Садердинов А.А. Информационная безопасность предприятия
Подождите немного. Документ загружается.
■ описание контролируемых функций;
■ руководство по генерации КСЗ;
■ описание старта СВТ и процедур проверки правильнос ти
старта.
Тестовая документация
Должно быть предоставлено описание тестов и испыта ний,
которым подвергалось СВТ и результатов тестирова ния.
Конс трукторская (прое ктная) документация
Должна содержать общее описание принципов работы СВТ,
схему КСЗ, описание интерфейсов КСЗ с пользователем и интер-
фейсов частей КСЗ между собой, описание механиз мов идентифи-
кации и аутентификации.
Тре бования к показателям пятого класса защищенности Дис-
креционный принцип контроля доступа
Данные требования совпадаю т с аналогичными требованиями
шестого класса.
Дополнительно должны быть предусмотрены средства уп-
равления, ограничивающие расширение прав на доступ.
Очистка памяти
При первоначальном назначении или при перераспределе нии
внешней памяти КСЗ должен предо твраща ть доступ субъекта к
остаточной информации.
Идентификация и аутентификация
Данные требования полностью совпадают с аналогичными
требованиями шестого класса.
Гарантии проектирования
На начальном этапе проектирования СВТ должна быть по-
строена модель защиты. Модель должна включать в себя ПРД к
объектам и непротиворечивые правила изменения ПРД.
Регистрация
КСЗ должен быть в состоянии осуществлять регистрацию сле-
дующих событий:
■ использование идентификационно го и аутентификаци-
онного механизма;
■ запрос на доступ к защищаемому ресурсу (открытие файла,
запуск программы и т. д.);
■ создание и уничтожение объекта;
■ действия по изменению ПРД.
Для каждого из этих событий должна регистрироваться сле-
дующая информация:
■ дата и время;
■ субъект, осуществляющий регистрируемое действие;
■ тип события (если регистрируется запрос на доступ, то сле-
дует отметить на какой именно объект и тип доступа);
■ успешно ли осуществилось событие (обслужен запрос на
доступ или нет).
КСЗ до лжен со держать средства выборочного ознакомления с
регистрационной информацией.
Целостнос ть комплекса средств защиты
В СВТ пятого класса защищенности должны быть предус-
мотрены средства перио дического контроля за целостностью про-
граммной и информационной части КСЗ.
Тестирование
В СВТ пятого класса защищенности должны тестироваться :
■ реализация ПРД (перехват явных и скрыты х запросов на дос-
туп, правильное распознавание санкционированных и несанк-
ционированны х запросов средства защиты меха низма разграни-
чения доступа, санкционированные изменения ПРД);
■ успешное осуществление идентификации и аутентифи кации,
а также их средства защиты;
■ очистка памяти;
■ регистрация событий, средства защиты регистрированной
информации, возможность санкционированного озна комления с
ней;
■ работа механизма, осуществляющего контроль за цело-
стностью КСЗ
Руководство пользователя
Данное требование совпадает с аналогичным требованием
шестого класса.
Руководство по комплексу средств защиты
Данный документ адресован администратору защиты и до л-
жен содержать:
■ описание контролируемых функций;
■ руководство по генерации КСЗ;
■ описание стар та СВТ, процедур проверки правильности
старта, процедур работы со средствами регистрации.
Тестовая д окументация
Должно быть предоставлено описание тестов и испытаний,
которым подвергалось СВТ, и результатов тестирования.
Конс трукторс кая и прое ктная докуме нтация
Должна содержать:
■ описание принципов работы СВТ,
■ общую схему КСЗ;
■ описание интерфейсов КСЗ с пользователем и интер фейсов
модулей КСЗ;
■ модель защиты;
■ описание механизмов контроля целостности КСЗ, очи стки
памяти, идентификации и аутентнфюящяи.
Тре бования к показателям защищенности четве ртого класса
Дискреционный принцип контроля доступа
Данные требования совпадаю т с аналогичными требованиями
пятого класса.
Дополнительно КСЗ до лжен содержа ть механизм, претворя-
ющий в жизнь дискреционные ПРД как для явных действий по ль-
зователя, так и для скрытых, обеспечивая тем самым защиту объ-
ектов от НСД (т. е. о т доступа, не допустимого с точки зре ния за-
данного ПРД). Под «явными» здесь подразумеваются действия,
осуществляемые с использованием системных средств — систем-
ных макрокоманд, инструкций языков высокого уровня и т. д., а
под «скры тыми» — иные действия, в том числе с исполь зованием
собственных программ работы с устройствами.
Дискреционные ПРД для систем данного класса являются до-
полнением мандатных ПРД.
Мандатный принцип контроля доступа
Для реализации этого принципа должны сопоставляться клас-
сификационные метки каждого субъекта и каждого объекта, отра-
жающие их место в соо тветствующей иерар хии. Посредством этих
меток субъектам и объектам должны назначаться классификацион-
ные уровни (уровни уязвимости, категории се кретности и т. п.),
являющиеся комбинациями иерархических и неиерархических ка-
тегорий. Данные метки должны служить основой мандатного
принципа разграничения доступа.
КСЗ при вводе новых данных в сис тему до лжен запрашивать и
получать от санкционированного по льзователя классифика-
ционные метки этих данных. При санкционированном занесе нии в
список пользователей нового субъекта до лжна проверять ся соот-
ветствующая ему классификационная метка. Внешние классифи-
кационные метки (субъектов, объектов) должны точ но соответс т-
вовать внутренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля до с-
тупа применительно ко всем объектам при явном и скрытом дос-
тупе со стороны любого из субъектов:
■ субъект может читать объект, то лько если иерар хическая
классификация в классификационном уровне субъекта не
меньше, чем иерархическая классификация в классификации-
онном уровне объекта, и неиерархические категории в клас-
сификационном уровне субъекта включают в себя все иерар-
хические категории в классификационном уровне объекта;
■ субъект осуществляет запись в объект, только если клас -
сификационный уровень субъекта в иерархич еской класси-
фикации не больше, чем классификационный уровень объекта
в иерар хической классификации, и все иерархические катего-
рии в классифика ционном уровне субъекта включа ются в ие-
рархические категории в классификационном уровне объекта.
Реализация мандатных ПРД до лжна предусматривать воз-
можности сопровождения: изменения классификационных уровней
субъектов и объектов специально выделенными субъектами.
В СВТ должен быть реализован диспетчер доступа, т. е. сред-
ство, осуществляющее перехват всех обращений субъектов к об ъ-
ектам, а также разграничение доступа в соответс твии с за данным
принципом разграничения доступа. При этом решение о санкцио-
нированное™ запроса на доступ до лжно приниматься только при
одновременном разрешении его и дискреционными и мандатными
ПРД. Таким образом, должен контролироваться не только единич-
ный акт доступа, но и потоки информации.
Очистка памяти
При первоначальном назначении или при перераспределе нии
внешней памяти КСЗ до лжен затруднять субъекту доступ к оста-
точной информации. При перераспределении оператив ной памяти
КСЗ должен осуществлять ее очистку.
Изоляция модулей
При наличии в СВТ мультипрограммирования в КСЗ дол жен
существовать программно-технический механизм, изоли рующий
программные модули одного процесса (одного субъекта) от про-
граммных модулей других процессов (других субъектов), т. е. в
оперативной памяти ЭВМ программы разных пользователей до лж-
ны быть защищены друг от друга.
Маркировка документов
При выводе защищаемой информации на документ в нача ле и
конце проставляют штамп № 1 и заполняют его реквизи ты в соот-
ветствии с Инструкцией № 0126-87 (п. 577).
Защита ввода и вывода на отчужд аемый физический носитель
информации
КСЗ должен различать каждое устройство ввода-вывода и каж-
дый канал связи произвольно используемые или иденти-
фицированные («помеченные»). При вводе с «помеченного» уст-
ройства (вывода на «помеченное» устройство) КСЗ должен обесп е-
чивать соответствие между меткой вво димого (выводи мого) объек-
та (классификационным уровнем) и меткой устройства. Такое же
соответствие до лжно обеспечиваться при работе с «помеченным»
каналом связи.
Изменение в назначении и разметке устройств и каналов
должны осуществляться только под контролем КСЗ.
Сопоставление пользователя с устройством
КСЗ до лжен обеспечивать выво д информации как на за -
прошенное пользователем произвольное устройство, так и иденти-
фицированное (при совпадении маркиро вки).
Идентифицированный КСЗ до лжен включать в себя меха низм,
посредством которого санкционированный пользователь надежно
сопоставляется с выделенным устройством.
Идентификация и аутентификация
КСЗ должен требовать от пользователей идентифициро вать се-
бя при запросах на доступ, должен проверять подлин ность иденти-
фикатора субъекта — осуществлять аутентифи кацию. КСЗ до лжен
располагать необхо димыми данными для идентификации и аутен-
тификации и препятствовать вхо ду в СВТ не идентифицированно-
го пользователя или пользо вателя, чья подлинность при аутенти-
фикации не подтверди лась.
КСЗ должен обладать способностью надежно связывать полу-
ченную идентификацию со всеми действиями данного по льзовате-
ля.
Гарантии проектирования
Проектирование КСЗ до лжно начинаться с построения модели
защиты , содержащей:
■ непротиворечивые ПРД;
■ непротиворечивые правила изменения ПРД;
■ правила работы с устройствами ввода и вывода инфор мации,
с каналами связи.
Регистрация
Данные требования включают аналогичные требования пятого
класса защищенности. Дополнительно должна быть предусмотрена
регистрация всех попыток доступа, всех действий оператора и вы-
деленных пользовате лей (администраторов защиты и т. п.).
Целостнос ть комплекс а средств защиты
Программы КСЗ должны занимать в отдельную часть опе -
ративной памяти.
Тестирование
В че твертом классе защищенности должны тестироваться:
■ реализация ПРД (перехват запросов на доступ, правиль ное
распознавание санкционированных и несанкционированных за-
просов в соответствии с дискреционными и мандатными прави-
лами, верное сопоставление меток субъектов и объектов, запрос
меток вновь вводимой информации, средства защиты механиз-
ма разграничения доступа, санкционированное изменение
ПРД);
■ невозможность присвоения субъектом себе новых прав;
■ очистка оперативной и внешней памяти;
■ работа механизма изоляции процессов в оперативной пам я-
ти;
■ маркировка документов;
■ защита ввода и выво да информации на отчуждаемый физи-
ческий носитель и сопоставление пользователя с устройством;
■ идентификация и аутентификация, а также их средства защи-
ты;
■ запрет на дос туп несанкционированного пользователя;
■ работа механизма, осуществляющего контроль за це ло-
стностью СВТ;
■ регистрация событий, средства защиты регистрируемой ин-
формации и возможность санкционированного ознакомления с
этой информацией.
Руководство д ля пользователя
Данное требование совпадает с аналогичным требованием
шестого и пятого классов.
Руководство по комплексу средств защиты
Данные требования полностью совпадают с аналогичными
требованиями пятого класса.
Тестовая д окументация
Должно быть представлено описание тестов и испытаний, ко-
торым подвергалось СВТ, а также и результатов тестирования.
Конс трукторская (прое ктная) документация
Должна содержать описание:
■ общих принципов работы СВТ;
■ общей схемы КСЗ;
■ внешних интерфейсов КСЗ и интерфейсов модулей КСЗ;
■ моделей защиты;
■ диспетчера доступа;
■ механизма контроля целостности КСЗ;
■ механизма очистки памяти;
■ механизма изоляции программ в оперативной памяти;
■ средств защиты ввода и вывода на отчуждаемый физический
носитель информации и сопоставления пользователя с устро й-
ством;
■ механизма идентификации и аутентификации;
■ средств регистрации.
Тре бования к показателям третьего класса защищеннос ти
Дискреционный принцип контроля д оступа
Данные требования полностью совпадают с требованиями пято-
го и четвертого классов.
Мандатный принцип контроля доступа
Данные требования полностью совпадают с аналогичным тр е-
бованием четвертого класса.
Очистка памяти
Для СВ Т третьего класса защищенности КСЗ до лжен осуще-
ствлять очистку оперативной и внешней памяти. Очистка до лж на
производиться путем записи маскирующей информации в память
при освобождении последней (перераспределении).
Изоляция модулей
Данные требования полностью совладают с аналогичным тре-
бованием четвертого класса.
Маркировка документов
Данные требования полностью совпадают с аналогичным тр е-
бованием четвертого класса.
Защита ввода и вывода на отчужд аемый физический носитель
информации
Данные требования полностью совпадают с аналогичным тре-
бованием четвертого класса.
Сопоставление пользователя с устройством
Данные требования полностью совпадают с аналогичным тр е-
бованием четвертого класса.
Идентификация и аутентификация
Данные требования полностью совпадают с аналогичным тре-
бованием четвертого класса.
Гарантии проектирования
На начальном этапе проектирования КСЗ должна строить ся
модель защиты, задаю щая принцип разграничения доступа и меха-
низм управления доступом. Эта модель должна содер жать:
■ непротиворечивые правила изменения ПРД;
■ правила работы с устройствами ввода и вывода;
■ формальную модель механизма управления доступом.
Должна предла гаться высокоуровневая спецификация части
КСЗ, реализующего механизм управления доступом и его ин -
терфейсов. Эта спецификация должна быть верифицирована на
соответствие заданным принципам разграничения доступа.
Регистрация
Данные требования полностью совпадают с аналогичным тр е-
бованием четвертого класса.
Взаимодействие пользователя с комплексом средств защиты
Для обеспечения возможностей лучшего изучения, анализа, ве-
рификации и модификации КСЗ должен быть хорошо струк-
турирован, его конструкция до лжна быть модульной и ло гич ной
при этом. Интерфейс пользователя и КСЗ также должен быть опре-
делен (вход в систему, запросы пользователей и КСЗ и т. п.).
Должна быть обеспечена надежность такого интерфейса. Каждый
интерфейс пользователя и КСЗ должен быть логи чески изолирован
от таких же других интерфейсов.
Надежное восстановление
Процедуры восстановления после сбоев и отказов обор удования
должны обеспечивать полное восстановление свойств КСЗ.
Целостнос ть комплекса средств защиты
Необ ходимо осуществлять периодический контроль за це -
лостностью КСЗ.
Программы должны выполняться в о тдельной части опера-
тивной памяти. Это требование должно подвергаться верификации.
Тестирование
СВТ должны подвергаться такому же тестированию, что и СВТ
четвертого класса.
Дополнительно должны тестироваться:
■ очистка памяти;
■ работа механизма надежного восстановления.
Руководство д ля пользователя
Данные требования полностью совпадают с аналогичным тре-
бованием четвертого класса.
Руководство по комплексу средств защиты
Документ адресован администратору защиты и должен со-
держать:
■ описание контролируемых функций;
■ руководство по генерации КСЗ;
■ описание старта СВТ, процедур проверки правильности стар-
та, процедур работы со средс твами регис трации;
■ руководство по средствам надежного восстановления.
Тестовая д окументация
В документации должно быть представлено описание тес тов и
испытаний, ко торым подвергалось СВТ, а также результатов тести-
рования.
Конс трукторская (прое ктная) документация
Требуется такая же документация, что и для СВТ четверто го
класса. Дополнительно необходимы:
■ верификация соответствия высокоуровневой спецификации
КСЗ модели защиты;
■ высокоуровневая спецификация КСЗ и его интерфейсов.
Тре бования к показателям второго класса защище ннос ти
Дискреционный принцип контроля доступа
Данные требования включаю т аналогичные требования
третьего класса.
Дополнительно требуется, чтобы дискреционные правила ра з-
граничения доступа были эквивалентны мандатным правилам (т. е.
всякий запрос на доступ до лжен быть одновременно санкциониро-
ванным или несанкционированным и по дис креционным, и по
мандатным ПРД).
Мандатный принцип контроля доступа.
Данные требования полностью совпадают с аналогичным тре-
бованием третьего класса.
Очистка памяти
Данные требования полностью совпадают с аналогичным тр е-
бованием третьего класса.
Изоляция модулей
При наличии в СВТ мультипрограммирования в КСЗ дол жен
существовать программно-технический механизм, изоли рующий
программные модули одного процесса (одного субъекта) от про-
граммных модулей других процессов (других субъектов), т. е. в
оперативной памяти ЭВМ программы разных пользователей до лж-
ны быть изолированы друг от друга. Гарантии изо ляции должны
быть основаны на ар хитектуре СВТ.
Маркировка документов
Данные требования полностью совладают с аналогичным тр е-
бованием четвертого класса.
Защита ввода и вывода на отчужд аемый физический носитель
информации
Данные требования полностью совпа дают с анало гичным тре-
бованием третьего класса.
Сопоставление пользователя с устройством
Данные требования полностью совпадают с аналогичным тре-
бованием четвертого и третьего классов.