Учебники 80371
.pdfграммной среды и персонала ИТКС с помощью тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления СЗИ, предусматривающие ведение двух копий программных средств системы защиты информации от НСД и их периодическое обновление и контроль работоспособности, а для класса 2А дополнительно должно выполняться требование использования сертифицированных средств за-
щиты.
Для классов 1Д,1Г подсистемой обеспечения целостности должна быть обеспечена целостность программных средств СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды, при этом:
целостность системы защиты информации проверяется при загрузке системы по контрольным суммам компонент СЗИ;
целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или ) хранения защищаемой информации;
должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения ИТКС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИТКС и хранилище носителей информации, особенно в нерабочее время;
должно проводиться периодическое тестирование функций СЗИ от НСД при изменении про-
361
граммной среды и персонала ИТКС с помощью тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления СЗИ от НСД, предусматривающие ведение двух копий программных средств системы защиты информации от НСД и их периодическое обнов-
ление и контроль работоспособности.
Для классов 1В,1Б и 1А подсистемой обеспечения целостности:
должна быть обеспечена целостность программных средств системы защиты информации от НСД, а также неизменность программной среды. При этом: целостность СЗИ от НСД проверяется при загрузке системы по контрольным суммам компонентов СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;
должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ИТКС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специального оборудования помещений ИТКС;
должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы системы защиты информации от НСД. Администратор должен иметь свой терми-
362
нал и необходимые средства оперативного контроля и воздействия на безопасность ИТКС; должно проводиться периодическое тестирование всех функций системы защиты информации от НСД с помощью специальных программных средств не реже одного раза в год для класса 1В, одного раза в квартал для классов 1Б и 1А;
должны быть в наличии средства восстановления системы защиты информации от НСД, предусматривающие ведение двух копий программных средств системы защиты информации от НСД и их периодическое обновление и контроль работоспособности для класса 1В, а для классов 1Б и 1А также автоматическое оперативное восстановление функций СЗИ НСД при сбоях;
должны использоваться сертифицированные средства защиты.
При обработке или хранении в ИТКС информации, не отнесенной к категории секретной, должны проводиться следующие организационные мероприятия:
выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;
определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;
ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требова-
363
ния и порядок обработки конфиденциальной информации;
получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
обеспечение охраны объекта, на котором расположена защищаемая ИТКС, (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники, носителей информации, а также НСД к СВТ и линиям связи;
выбор класса защищенности ИТКС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации ИТКС) и уровнем ее конфиденциальности;
организация службы безопасности информации (ответственные лица, администратор ИТКС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в ИТКС новых программных средств, а также контроль за ходом технологического процесса обработки
конфиденциальной информации и т.д.
Если в ИТКС должна обрабатываться или храниться информация, составляющая государственную тайну, необходимо ориентироваться на классы защищенности ИТКС не ниже (по группам) 1А, 1Б, 1В и использовать
364
сертифицированные средства вычислительной техники в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники». Содержание требований к защищенности информации в СВТ приведены ниже по тексту и показаны в обобщенном виде в табл. 4.2. При обработке информации составляющей государственную тайну, должны применяться в ИТКС СВТ не ниже 4 класса для класса защищенности ИТКС 1В; не ниже 3 класса для класса защищенности ИТКС 1Б; не ниже 2 класса для класса защищенности ИТКС 1А (см. табл. 4.2).
В частности, набор требований, соответствующий высшему (первому) классу защищенности от НСД, включает в себя следующие требования.
1.Требования к разграничению доступа.
1.1.Требования к разграничению доступа определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
а) дискреционный принцип контроля доступа; б) мандатный принцип контроля доступа; в) идентификация и аутентификация; г) очистка памяти; д) изоляция модулей;
е) защита ввода и вывода на отчуждаемый физический носитель информации;
ж) сопоставление пользователя с устройством.
1.2.Для реализации дискреционного (избирательного) принципа контроля доступа должен контролироваться доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).
365
Таблица 4.2
Требования к защищенности информации в СВТ
|
|
Наименование показателя |
|
|
Класс защищенности |
|
|||
|
|
|
6 |
5 |
|
4 |
3 |
2 |
1 |
1. |
Дискреционный принцип контроля доступа |
+ |
+ |
|
+ |
= |
+ |
= |
|
2. |
Мандатный принцип контроля доступа |
- |
- |
|
+ |
= |
= |
= |
|
3. |
Очистка памяти |
- |
+ |
|
+ |
+ |
= |
= |
|
4. |
Изоляция модулей |
- |
- |
|
+ |
= |
+ |
= |
|
5. |
Маркировка документов |
|
|
|
|
|
|
|
|
6. |
Защита вода и вывода на отчуждаемый носитель информации |
- |
- |
|
+ |
= |
= |
= |
|
7. |
Сопоставление пользователя с устройством |
- |
- |
|
|
|
|
|
|
8. |
Идентификация и аутентификация |
+ |
= |
|
+ |
= |
= |
= |
|
9.Гарантиии проектирования |
- |
+ |
|
+ |
+ |
+ |
+ |
||
10. |
Регистрация |
- |
+ |
|
+ |
+ |
= |
= |
|
11 Взаимодействие пользователя с комплексом средств защиты |
- |
- |
|
- |
+ |
= |
= |
||
12. |
Надежное восстановление |
- |
- |
|
- |
+ |
= |
= |
|
13. |
Целостность комплекса средств защиты |
- |
+ |
|
+ |
+ |
= |
= |
|
14. |
Контроль модификации |
- |
- |
|
- |
- |
+ |
= |
|
15. |
Контроль дистрибуции |
- |
- |
|
- |
- |
+ |
= |
|
16. |
Гарантии архитектуры |
- |
- |
|
- |
- |
- |
+ |
|
17. |
Тестирование |
+ |
+ |
|
+ |
+ |
+ |
= |
|
18. |
Руководство пользователя |
+ |
= |
|
= |
= |
= |
= |
|
19. |
Руководство по комплексу средств защиты |
+ |
+ |
|
+ |
+ |
+ |
= |
|
20. |
Тестовая документация |
+ |
+ |
|
+ |
+ |
+ |
+ |
|
21. |
Конструкторская (проектная) документация |
+ |
+ |
|
+ |
+ |
+ |
+ |
|
|
|
Обозначения: |
|
|
|
|
|
|
|
|
|
"-" нет требований к данному классу |
|
|
|
|
|
|
|
|
|
"+" новые или дополнительные требования |
|
|
|
|
|
|
|
"=" требования совпадают с требованиями к СВТ предыдущего класса
366
Для каждой пары (субъект-объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, регулирующий дискреционный принцип контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.
Право изменять ПРД должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).
Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
Должен быть предусмотрен механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых. Под «явными» здесь подразумеваются действия, осуществляемые с использованием системных средств, а под «скрытыми» - иные действия, в том числе с использованием собственных программ работы с устройствами.
1.3. Для реализации мандатного (полномочного) принципа контроля доступа каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических
367
категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
При вводе новых данных в систему должны быть запрошены и получены от санкционированного пользователя классификационные метки этих данных. При санкционированном внесении в список пользователей нового субъекта ему должны быть назначены классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
Должна быть предусмотрена возможность реализации мандатного принципа контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
а) субъект может читать объект, если уровень иерархической классификации в классификационном уровне субъекта не меньше, чем уровень иерархической классификации в классификационном уровне субъекта, и неиерархические категории в классификационном уровне субъекта включают в себя все неиерархические категории в классификационном уровне объекта;
б) субъект осуществляет запись в объект, если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все неиерархические категории в классификационном уровне субъекта включены в неиерархические категории в классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможности сопровождения - изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
368
В СВТ должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех сообщений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ следует принимать только при одновременном разрешении его дискреционными и мандатными ПРД. Таким образом, должны быть контролируемыми не только единичный акт доступа, но и потоки информации.
1.4.В СВТ должна быть обеспечена идентификация субъектов при запросах на доступ, должна проверяться подлинность идентификатора субъекта - осуществляться аутентификация. СВТ должно располагать необходимыми данными для идентификации и аутентификации и препятствовать доступу к защищаемым ресурсам неидентифицированных субъектов или субъектов, чья подлинность при аутентификации не подтвердилась.
СВТ должно обладать способностью связывать полученный результат идентификации и аутентификации со всеми действиями, относящимися к контролю, предпринимаемыми в отношении данного субъекта.
1.5.В СВТ должна осуществляться очистка оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей информации в память при ее освобождении (перераспределении).
1.6.При наличии в СВТ мультипрограммирования в интересах защиты информации должен существовать про- граммно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей (других субъектов), т.е. в оперативной памяти компьютера программы разных пользователей должны быть защищены друг от друга.
369
1.7.В СВТ должно быть обеспечено различение каждого устройство ввода-вывода и каждого канала связи как произвольно используемых или как идентифицированных («помеченных»). При вводе с «помеченного» устройства (выводе на «помеченное» устройство) должно обеспечиваться соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно быть при работе с «помеченным» каналом связи.
Изменения в назначении и разметке устройств и каналов должны осуществляться только под соответствующим контролем.
1.8.В СВТ должен обеспечиваться вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки). При этом должен быть реализован механизм, с помощью которого санкционированный пользователь надежно сопоставляется
свыделенным ему идентифицированным устройством.
2.Требования к учету.
2.1.Требования к учету определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
регистрация;
маркировка документов.
2.2Должна обеспечиваться регистрация следующих
событий:
а) использование идентификационного и аутентификационного механизма
б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);
в) создание и уничтожение объекта; г) действия, связанные с изменением ПРД.
370