Основы построения и эксплуатации защищенных телекоммуникационных систем

 

Табл. 3. Распределение показателей защищенности по классам СВТ

 

В таблице использованы следующие  обозначения:

• "-" – нет требований к данному классу;
• "+" – новые или дополнительные требования,
• "=" – требования совпадают с требованиями к СВТ предыдущего класса.

 

Руководящие документы устанавливают 9 классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на 3 группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий пользователей АС на доступ к конфиденциальной информации;
• режим обработки данных в АС: коллективный или индивидуальный.

При этом третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и/или хранимой в АС на носителях различного уровня конфиденциальности. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация различных уровней конфиденциальности; не все пользователи имеют равные права доступа.

В табл. 4 приведены требования к  подсистемам защиты для каждого  класса.

 

Подсистемы  и требования	Классы
	3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
1. Подсистема  управления доступом
1.1. Идентификация,  проверка подлинности и контроль доступа субъектов:
- в систему	+	+	+	+	+	+	+	+	+
- к терминалам, ЭВМ, узлам сети ЭВМ, каналам  связи, внешним устройствам ЭВМ				+		+	+	+	+
- к программам				+		+	+	+	+
- к томам,  каталогам, файлам, записям, полям  записей				+		+	+	+	+
1.2. Управление  потоками информации				+			+	+	+
2. Подсистема  регистрации и учета
2.1. Регистрация  и учет:
- входа (выхода) субъектов доступа в (из) систему  (узел сети)	+	+	+	+	+	+	+	+	+
- выдачи печатных (графических) выходных документов		+		+		+	+	+	+
- запуска (завершения) программ и процессов (заданий, задач)		+		+		+	+	+	+
- доступа программ  субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи		+		+		+	+	+	+
- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей		+		+		+	+	+	+
- изменения  полномочий субъектов доступа							+	+	+
- создаваемых защищаемых объектов доступа				+			+	+	+
2.2. Учет носителей  информации	+	+	+	+	+	+	+	+	+
2.3. Очистка (обнуление,  обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей		+		+		+	+	+	+
2.4. Сигнализация  попыток нарушения защиты							+	+	+
3. Криптографическая  подсистема
3.1. Шифрование  конфиденциальной информации				+				+	+
3.2. Шифрование  информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах									+
3.3. Использование  аттестованных (сертифицированных) криптографических средств				+				+	+
4. Подсистема  обеспечения целостности
4.1. Обеспечение  целостности программных средств  и обрабатываемой информации	+	+	+	+	+	+	+	+	+
4.2. Физическая  охрана средств вычислительной техники и носителей информации	+	+	+	+	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС				+			+	+	+
4.4. Периодическое  тестирование СЗИ НСД	+	+	+	+	+	+	+	+	+
4.5. Наличие средств  восстановления СЗИ НСД	+	+	+	+	+	+	+	+	+
4.6. Использование сертифицированных средств защиты		+		+			+	+	+

 

Табл. 4. Требования к классам защищенности АС

 

В таблице использованы следующие  обозначения: "+" – требование к данному классу присутствует; СЗИ  НСД – система защиты информации от несанкционированного доступа.

В заключение следует отметить, что  несмотря на ряд существенных пробелов и недостатков, РД ГТК на определенном этапе оперативно решили актуальную проблему обеспечения информационной безопасности, оставаясь значимыми вплоть до настоящего времени.

1.6. Обзор  стандарта ИSO/IEC 15408-1-99

 

Стандарт ISO/IEC 15408-1-99 «Общие критерии оценки безопасности информационных технологий» («Общие критерии» или ОК) является качественно новым этапом в развитии нормативной базы оценки безопасности информационных технологий. Стандарт представляет собой методологию исследования свойств безопасности изделия или системы информационных технологий (ИТ), называемых в стандарте объектами оценки.

При этом выделяются три группы пользователей  с общим интересом к этим оценкам: потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки. Общие критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей.

Потребители могут использовать оценку, чтобы решить, выполняет ли оцененное изделие или система требования по безопасности. ОК играют важную роль при задании потребителем функциональных требований к безопасности ИТ. ОК содержат также требования гарантии оценки, поскольку это - одна из главных целей. Потребители могут использовать оценку, чтобы сравнивать различные изделия или системы. ОК дают Потребителям, особенно группам Потребителей с общим интересом, возможность использования предопределенной структуры требований, названной профилем защиты, чтобы выразить их специальные требования к объекту оценки для обеспечения безопасности ИТ.

ОК помогают Разработчикам при  подготовке к оценке и оценке их изделий или систем. разработчики могут идентифицировать те требования, которые будут удовлетворены  их изделием или системой, стремясь к тому, чтобы объект оценки (ОО) соответствовал функциональным требованиям безопасности и требованиям гарантии оценки. Эти требования содержатся в зависимо выполняемой структуре, названной заданием по безопасности. Разработчики могут использовать ОК, чтобы определить свои обязанности и действия при оценке объекта. ОК описывают действия, которые Разработчик должен выполнить, и определяют содержание результатов оценки.

ОК содержат критерии, которые нужно  использовать Оценщикам при формировании заключений относительно соответствия объектов оценки требованиям безопасности. ОК описывают набор общих действий, которые Оценщик должен выполнить, но не определяют процедуры, которые нужно использовать при выполнении этих действий. Документ с методиками оценки должен дополнить ОК в этой области.

ОК могут быть полезны в качестве рекомендаций и для других групп  пользователей, интересующихся или  отвечающих за безопасность ИТ, например: служащим охраны, отвечающим за организационные вопросы безопасности ИТ; внутренним и внешним ревизорам, отвечающим за адекватность оценки мер безопасности системы; идеологам безопасности и проектировщикам, отвечающим за спецификацию мер безопасности системы или изделия.

ОК представлены как совокупность относительно самостоятельных, но взаимосвязанных частей.

Часть 1 стандарта включает методологию  оценки безопасности ИТ, определяет виды требований безопасности (функциональные и доверия), основные конструкции (профиль  защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).

Часть 2 стандарта включает универсальный  систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 стандарта включает систематизированный  каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. В этой же части содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости провести оценку проектной, тестовой и эксплуатационной документации, правильности функционирования комплекса средств безопасности, оценку уязвимостей продукта или системы ИТ, стойкости механизмов защиты и сделать заключение об уровне безопасности объекта оценки.

 

В соответствии с концепцией ОК требования безопасности объекта оценки подразделяются на две категории: функциональные требования и требования гарантированности.

В функциональных требованиях ОК описаны  те функции объекта оценки, которые  обеспечивают безопасность ИТ. Например, функциональные требования включают требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования (аудита) и др.

Требования гарантированности  отражают качества объекта оценки, дающие основание для уверенности  в том, что требуемые меры безопасности объекта реализованы правильно и эффективны. Гарантированность получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки и требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.

В ОК функциональные требования и  требования гарантированности представлены в одном и том же общем стиле  и используют одну и ту же организацию  и терминологию.

Термин класс используется для наиболее общей группировки требований безопасности. Все члены класса разделяют общее намерение при отличии в охвате целей безопасности.

Члены класса названы семействами. Семейство – это группировка наборов требований безопасности, которые обеспечивают выполнение определенной части целей безопасности, но могут отличаться в акценте или жесткости.

Члены семейства названы компонентами. Компонент описывает определенный набор требований безопасности – наименьший выбираемый набор требований безопасности для включения в структуры, определенные в ОК.

Компоненты построены из элементов. Элемент – самый нижний и неделимый уровень требований безопасности, на котором производится оценка их удовлетворения.

Организация требований безопасности в ОК по иерархии класс – семейство – компонент – элемент помогает потребителю правильно определить компоненты, как только будут идентифицированы угрозы безопасности объекта оценки.

Компоненты в семействе могут  находиться в иерархической связи, когда необходимо наращивание требований для выполнения одной из целей безопасности, или нет, когда имеет место качественно новое требование.

Между компонентами могут существовать зависимости. Зависимости возникают, когда компонент сам недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать между функциональными компонентами, компонентами гарантированности и между теми и другими. Чтобы гарантировать законченность требований к объекту оценки, зависимости должны быть учтены при включении компонентов в Профиль защиты и Задание по Безопасности. Компоненты могут быть преобразованы с помощью разрешенных действий, чтобы обеспечить выполнение определенной политики безопасности или противостоять определенной угрозе. Не все действия допустимы на всех компонентах. Каждый компонент идентифицирует и определяет разрешенные действия или обстоятельства, при которых действие может применяться к компоненту, и результаты применения действия. К разрешенным действиям относятся: назначение, выбор и обработка.

Назначение разрешает заполнить  спецификацию идентифицированного  параметра при использовании  компонента. Параметр может быть признаком  или правилом, которое конкретизирует требование к определенной величине или диапазону величин. Например, элемент функционального компонента может заявлять, что данное действие должно быть выполнено неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.

Выбор – это действие выбора одного или большего количества пунктов из списка, чтобы конкретизировать возможности элемента.

Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.

ОК определяют также набор структур, которые объединяют компоненты требований безопасности.

Промежуточная комбинация компонентов  названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение поднабора целей безопасности. Пакет предназначен для многократного использования и определяет требования, которые являются необходимыми для достижения идентифицированных целей. Пакет может использоваться для формирования Профилей Защиты (ПЗ) и Заданий по Безопасности (ЗБ).

Уровни гарантии оценки – это предопределенные пакеты требований гарантии. Уровень гарантированности – это набор базовых требований гарантии для оценки. Каждый из уровней содержит полный набор требований гарантии и определяет масштаб гарантии в ОК.

Профиль Защиты содержит набор функциональных требований и компонентов требований гарантированности, включенных в соответствующий уровень гарантии оценки. Профиль защиты предназначен для многократного использования и определяет совокупность требований безопасности к объекту оценки, которые являются необходимыми и эффективными для достижения поставленных целей.

Задание по Безопасности содержит набор  требований безопасности, которые могут  быть представлены ссылкой на Профиль  Защиты, непосредственно на требования ОК или сформулированы в явном виде. Задание по Безопасности выражает требования безопасности для конкретного объекта оценки. Задание по Безопасности включает также спецификацию объекта оценки в виде функций безопасности, которые должны обеспечить выполнение требований безопасности, и мер гарантии, которые необходимы, чтобы удовлетворить заданные требования гарантированности. Каждая функция безопасности должна обеспечивать выполнение по крайней мере одного требования безопасности. Функции безопасности должны быть определены на уровне детализации, необходимом для понимания назначения и поведения функции. Все ссылки на механизмы безопасности и методы, включенные в ЗБ, должны наглядно показывать, какие механизмы или методы используются при выполнении данной функции. Меры гарантии должны соответствовать требованиям гарантированности таким образом, чтобы было видно, какие меры удовлетворяют какие требования. Соответствующее определение мер гарантированности может быть сделано применительно к планам обеспечения качества, этапам жизненного цикла или планам управления.