12 Защита информационных процессов в компьютерных системах
63. Международные стандарты информационной безопасности. «Оранжевая книга». Европейские стандарты. Канадские стандарты. Общие критерии.
«Критерии безопасности компьютерных систем» («Оранжевая книга») были разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
Согласно «Оранжевой книге», безопасная компьютерная система — это система, поддерживающая управление доступом к обрабатываемой в ней информации, таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.
Базовые требования безопасности. В «Оранжевой книге» предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности.
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа.
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты.
Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом.
Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.
Критерии безопасности. «Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.
Г р у п п a D. Минимальная защита.
Класс D. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов.
Г р у п п а С. Дискреционная защита.
К л а с с С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользователей и информации и включают средства контроля и управления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей.
Класс С2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С2, с помощью применения средств индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
Г р у п п а В. Мандатная защита.
К л а с с В1. Защита с применением меток безопасности.
Класс В2. Структурированная защита. ТСВ системы должна поддерживать формально определенную и четко документированную модель безопасности, предусматривающую произвольное нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты.
Класс ВЗ. Домены безопасности. ТСВ системы должна поддерживать монитор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и быть достаточно компактной для эффективного тестирования и анализа.
Г р у п п а А. Верифицированная защита.
Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты.
Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты.
Для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, была проделана огромная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:
Руководство по произвольному управлению доступом в безопасных системах;
Руководство по управлению паролями;
Руководство по применению критериев безопасности компьютерных систем в специфических средах.
В 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием «Интерпретация критериев безопасности компьютерных систем», объединяющий все дополнения и разъяснения.
Европейские критерии безопасности ИТ
Введены в 1991 году от имени соотв-их органов Франции, Нидерландов, Германии и Великобритании.
Для того, чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, в «Европейских критериях» впервые вводится понятие адекватности средств защиты.
Адекватность включает в себя:
эффективность, отражающую соответствие средств безопасности решаемым задачам;
корректность, характеризующую процесс их разработки и функционирования.
Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Функциональные критерии.
В ЕК средства имеющие отношение к ИБ рассматриваются на 3-х уровнях детализации
На 1 рассматриваются цели
На 2 – описание функций защиты
На 3 – реализующие их механизмы
Большинство из перечисленных требований совпадает с аналогичными требованиями из ОК.
Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы-шаблоны. В «Европейских критериях» таких классов десять. Пять из них (F-Cl, F-C2, F-Bl, F-B2, F-B3) соответствуют соответствующим классам безопасности «Оранжевой книги» с аналогичными обозначениями. Рассмотрим другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.
Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных.
Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности.
Класс F-DI ориентирован на распределенные системы обработки информации.
Класс F-DC уделяет особое внимание требованиям к конфиденциальности передаваемой информации.
Класс F-DX предъявляет повышенные требования и к целостности, и к конфиденциальности информации.
Критерии адекватности
Уровни адекватности средств защиты. «Европейские критерии» определяют семь уровней адекватности — от ЕО до Е6 (в порядке возрастания). Уровень ЕО обозначает минимальную адекватность (аналог уровня D «Оранжевой книги»). При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектирования до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне ЕЗ к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.
Степень без-ти системы определяется самым слабым, из критически важных, степеней защиты.
Выделяют 3 уровня безопасности.
Базовый (если средства защиты способны противостоять определенным случайным атакам.)
Средний (если средства защиты способны противостоять злоумышленникам, обладающими ограниченными ресурсами и возможностями)
Высокий (если средства защиты способны противостоять атакам злоумышленников с высокой квалификацией, обладающие набором ресурсов и возможностей, выходящих за рамки возможного)
Канадские критерии
"Канадские критерии безопасности компьютерных систем" разработаны в 1993 году в Центре безопасности ведомства безопасности связи Канады для использования в качестве национального стандарта безопасности компьютерных систем. "Канадские критерии" нацелены на широкий диапазон компьютерных систем.
Канадские критерии содержат функциональные требования к средствам защиты и отдельно требования к адекватности их реализации. Функциональные критерии разделяются на четыре группы: критерии конфиденциальности, целостности, работоспособности и аудита. Универсальная шкала оценки уровня безопасности отсутствует.
Функциональные требования
критерии конфиденциальности
контроль скрытых каналов
произвольное управление доступом
нормативное управление доступом
повторное использование объектов
критерии целостности
произвольное управление целостностью
нормативное управление целостностью
физическая целостность
возможность осуществления отката
распределение ролей
самотестирование
критерии работоспособности
устойчивость к отказам и сбоям
живучесть
восстановление
критерии аудита
регистрация и учет событий в системе
идентификация и аутентификация
прямое взаимодействие с ядром безопасности
Требования адекватности
архитектура системы
среда разработки
процесс разработки
управление конфигурации в процессе разработки
контроль процесса разработки
разработка спецификаций
создание рабочего проекта
реализация
поставка и сопровождения
документация
пользовательская документация
документация администратора безопасности
тестирование безопасности
Уровень адекватности присваивается системе в целом, причем более высокий уровень соответствует более полной и корректной реализации политики безопасности
Вывод. В КК постановленные цели не достигнуты. В функциональных требованиях не создана шкала критериев, множество частных шкал.
Единые критерии безопасности ИТ. Common Criteria 1993г. ГОСТ 15408 2002г.
На сегодняшний день "Общие критерии" - самый полный и современный оценочный стандарт. На самом деле, это метастандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; он не содержит предопределенных классов безопасности.
Задачи защиты — выражает потребность потребителей продуктов информационных технологий в противостоянии заданному множеству угроз безопасности или в необходимости реализации политики безопасности.
Профиль защиты — специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности и их обоснования. Служит руководством для разработчика продукта информационных технологий при создании проекта защиты.
Проект защиты — специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности, общих спецификаций средств защиты и их обоснования. В ходе квалификационного анализа служит описанием продукта информационных технологий.
СС содержат два основных вида требований безопасности:
1. функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
Аудит
Подтверждение приемо/передачи информации
Криптография
Защита информации
Идентификация и аутентификация
Управление безопасностью
Конфиденциальность работы в системе
Надежность средств защиты
Контроль за использованием ресурсов
Контроль доступа к системе
Прямое взаимодействие
2. требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.
управление проектом: (средства управления проектом; управление версиями; конфигурация проекта)
дистрибуция: (постановка; установка, настройка, запуск)
разработка: (общие функциональные спецификации; архитектура защиты; форма представления продукта на сертификацию; структура средств защиты; частные спецификации средств защиты; соответствие описаний различного уровня; политика безопасности)
документация: (руководства администратора; руководства пользователя)
процесс разработки: (безопасность среды разработки; исправление ошибок и устранение уязвимостей; технология разработки; средства разработки)
тестирование: (полнота тестирования; глубина тестирования; методика тестирования; независимое тестирование)
анализ защиты: (анализ скрытых каналов; анализ возможностей неправильного использования средств защиты; анализ стойкости средств защиты; анализ продукта на наличие уязвимостей)
Ранжирование требований адекватности представлено в виде упорядоченных списков. Критерии адекватности используются в ходе квалификационного анализа продукта информационных технологий для определения степени корректности реализации функциональных требований и назначения продукту информационных технологий соответствующего уровня адекватности. Уровни адекватности:
1. функциональное тестирование (предназначено для тех случаев, когда угрозам безопасности не придается большого значения, т.е. существует независимая гарантия того, что в состав продукта входят средства защиты персональной и/или подобной информации, реализованные в соответствии с указанными требованиями)
2. структурное тестирование (используется, когда пользователи и разработчики согласны удовлетворится низкой или умеренной степенью независимого подтверждения адекватности обеспечиваемого уровня безопасности (рекомендуется применять для унаследованных систем, уже находящихся в эксплуатации))
3. методическое тестирование и проверка (применяется, когда пользователям и разработчикам требуются умеренная степень независимого подтверждения свойств продукта информационных технологий, а также полное и последовательное исследование свойств продукта и контроль в процессе создания, но без проведения дорогостоящего обратного проектирования)
4. методическая разработка, тестирование и анализ применяется, когда пользователи и разработчики требуют умеренную или высокую степень независимого подтверждения адекватности защиты продукта информационных технологий и готовы нести определенные дополнительные технические затраты;
5. полуформальные методы разработки и тестирование применяется, когда пользователи и разработчики требуют высокую степень независимого подтверждения адекватности защиты продукта информационных технологий, а также строгого применения определенных технологий разработки продукта информационных технологий, но без чрезмерных затрат;
6. полуформальные методы верификации разработки и тестирование применяются при разработке защищенных продуктов, предназначенных для использования в ситуациях с высокой степенью риска, где ценность защищаемой информации оправдывает дополнительные затраты;
7. формальные методы верификации разработки и тестирование могут быть использованы для разработки защищенных продуктов, предназначенных для использования в ситуациях с исключительно высокой степенью риска, или там, где ценность защищаемых объектов оправдывает высокие дополнительные затраты.
Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.
"Общие критерии" способствуют формированию двух базовых видов используемых на практике нормативных документов - это профиль защиты и задание по безопасности.
Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса.
Задание по безопасности содержит совокупность требований к конкретной разработке, их выполнение позволит решить поставленные задачи по обеспечению безопасности.
СС безопасности ИТ представляет собой результат обобщения всех достижений последних лет в области ИБ. Кроме того, СС можно использовать в качестве справочника по ИБ.
64. Государственная политика России в области безопасности компьютерных систем. Руководящие документы ФСТЭК России по оценке защищённости автоматизированных систем. Подготовка нормативной базы и проведение аттестации защищённых систем.
Государственная политика России в области безопасности компьютерных систем
Основная цель концепции - определение методов и средств защиты и обеспечения безопасности информации, отвечающих интересам, требованиям и законодательству Российской Федерации в современных условиях необходимости использования ресурсов глобальных сетей передачи данных общего пользования для построения корпоративных защищенных и безопасных сетей.
Концепция формулирует научно-технические принципы построения систем обеспечения безопасности информационных ресурсов корпоративных сетей (СОБИ КС) с учетом современных тенденций развития сетевых информационных технологий, развития видов сетевых протоколов, их взаимной инкапсуляции и совместного использования.
Методической базой концепции являются следующие нормативные документы ФСТЭК России:
• РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» ФСТЭК России, Москва, 1992г.;
• РД «Защита от несанкционированного доступа к информации. Термины и определения» ФСТЭК России, Москва, 1992 г.;
• РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации . Показатели защищенности от несанкционированного доступа к информации к информации» ФСТЭК России, Москва, 1992 г.;
• РД «Автоматизированные системы. Защита от несанкционированного доступа к информации к информации. Классификация автоматизированных систем и требования по защите информации» ФСТЭК России, Москва, 1992 г.
Руководящие документы ФСТЭК России по оценке защищённости автоматизированных систем
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации от 30 марта 1992 года.
Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.
Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации.
Концепция является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:
выработка требований по защите СВТ и АС от НСД к информации;
создание защищенных от НСД к информации СВТ и АС;
сертификация защищенных СВТ и АС.
Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.
При этом защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.
Руководящий документ. Защита от несанкционированного доступа к информации.Термины и определения от 30 марта 1992 года
Настоящий руководящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.Установленные термины обязательны для применения во всех видах документации.
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30 марта 1992 года
Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может быть использовано для повышения гарантий качества защиты.
Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации
Настоящий руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.
Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите.
Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
1.4. Основными этапами классификации АС являются:
разработка и анализ исходных данных;
выявление основных признаков АС, необходимых для классификации;
сравнение выявленных признаков АС с классифицируемыми;
присвоение АС соответствующего класса защиты информации от НСД.
1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются:
перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
режим обработки данных в АС.
1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
1.8. Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Подготовка нормативной базы и проведение аттестации защищённых систем.
Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее- федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обpаботки инфоpмации с уpовнем секpетности (конфиденциальности) и на пеpиод вpемени, установленными в "Аттестате соответствия".
Обязательной аттестации подлежат объекты информатизации, пpедназначенные для обpаботки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по тpебованиям безопасности инфоpмации пpедшествует началу обpаботки подлежащей защите информации и вызвана необходимостью официального подтвеpждения эффективности комплекса используемых на конкpетном объекте информатизации меp и сpедств защиты инфоpмации.
Пpи аттестации объекта информатизации подтвеpждается его соответствие тpебованиям по защите инфоpмации от несанкциониpованного доступа, в том числе от компьютеpных виpусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в pеальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и сpедств защиты тpебуемому уpовню безопасности информации.
Аттестация пpоводится оpганом по аттестации в установленном настоящим Положением поpядке в соответствии со схемой, выбираемой этим оpганом на этапе подготовки к аттестации из следующего основного перечня работ:
анализ исходных данных по аттестуемому объекту информатизации;
пpедваpительное ознакомление с аттестуемым объектом информатизации;
проведение экспеpтного обследования объекта информатизации и анализ разработанной документации по защите инфоpмации на этом объекте с точки зpения ее соответствия тpебованиям ноpмативной и методической документации;
пpоведение испытаний отдельных сpедств и систем защиты инфоpмации на аттестуемом объекте информатизации с помощью специальной контpольной аппаpатуpы и тестовых сpедств;
пpоведение испытаний отдельных сpедств и систем защиты инфоpмации в испытательных центpах (лабоpатоpиях) по сеpтификации средств защиты информации по тpебованиям безопасности инфоpмации;
пpоведение комплексных аттестационных испытаний объекта информатизации в pеальных условиях эксплуатации;
анализ pезультатов экспеpтного обследования и комплексных аттестационных испытаний объекта информатизации и утвеpждение заключения по pезультатам аттестации.
Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Гостехкомиссия России может передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.
Расходы по проведению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.
Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам, а при их отсутствии - по договорной цене в порядке, установленном Гостехкомиссией России по согласованию с Министерством финансов Российской Федерации.
Расходы по пpоведению всех видов pабот и услуг по аттестации объектов информатизации оплачивают заявители за счет финансовых сpедств, выделенных на pазpаботку (доpаботку) и введение в действие защищаемого объекта инфоpматизации.
Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
подачу и рассмотрение заявки на аттестацию;
предварительное ознакомление с аттестуемым объектом;
испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
разработка программы и методики аттестационных испытаний;
заключение договоров на аттестацию;
проведение аттестационных испытаний объекта информатизации;
оформление, регистрация и выдача "Аттестата соответствия";
осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
рассмотрение апелляций.
Пpи использовании на аттестуемом объекте информатизации несеpтифициpованных сpедств и систем защиты инфоpмации в схему аттестации могут быть включены pаботы по их испытаниям в испытательных центpах (лабоpатоpиях) по сеpтификации средств защиты информации по тpебованиям безопасности инфоpмации или непосpедственно на аттестуемом объекте информатизации с помощью специальной контpольной аппаpатуpы и тестовых сpедств.
По pезультатам pассмотpения заявки и анализа исходных данных, а также пpедваpительного ознакомления с аттестуемым объектом оpганом по аттестации pазpабатываются пpогpамма аттестационных испытаний, пpедусматpивающая пеpечень pабот и их пpодолжительность, методики испытаний (или используются типовые методики), опpеделяются количественный и пpофессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контpольной аппаpатуpы и тестовых сpедств на аттестуемом объекте информатизации или пpивлечения испытательных центpов (лабоpатоpий) по сеpтификации средств защиты информации по тpебованиям безопасности инфоpмации.
Поpядок, содеpжание, условия и методы испытаний для оценки хаpактеpистик и показателей, пpовеpяемых пpи аттестации, соответствия их установленным тpебованиям, а также пpименяемые в этих целях контpольная аппаpатуpа и тестовые сpедства опpеделяются в методиках испытаний pазличных видов объектов информатизации.
Проведение аттестационных испытаний объектов информатизации.
На этапе аттестационных испытаний объекта информатизации:
осуществляется анализ оpганизационной стpуктуpы объекта информатизации, инфоpмационных потоков, состава и стpуктуpы комплекса технических сpедств и пpогpаммного обеспечения, системы защиты инфоpмации на объекте, pазpаботанной документации и ее соответствия тpебованиям ноpмативной документации по защите инфоpмации;
опpеделяется пpавильность категоpиpования объектов ЭВТ и классификации АС (пpи аттестации автоматизиpованных систем), выбоpа и пpименения сеpтифициpованных и несеpтифициpованных сpедств и систем защиты инфоpмации;
пpоводятся испытания несеpтифициpованных сpедств и систем защиты инфоpмации на аттестуемом объекте или анализ pезультатов их испытаний в испытательных центpах (лабоpатоpиях) по сеpтификации;
пpовеpяется уpовень подготовки кадpов и pаспpеделение ответственности пеpсонала за обеспечение выполнения тpебований по безопасности инфоpмации;
пpоводятся комплексные аттестационные испытания объекта информатизации в pеальных условиях эксплуатации путем пpовеpки фактического выполнения установленных тpебований на pазличных этапах технологического пpоцесса обpаботки защищаемой инфоpмации;
офоpмляются пpотоколы испытаний и заключение по pезультатам аттестации с конкpетными pекомендациями по устpанению допущенных наpушений, пpиведению системы защиты объекта информатизации в соответствие с установленными тpебованиями и совеpшенствованию этой системы, а также pекомендациями по контpолю за функциониpованием объекта информатизации.
Заключение по pезультатам аттестации с кpаткой оценкой соответствия объекта информатизации тpебованиям по безопасности инфоpмации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми pекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
К заключению пpилагаются протоколы испытаний, подтвеpждающие полученные пpи испытаниях pезультаты и обосновывающие пpиведенный в заключении вывод.
Пpотоколы испытаний подписываются экспеpтами - членами аттестационной комиссии, пpоводившими испытания.
Заключение и пpотоколы испытаний подлежат утвеpждению оpганом по аттестации.
"Аттестат соответствия" выдается владельцу аттестованного объекта информатизации оpганом по аттестации на пеpиод, в течение котоpого обеспечивается неизменность условий функциониpования объекта информатизации и технологии обpаботки защищаемой инфоpмации, могущих повлиять на хаpактеpистики, опpеделяющие безопасность инфоpмации (состав и стpуктуpа технических сpедств, условия pазмещения, используемое пpогpаммное обеспечение, pежимы обpаботки инфоpмации, сpедства и меpы защиты), но не более, чем на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функциониpования объекта информатизации, технологии обpаботки защищаемой инфоpмации и тpебований по безопасности инфоpмации.
65. Основные требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники. Особенности защиты служебной тайны и персональных данных. Основные правила использования съемных накопителей большой емкости для работы с конфиденциальной информацией.
Основные требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники
5.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.
5.1.2. Основными направлениями защиты информации являются:
обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;
обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
5.1.3. В качестве основных мер защиты информации рекомендуются:
документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
необходимое резервирование технических средств и дублирование массивов и носителей информации;
использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
использование сертифицированных средств защиты информации;
размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
Обязательность тех или иных мер для защиты различных видов конфиденциальной информации конкретизирована в последующих подразделах документа.
5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем
5.1.5. Классифицируются АС любого уровня и назначения. Классификация АС осуществляется на основании требований РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и настоящего раздела документа.
5.1.6. Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки конфиденциальной информации.
5.1.7. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.
Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в подразделе 5.9.
5.1.8. При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь.
Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала.
5.1.9. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации") не совпадают с предложенными в РД (п. 1.9) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например, однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности. Однако, если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен).
5.1.10. Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от несанкционированного доступа к информации приведены в приложении № 7.
5.1.11. Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение ими установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.
Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в учреждении (на предприятии) в части их касающейся.
Особенности защиты служебной тайны и персональных данных
При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования.
5.2.1. Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 3.
5.2.2. В учреждении (на предприятии) должны быть документально оформлены перечни сведений, составляющих служебную тайну, и персональных данных, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности учреждения (предприятия), так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части их касающейся.
5.2.3. В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:
АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;
АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.
5.2.4. Для обработки информации, составляющей служебную тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.
5.2.6. Носители информации на магнитной (магнитно-оптической) и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях учреждений (предприятий) в порядке, установленном для служебной информации ограниченного распространения, с пометкой "Для служебного пользования".
5.2.7. Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в учреждении (на предприятии).
5.2.8. При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации по решению руководителя предприятия может быть расширен.
Основные правила использования съемных накопителей большой емкости для работы с конфиденциальной информацией
5.6.1. Данная информационная технология предусматривает запись на загружаемый съемный накопитель информации большой емкости одновременно общесистемного (ОС, СУБД) и прикладного программного обеспечения, а также обрабатываемой информации одного или группы пользователей.
В качестве устройств для работы по этой технологии могут быть использованы накопители на магнитном, магнито-оптическом или лазерном дисках различной конструкции, как встроенные (съемные), так и выносные. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
Несъемные накопители должны быть исключены из конфигурации ПЭВМ.
Основной особенностью применения данной информационной технологии для АРМ на базе автономных ПЭВМ с точки зрения защиты информации является исключение этапа хранения на ПЭВМ в нерабочее время информации, подлежащей защите.
Эта особенность может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от НСД и использования средств физической защиты помещений этих АРМ.
5.6.2. На этапе предпроектного обследования необходимо провести детальный анализ технологического процесса обработки информации, обращая внимание, прежде всего, на технологию обмена информацией (при использовании съемных накопителей информации большой емкости или гибких магнитных дисков (ГМД или дискет) с другими АРМ, как использующими, так и не использующими эту информационную технологию, на создание условий, исключающих попадание конфиденциальной информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать.
5.6.3. Обмен конфиденциальной информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на АРМ, к переносимой информации.
5.6.4. На рабочих местах исполнителей, работающих по этой технологии, во время работы, как правило, не должно быть неучтенных накопителей информации.
В случае формирования конфиденциальных документов с использованием, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть "закрыты на запись".
Условия и порядок применения таких процедур должны быть отражены в технологии обработки информации, использующей съемные накопители информации большой емкости.
5.6.5. При использовании в этой технологии современных средств вычислительной техники, оснащенных энергонезависимой, управляемой извне перезаписываемой памятью, так называемых Flash-Bios (FB), необходимо обеспечить целостность записанной в FB информации. Для обеспечения целостности, как перед началом работ, с конфиденциальной информацией при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB. При несовпадении необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB.
5.6.6. Должна быть разработана и по согласованию с службой безопасности утверждена руководителем учреждения (предприятия) технология обработки конфиденциальной информации, использующая съемные накопители информации большой емкости и предусматривающая вышеуказанные, а также другие вопросы защиты информации, имеющие отношение к условиям размещения, эксплуатации АРМ, учету носителей информации, а также другие требования, вытекающие из особенностей функционирования АРМ.
66. Процесс квалификационного анализа ИТ-продуктов с использованием профилей защиты и заданий по безопасности. ГОСТ Р ИСО/МЭК 15408 – 2002: структура и области применения. Последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности и краткая спецификация объекта оценки. Представление функциональных требований - классы, семейства, компоненты. Примеры функциональных классов.
Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году. В 2004 году в России был приняты три новых ГОСТа ГОСТ Р ИСО/МЭК 15408-1, ГОСТ Р ИСО/МЭК 15408-2, ГОСТ Р ИСО/МЭК 15408-3, являющиеся аутентичными переводами международного стандарта ISO 15408.
Общие критерии оценки безопасности информационных технологий (далее «Общие критерии») определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).
При проведении работ по анализу защищенности АС, а также средств вычислительной техники (СВТ) «Общие критерии» целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.
Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.
Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
Третья часть «Общих критериев» содержит классы требований гарантий оценки. Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.
Руководящий документ 15408 (РД) содержит систематизированный каталог требований к безопасности информационных технологий (ИТ), порядок и методические рекомендации по использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации.
Настоящий руководящий документ определяет критерии, за которыми исторически закрепилось название "Общие критерии" (ОК). ОК предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем информационных технологий.
ОК дают возможность сравнения результатов независимых оценок безопасности.
ОК полезны в качестве руководства при разработке продуктов или систем с функциями безопасности ИТ,
ОК направлены на защиту информации.
применимы к мерам безопасности, реализуемым программно-аппаратными средствами.
Среда безопасности включает все законы, политики безопасности организаций, опыт, специальные навыки и знания, для которых решено, что они имеют отношение к безопасности.
При установлении среды безопасности автор ПЗ или ЗБ должен принять во внимание:
физическую среду, мероприятия, относящиеся к физической защите и персоналу;
активы, которые требуют защиты элементами ОО;
предназначение ОО, включая тип продукта и предполагаемую сферу применения.
Результаты анализа среды безопасности могут затем использоваться для установления целей безопасности, которые направлены на противостояние установленным угрозам, а также проистекают из установленной политики безопасности организации и сделанных предположений.
Смысл определения целей безопасности заключается в том, чтобы соотнести их со всеми поставленными ранее вопросами безопасности и декларировать, какие аспекты безопасности связаны непосредственно с ОО, а какие – с его средой.
Требования безопасности ИТ являются результатом преобразования целей безопасности в совокупность требований безопасности для ОО и требований безопасности для среды, которые, в случае их удовлетворения, обеспечат для ОО способность достижения его целей безопасности.
В ОК представлены две различные категории требований безопасности – функциональные требования и требования доверия.
Функциональные требования (идентификация, аутентификация, аудит безопасности) - налагаются на те функции ОО, которые предназначены для поддержания безопасности ИТ и определяют желательный безопасный режим функционирования ОО.
Если
ОО имеет функции безопасности, которые
реализуются вероятностными или
перестановочными механизмами (такими,
как пароль или хэш-функция), то требования
доверия могут определять, что заявленный
минимальный уровень стойкости согласуется
с целями безопасности.
С
труктура
функционального класса.
Уникальное имя класса - идентификация функционального класса и отнесения его к определенной категории. Состоит из 3 латинских букв. Краткое имя класса используют при задании кратких имен семейств этого класса.
Представление класса обобщает участие семейств класса в достижении целей безопасности. Определение функциональных классов не отражает никакую формальную таксономию в спецификации требований.
Представление класса содержит рисунок, показывающий все семейства этого класса и иерархию компонентов в каждом семействе.
Структура функционального семейства.
Уникальное имя семейства - идентификация и категорирование функционального семейства. Семь символов - XXX_YYY.. Первые три символа - имя класса, далее следуют символ подчеркивания и краткое имя семейства. Краткая форма имени семейства - основное имя ссылки для компонентов.
Характеристика семейства– это описание функционального семейства, где излагаются:
а) цели безопасности - характеризуют задачу безопасности;
б) описание функциональных требований обобщает все требования, которые включены в компонент (ты).
Требования управления содержат информацию для разработчиков ПЗ/ЗБ, учитываемую при определении действий по управлению для данного компонента. Требования управления детализированы в компонентах класса "Управление безопасностью" (FMT).
Требования аудита содержат события, потенциально подвергаемые аудиту, для их отбора разработчиками ПЗ/ЗБ при условии включения в ПЗ/ЗБ требований из класса FAU "Аудит безопасности".
Функциональные семейства содержат один или несколько компонентов. Цель ранжирования компонентов – предоставить пользователям информацию для выбора подходящего функционального компонента.
Связи между компонентами в пределах функционального семейства могут быть иерархическими и неиерархическими. Компонент иерархичен (т.е. расположен выше по иерархии) по отношению к другому компоненту, если предлагает большую безопасность.
Структура функционального компонента.
Идентификация компонента – описательная информация, необходимая для идентификации, категорирования, записи и реализации перекрестных ссылок компонента.
уникальное имя, отражающее предназначение компонента;
краткое имя, применяемое для идентификации.
список иерархических связей, содержит имена других компонентов, для которых этот компонент иерархичен.
Функциональный элемент – это функциональное требование безопасности. Является наименьшим функциональным требованием безопасности, идентифицируемым и признаваемым в ОК.
Вводится уникальная краткая форма имени функционального элемента. Например, имя FDP_IFF.4.2 читается следующим образом: F – функциональное требование, DP – класс "Защита данных пользователя", _IFF – семейство "Функции управления информационными потоками", .4 – четвертый компонент "Частичное устранение неразрешенных информационных потоков", .2 – второй элемент компонента.
Список зависимостей идентифицирует минимум функциональных компонентов или компонентов доверия, необходимых для удовлетворения требований безопасности.
Зависимости между компонентами, указанные в ОК, обязательны.