Требование 6. Постоянная защита

Механизмы, реализующие указанные базовые требования, должны быть постоянно, в течение всего жизненного цикла КС, защищены от "взламывания" и несанкционированного внесения изменений. Класс за­щищенности системы по Оранжевой книге присваивается в результате проведения процедуры сертификации, при которой на основании пред­ставленных исходных текстов программ и документации на систему оце­ниваются наличие и уровень реализации применяемых механизмов защиты информации.

Согласно Оранжевой книге для оценки защищенности информаци­онных систем рассматриваются четыре группы безопасности, соответст­вующие различным степеням защищенности; от формально доказанной (группа А) до минимальной (группа D). В некоторых случаях группы безо­пасности А, В, С, D делятся на классы безопасности, например Bl, B2, ВЗ. Формулируя требования для каждой из групп и каждого из классов безо­пасности, мы будем использовать аббревиатуру ТСВ (Trausted Computing Base) для обозначения механизмов защиты, обеспечивающих данную по­литику безопасности.

Группа А обеспечивает гарантированный уровень безопасности. При этом реализованные в системе механизмы защиты могут быть проверены формальными методами, что обеспечивает достаточную гарантию необхо­димой эффективности применения ТСВ.

Классы группы В характеризуются реализацией в них мандатного управления доступом. В этой группе выделены классы безопасности В1, В2 и ВЗ.

Класс В1 обеспечивается использованием в КС меток или грифов секретности для всех субъектов и объектов доступа. Механизмы защиты контролируют соответствие этих меток не только при обращении пользо­вателя к КС, но и при экспорте тех или иных данных в каналы связи.

Класс В2 характеризуется структурированной зашитой, для которой требуется наличие хорошо определенной и документированной формаль­ной модели политики безопасности. Система должна быть четко разделена

на критичные и некритичные к защите элементы (по сравнению с классом В). Здесь также предъявляются некоторые дополнительные требования по архитектуре системы и защите механизмов аутентификации.

Класс ВЗ предусматривает разделение КС на подсистемы.(домены безопасности) с различным уровнем безопасности и контроль доступа к ним с помощью монитора обращений (reference monitor). Монитор обра­щений должен быть прост для анализа и тестирования. Для него должна быть логически доказана невозможность внесения несанкционированных изменений. Обязательным является наличие процедур, обеспечивающих восстановление работоспособности системы после случайных сбоев. Дол­жен быть проведен поиск каналов утечки и определена их максимальная пропускная способность. Механизм регистрации событий должен сразу же оповещать администратора и пользователей о нарушении безопасности.

Классы группы С представляют избирательную защиту подсистем с контролем доступа к ним пользователей. В этой труппе выделены классы безопасности С1 и С2.

Класс С1 должен поддерживать дискреционное управление досту­пом. ТСВ должна использовать один из механизмов аутентификации (на­пример, пароли) для того, чтобы проверять подлинность идентификации пользователей. По существу, класс С1 обеспечивает начальный уровень защиты КС, который неуклонно повышается в рассмотренных ранее клас­сах вплоть до класса А с гарантированным уровнем защищенности.

Следующим за С1 классом безопасности является класс С2, в кото­ром добавляются требования уникальной идентификации субъекта досту­па, защиты по умолчанию и наличие системы регистрации событий (аудита).

Любой пользователь системы должен иметь "уникальное имя", а система управления доступом - возможность включать или исключать права доступа на уровне одного пользователя.

Защита по умолчанию предполагает назначение полномочий доступа по принципу "Всё, что не разрешено, то запрещено", т. е. все те ресурсы, которые явно не разрешены пользователю, полагаются недоступными.

В системах этого класса обязательно ведение системного журнала, в котором регистрируются события, связанные с безопасностью системы. Данные журнала должны быть недоступны любым пользователям КС, за исключением администратора системы.

Группу D образуют системы, которые по результатам испытаний не могут быть отнесены к классам А, В или С. В таких системах, обеспечи­вающих минимальную защиту, обычно реализуются лишь отдельные функции безопасности.

"Оранжевая книга", став первым общедоступным стандартом безо­пасности КС, явилась основой для создания всех последующих критериев безопасности, в том числе Российских стандартов, принятых Гостехкомис-

сией, и современных международных критериев безопасности информаци­онных технологий.

11.3. Документы Гостехкомиссии России по защите информации

В 1992 г. Государственной технической комиссией (ГТК) при Прези­денте РФ принят пакет руководящих документов в области защиты ин­формации.

Данные документы касаются в основном проблемы защиты инфор­мации от несанкционированного доступа (НСД). Несанкционированный доступ в документах ГТК определяется как доступ к информации, нару­шающий установленные правила разграничения доступа, с использовани­ем штатных средств вычислительной техники (СВТ) и автоматизирован­ных систем (АС).

В документе ГТК "Концепция защиты СВТ и АС от несанкциониро­ванного доступа к информации" предусматривается существование двух относительно самостоятельных направлений защиты информации от НСД. Одно направление связано с СВТ, а другое - с АС. Отличие этих направ­лений связано с тем, что СВТ разрабатываются и поставляются лишь как компоненты создаваемых АС. Если понятия "защищенность информации от НСД в АС" и "защищенность АС от НСД к информации" эквивалентны, то в случае СВТ можно говорить лишь о защищенности СВТ от НСД к "информации", для обработки, хранения и передачи которой используются СВТ. При создании АС появляются, помимо пользовательской информа­ции, ещё и такие характеристики, как полномочия пользователей, модель потенциального нарушителя, технология обработки информации в АС и др.

Данный документ содержит приведенное ранее определение НСД, основные способы осуществления НСД, модель нарушителя, основные на­правления и принципы организации работ па защите информации от НСД.

В руководящем документе ГТК "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели за­щищенности от несанкционированного доступа к информации" устанавли­ваются семь классов защищенности СВТ от НСД к информации (таблица 11.1). Самый низкий класс - седьмой, а самый высокий - первый. Каждый класс наследует требования защищенности от предыдущего класса.

Таблица 11.1