logo search
голенда часть 3

7.3. Классы безопасности информационных систем

В соответствии с «Оранжевой книгой» политика безопас­ности должна включать в себя следующие элементы:

• произвольное управление доступом — метод разграни­чения доступа к объектам, основанный на учете личности субъекта (группы, в которую он входит). Некоторое лицо (владелец объекта) может по своему усмотрению предостав­лять другим субъектам или отбирать у них права доступа к объекту;

• безопасность повторного использования объектов — до­полнительные средства, предохраняющие от случайного или преднамеренного извлечения конфиденциальной информа­ции из оперативной памяти, дисковых блоков и магнитных носителей в целом;

• метки безопасности, состоящие из уровня секретности и списка категорий;

• принудительное управление доступом основано на со­поставлении меток безопасности субъекта и объекта: метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информа­ции. После фиксации меток безопасности субъектов и объек­тов оказываются зафиксированными и права доступа.

В «Оранжевой книге» дано определение безопасной сис­темы — это система, которая посредством специальных ме­ханизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочиялица или процессы, выполняющиеся от их имени, могут по­лучить доступ на чтение, запись, создание или удаление ин­формации. В ней выделены основные классы защищенно­сти — D, С, В, А.

В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов.

Класс С1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи долж­ны идентифицировать себя до выполнения каких-либо кон­тролируемых ИС действий; ИС должна быть защищена от внешних воздействий и от попыток слежения за ходом рабо­ты; должна обеспечиваться корректность функционирова­ния аппаратных и программных средств путем периодиче­ской проверки; должен быть описан подход к безопасности, используемый разработчиком, и применение его при реали­зации ИС.

Класс С2 (в дополнение к требованиям класса С1): все объ­екты должны подвергаться контролю доступа; каждый поль­зователь системы должен уникальным образом идентифици­роваться; каждое регистрируемое действие должно ассоции­роваться с конкретным пользователем; предусмотрена лик­видация всех следов внутреннего использования объектов ИС; ИС должна создавать, поддерживать и защищать жур­нал регистрационной информации, относящейся к доступу к объектам, контролируемым ИС; тестирование должно под­твердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Класс В1 (в дополнение к требованиям класса С2): каж­дый хранимый объект ИС должен иметь отдельную иденти­фикационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объек­там, взаимную изоляцию процессов путем разделения их ад­ресных пространств; должна существовать неформальная или формальная модель политики безопасности.

Класс В2 (в дополнение к требованиям класса В1): долж­на быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информа­цией; ИС должна быть внутренне структурирована и демон­стрировать устойчивость к попыткам проникновения; тестыдолжны подтверждать действенность мер по уменьшению про­пускной способности тайных каналов передачи информации.

Класс ВЗ (в дополнение к требованиям класса В2): для управления доступом должны использоваться списки управ­ления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике ИБ; ад­министратор безопасности должен извещаться о попытках нарушения политики безопасности, а система в случае про­должения попыток должна пресекать их наименее болезнен­ным способом; должны существовать процедуры и/или ме­ханизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты; должна быть продемонстрирована устойчивость НС к попыт­кам проникновения.

Класс А1 (в дополнение к требованиям класса ВЗ): тести­рование должно продемонстрировать, что реализация ИС со­ответствует формальным спецификациям; механизм управ­ления ИБ должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обес­печению безопасности.