2589

числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.

Право изменять правила разграничения доступа должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).

Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

Должен быть предусмотрен механизм, претворяющий в жизнь дискреционные правила разграничения доступа, как для явных действий пользователя, так и для скрытых. Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств, а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.

Для реализации МАНДАТНОГО (полномочного) принципа контроля доступа каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить ОСНОВОЙ мандатного принципа разграничения доступа.

При вводе новых данных в систему должны быть запрошены и получены от санкционированного пользователя классификационные метки этих данных. При санкционированном внесении в список пользователей нового субъекта ему должны быть назначены классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри СЗИ).

Должна быть предусмотрена возможность реализации МАНДАТНОГО принципа контроля доступа приме-

291

нительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

а) субъект может читать объект, если уровень иерархической классификации в классификационном уровне субъекта не меньше, чем уровень иерархической классификации в классификационном уровне субъекта, и неиерархические категории в классификационном уровне субъекта включают в себя все неиерархические категории в классификационном уровне объекта;

б) субъект осуществляет запись в объект, если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все неиерархические категории в классификационном уровне субъекта включены в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения - изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

ВСВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех сообщений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ следует принимать только при одновременном разрешении его дискреционными и мандатными правилами разграничения доступа . Таким образом, должны быть контролируемыми не только единичный акт доступа, но и потоки информации.

ВСВТ должна быть обеспечена идентификация субъектов при запросах на доступ, должна проверяться подлинность идентификатора субъекта - осуществляться

292

аутентификация. СВТ должно располагать необходимыми данными для идентификации и аутентификации и препятствовать доступу к защищаемым ресурсам неидентифицированных субъектов или субъектов, чья подлинность при аутентификации не подтвердилась.

СВТ должно обладать способностью связывать полученный результат идентификации и аутентификации со всеми действиями, относящимися к контролю, предпринимаемыми в отношении данного субъекта.

ВСВТ должна осуществляться очистка оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей информации в память при ее освобождении (перераспределении).

При наличии в СВТ мультипрограммирования в интересах защиты информации должен существовать про- граммно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей (других субъектов), т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

ВСВТ должно быть обеспечено различение каждого устройство ввода-вывода и каждого канала связи как произвольно используемых или как идентифицированных ("помеченных"). При вводе с "помеченного" устройства (выводе на "помеченное" устройство) должно обеспечиваться соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем ) и меткой устройства. Такое же соответствие должно быть при работе с "помеченным" каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под соответствующим контролем.

293

В СВТ должен обеспечиваться вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки). При этом должен быть реализован механизм, с помощью которого санкционированный пользователь надежно сопоставляется с выделенным ему идентифицированным устройством.

2. Требования к учету Требования к учету определяют следующие показа-

тели защищенности, которые должны поддерживаться СВТ:

-регистрация;

-маркировка документов.

Должна обеспечиваться регистрация следующих событий:

а) использование идентификационного и аутентификационного механизма

б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);

в) создание и уничтожение объекта; г) действия, связанные с изменением ПРД.

Для каждого из этих событий должна быть зарегистрирована следующая информация:

-дата и время;

-субъект, осуществляющий регистрируемое дейст-

вие;

-тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);

-успешно ли осуществилось событие (обслужен запрос на доступ или нет).

При защите должно быть обеспечено выборочное ознакомление с регистрационной информацией.

294

Для высоких классов защищенности СВТ должна быть предусмотрена РЕГИСТРАЦИЯ всех попыток доступа, всех действий оператора и выделенных субъектов (например, администраторов защиты).

В СВТ должен быть обеспечен вывод защищаемой информации на документ вместе с ее классификационной меткой.

3. Требования к гарантиям Требования к гарантиям определяют следующие

"показатели защищенности", которые должны поддерживаться СВТ :

а) гарантии проектирования; б) надежное восстановление;

в) целостность средств и комплексов средств защиты, установленных в СВТ;

г) контроль модификации; д) контроль дистрибуции; е) гарантии архитектуры;

ж) взаимодействие пользователя со средствами и комплексами средств защиты, установленными в СВТ;

з) тестирование.

На начальном этапе при проектировании механизмов защиты СВТ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:

а) непротиворечивые правила разграничения досту-

па;

б) непротиворечивые правила изменения правил разграничения доступа;

в) правила работы с устройствами ввода и вывода; г) формальную модель механизма управления дос-

тупом.

295

Спецификация программных или программноаппаратных средств, применяемых для защиты СВТ и реализующих механизм управления доступом и его интерфейсы, должна быть высокоуровневой. Эта спецификация должна быть верифицирована на соответствие заданным принципам разграничения доступа.

Для высоких классов защищенности СВТ должно быть предусмотрено, чтобы высокоуровневые спецификации были отображены последовательно в спецификации одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации на языке программирования высокого уровня.

Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств защиты.

В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части применяемого комплекса средств защиты.

Программы по обеспечению защиты информации должны выполняться в отдельной части оперативной памяти. Это требование должно быть подвергнуто верификации.

При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, то есть управление изменениями в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Между документацией и текстами программ должно быть соответствие. Генерируемые версии должны быть сравнимыми. Оригиналы программ должны быть защищены.

При изготовлении копий с оригинала СВТ должен быть осуществлен контроль точности копирования про-

296

граммных или программно-аппаратных средств защиты информации. Изготовленная копия должна гарантированно повторять образец.

Защита должна обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.

ВСВТ должна быть предусмотрена модульная и четко определенная структура построения комплекса средств защиты информации, что делает возможными его изучение, анализ, верификацию и модификацию. Должен быть обеспечен надежный интерфейс пользователя, который должен быть логически изолирован от других интерфейсов.

ВСВТ должны тестироваться:

а) реализация правил разграничения доступа (перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов на доступ, функционирование средств защиты механизма разграничения доступа, санкционированные изменения правил разграничения доступа и др.);

б) очистка оперативной и внешней памяти; в) работа механизма изоляции процессов в опера-

тивной памяти; г) маркировка документов;

д) защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;

е) идентификация и аутентификация, а также средства их защиты;

ж) регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;

з) работа механизма надежного восстановления;

297

и) работа механизма, осуществляющего контроль за целостностью комплекса средств защиты;

к) работа механизма, осуществляющего контроль дистрибуции.

4. Требования к документации .

При приемке СВТ, их сертификации и испытаниях других видов необходимо подробное и всестороннее описание принятых мер защиты информации (комплекса средств защиты), т.е. необходима документация, включающая в себя:

а) руководство пользователя; б) руководство по защите информации (комплексу

средств защиты); в) текстовую документацию;

г) конструкторскую (проектную) документацию. Руководство пользователя должно включать в себя

краткое описание способов использования комплекса средств защиты и его интерфейсов с пользователем.

Руководство по защите (комплексу средств защиты) адресовано администратору защиты и должно содержать;

а) описание контролируемых функций; б) руководство по генерации комплекса средств за-

щиты;

в) описание старта СВТ и процедур проверки правильности старта;

г) описание процедур работы со средствами регист-

рации;

д) руководство по средствам надежного восстанов-

ления;

е) руководство по средствам контроля модификации и дистрибуции.

298

Тестовая документация должна содержать описание тестов и испытаний, которым подвергались СВТ, а также результатов тестирования.

Конструкторская (проектная) документация должна содержать:

а) общее описание принципов работы СВТ; б) общую схему защиты информации (применяемо-

го в СВТ комплекса средств защиты); в) описание интерфейсов защиты информации; г) описание модели защиты; д) описание диспетчера доступа;

е) описание механизма контроля целостности комплекса средств защиты;

ж) описание механизма очистки памяти; з) описание механизма изоляции программ в опера-

тивной памяти; и) описание средств защиты ввода и вывода на от-

чуждаемый физический носитель информации и сопоставления пользователя с устройством;

к) описание механизма идентификации и аутентификации;

л) описание средств регистрации; м) высокоуровневую спецификацию программных и

программно-аппаратных средств защиты и их интерфейсов;

н) верификацию соответствия высокоуровневой спецификации комплекса средств защиты модели защиты; о) описание гарантий проектирования и эквива-

лентность дискреционных и мандатных ПРД.

Таковы требования, которые должны предъявляться к СВТ, применяемым в ИТКС.

299

13. ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ПРЕДЪЯВЛЯЕМЫЕ К ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫМ СИСТЕМАМ

Информационно-телекоммуникационные системы являются автоматизированными системами, требования к которым по защите информации от НСД устанавливаются в соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", 1992.

Согласно этому документу комплекс средств защиты и организационных (процедурных) решений по защите информации от НСД должен реализовываться в рамках системы защиты информации от НСД, включающей в себя следующие четыре подсистемы:

управления доступом; регистрации и учета; криптографической; обеспечения целостности.

Состав указанных подсистем зависит от класса защиты ИТКС. Выбор требуемого класса защиты определяется:

*перечнем защищаемых информационных ресурсов ИТКС и их уровнем конфиденциальности;

*перечнем лиц, имеющих доступ к штатным средствам ИТКС, с указанием их уровня полномочий;

*матрицей доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам ИТКС;

*режимом обработки данных в ИТКС.

В зависимости от указанных признаков может быть введен один из девяти классов защищенности информаци-

300