «Концепция защиты средств вычислительной техники и АС от НСД к информации» (ГТК России, 1992г.);

- Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (ГТК России, 1992 г.);

- Руководящий документ «Защита от НСД к информации. Термины и определения» (ГТК России, 1992 г.);

- Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» (ГТК России, 1992 г.);

- Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (ГТК России 1994 г.);

- Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (ГТК России, 1997 г.);

- Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (ГТК России, 1997 г.);

- Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (ГТК России, 1999 г.);

- Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (ГТК России, 2001г.).

 

Руководящие документы ГТК предлагают две основные группы требований к безопасности - показатели защищенности СВТ от НСД и критерии защищенности АС обработки данных. СВТ – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Первая группа позволяет оценить степень защищенности отдельно поставляемых потребителю компонентов АС, а вторая рассчитана на более сложные комплексы, включающие несколько единиц СВТ.

Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС.

Основой этих документов является концепция защиты СВТ и АС от НСД к информации, содержащая систему взглядов ГТК на проблему ИБ и основные принципы защиты компьютерных систем. С точки зрения разработчиков данных документов, основная задача средств безопасности - это обеспечение защиты от НСД к информации.

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, используемых для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:

- выработка требований по защите СВТ и АС от НСД к информации;

- создание защищенных СВТ и АС, т.е. защищенных от НСД к информации;

- сертификация защищенных СВТ и АС.

НСД – доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. В данном определении под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

Основные способы НСД:

- непосредственное обращение к объектам доступа (например, через получение программой, управляемой пользователем, доступа на чтение или запись в файл);

- создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты (например, используя люки, оставленные разработчиками системы защиты);

- модификация средств защиты, позволяющая осуществить НСД (например, путем внедрения в систему защиты программных закладок или модулей, выполняющих функции "троянского коня");

- внедрение в СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД (например, путем загрузки на компьютер в обход штатной ОС иной ОС, не имеющей функций защиты).

Нарушитель – субъект, имеющий доступ к работе со штатными средствами АС и СВТ и являющийся специалистом высшей квалификации, знающим все о АС и, в частности, о системе и средствах ее защиты.

Иерархическая классификация нарушителя по уровню возможностей, предоставляемых ему штатными средствами АС и СВТ:

1. возможность ведения диалога в АС: запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации;

2. возможность создания и запуска собственных программ с новыми функциями по обработке информации;

3. возможность управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования;

4. определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

 

Классы защищенности СВТ. В РД устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

- первая группа содержит только один седьмой класс;

- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

 

Классы защищенности АС. В РД устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

- третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

- вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

- первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

- управления доступом;

- регистрации и учета;

- криптографической;

- обеспечения целостности.

 

К недостаткам руководящих документов ГТК относятся: ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие "политика безопасности" трактуется исключительно как поддержание режима секретности и отсутствие НСД. Из-за этого средства защиты ориентируются только на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется четких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения.