logo search
Основи інформаційної безпеки / пос_бник_О_Б_МОН

“Помаранчева книга” як оцінний стандарт

Історично першим оцінним стандартом, що набув значного поширення і зробив величезний вплив на базу стандартизації інформаційної безпеки у багатьох країнах, став стандарт Міністерства оборони США “Критерії оцінювання довірених комп’ютерних систем”.

Дана праця, звана найчастіше за кольором обкладинки “Помаранчевою книгою”, була вперше опублікована в серпні 1983 року. В ній мова йде не про безпечні, а про довірені системи, тобто системи, яким можна надати певний ступінь довіри.

У “Помаранчевій книзі” наведено таке поняття безпечної системи:

Безпечна система – це така система, в якій за допомогою відповідних засобів здійснюється ке­рування доступом до інформації в такий спосіб, що тільки належним чином авторизовані особи або процеси, що діють від їх імені, отримують право читати, записувати, створювати і вида­ляти інформацію.

Очевидно, що абсолютно безпечних систем не існує, це абстракція. Є сенс оцінювати лише ступінь довіри, яку можна надати тій чи іншій системі.

Довірена система – це система, що використовує достатні апаратні і програмні засоби для забез­пе­чення одночасного оброблення інформації різного ступеня секретності групою користувачів без порушення права доступу.

Звернемо увагу, що у “Помаранчевій книзі” і безпека, і довіра оцінюються виключно з погляду управління доступом до даних, що є одним із засобів забезпечення конфіденційності і цілісності. Питання доступності не піднімається.

Ступінь довіри оцінюється за двома критеріями: політика безпеки і рівень гарантованості.

Політика безпеки – це набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію.

Зокрема, правила визначають, в яких випадках користувач може оперувати конкретними наборами даних. Чим вищий ступінь довіри системі, тим суворішою та гнучкішою повинна бути політика безпеки. Політика безпеки – це аспект захисту, що містить аналіз можливих загроз і вибір заходів протидії.

Рівень гарантованостіце міра довіри, яка може бути надана архітектурі і реалізації ІС.

Довіра безпеці може виникати як з аналізу результатів тестування, так і з перевірки (формальної чи ні) загального задуму і реалізації системи в цілому та окремих її компонентів. Рівень гарантованості показує, наскільки коректні механізми, що відповідають за реалізацію політики безпеки.

Важливим засобом забезпечення безпеки є механізм підзвітності (протоколювання). Довірена система повинна фіксувати всі події, що стосуються безпеки. Ведення протоколів повинно доповнюватися аудитом (аналізом реєстраційної інформації).

Концепція довіреної обчислювальної бази є центральною для оцінювання ступеню довіри безпеці.

Довірена обчислювальна база – це сукупність захисних механізмів ІС (включаючи апаратне і програмне забезпечення), що відповідають за проведення в життя політики безпеки.

Взагалі кажучи, компоненти поза обчислювальною базою можуть не бути довіреними, проте це не повинно впливати на безпеку системи в цілому.

Основне призначення довіреної обчислювальної бази – виконувати функції монітора звернень, тобто контролювати допустимість виконання суб’єктами, що діють від імені користувачів, певних операцій над об’єктами.

Реалізація монітора звернень називається ядром безпеки.Ядро безпеки– це основа, на якій будуються всі захисні механізми. Крім перерахованих вище властивостей монітора звернень, ядро повинне гарантувати власну незмінність.

Межу довіреної обчислювальної бази називають периметром безпеки.. Як вже відзначалося, компоненти, які знаходяться поза периметром безпеки, взагалі кажучи, можуть не бути довіреними. З розвитком розподілених систем поняттю “периметр безпеки” все частіше додають інший сенс, маючи на увазі межу території певної організації. Те, що знаходиться всередині, вважається довіреним, а те, що зовні, – ні.

Політика безпеки повинна обов’язково включати такі елементи:

Довільне (дискреційне) управління доступом – це метод розмежування доступу до об’єктів, заснований на обліку особи суб’єкта або групи, в яку суб’єкт входить.

Довільність управління полягає в тому, що деяка особа (власник об’єкту) може на свій розсуд надавати іншим суб’єктам або відбирати у них право доступу до об’єкту.

Безпека повторного використання об’єктів – важливе доповнення засобів управління доступом, що оберігає від випадкового або навмисного витягання конфіденційної інформації зі “сміття”. Безпека повторного використання повинна гарантуватися для зон оперативної пам’яті (зокрема, для буферів з образами екрану, розшифрованими паролями і т.п.), для дискових блоків і магнітних носіїв в цілому.

Для реалізації примусового управління доступомз суб’єктами і об’єктами асоціюютьсямітки безпеки.Міткасуб’єкта описує його благонадійність, а мітка об’єкту– ступінь конфіденційності інформації, що міститься в ньому.

Примусове (мандатне) управління доступом – це метод розмежування доступу до об’єктів, заснований на зіставленні міток безпекисуб’єкта і об’єкту.

Суб’єкт може читати інформацію з об’єкту, якщо рівень секретності суб’єкта не нижче, ніж у об’єкту, а всі категорії, перераховані в мітці безпеки об’єкту, присутні в мітці суб’єкта. Суб’єкт може записувати інформацію в об’єкт, якщо мітка безпеки об’єкту домінує над міткою суб’єкта. Зокрема, “конфіденційний” суб’єкт може записувати дані в секретні файли, але не може – в несекретні. Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб’єктів (навіть системних адміністраторів). Після того, як зафіксовані мітки безпеки суб’єктів і об’єктів, виявляються зафіксованими і права доступу.

Мета підзвітності– в кожен момент часу знати, хто працює в системі і що робить. Засоби підзвітності діляться на три категорії:

Звичайний спосіб ідентифікації – введення імені користувача при вході в систему. Стандартний засіб перевірки достовірності (автентифікації) користувача – пароль.

Аналіз реєстраційної інформації (аудит) має справу з подіями, які так або інакше стосуються безпеки системи.

У “Помаранчевій книзі” розглядається два види гарантованості: операційна і технологічна.

Операційна гарантованість– це спосіб переконатися в тому, що архітектура системи та її реалізація дійсно реалізують вибрану політику безпеки.

Технологічна гарантованістьохоплює весь життєвий цикл ІС, тобто періоди проектування, реалізації, тестування, продажу і супроводу. Всі перераховані дії повинні виконуватися відповідно до жорстких стандартів, щоб виключити просочування інформації і нелегальні “закладки”.