- •5. Критерии безопасности
- •5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •5.2. Европейские критерии безопасности информационных технологий
- •5.3. Федеральные критерии безопасности информационных технологий
- •1. Требования к реализации политики безопасности
- •2. Мониторинг взаимодействий
- •3. Логическая защита яз
- •4. Физическая защита яз
- •5.4. Канадские критерии безопасности компьютерных систем
- •1. Объекты и субъекты
- •2. Теги
- •5.5. Единые критерии безопасности информационных технологий
- •I. Базовые понятия «Единых критериев»
- •5.6. Документы государственной технической комиссии России
- •Показатели защищенности по классам свт
- •Требования к защищенности ас
5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
Данные критерии или стандарт TCSEC, получившие название «Оранжевая книга», ориентированы на обеспечение безопасности информации в компьютерных системах. При этом понятие «обеспечение безопасности информации» основывается на следующем предположении: компьютерная система является безопасной, если она обеспечивает контроль за доступом к информации так, что только надлежащим образом уполномоченные лица или процессы, функционирующие от их имени, имеют право читать, писать, создавать или уничтожать информацию.
Критерии безопасности, изложенные в «Оранжевой книге», ориентированны в основном на разработку и сертификацию многопользовательских операционных систем и требуют определенной интерпретации для применения в других областях, например для баз данных и сетей.
«Критерии безопасности компьютерных систем» (Trusted Computer System Evalualion Сriteria) были разработаны и опубликованы Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем и выработки методики и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения.
Без преувеличения можно утверждать, что в «Оранжевой книге» заложен понятийный базис информационной безопасности. Достаточно лишь перечислить содержащиеся в нем понятия: безопасная и доверенная системы; монитор обращений; ядро и периметр безопасности; критерии (требования), политика, уровни и классы безопасности.
Безопасная система – система, управляющая доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию.
Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.
Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.
Одна из ключевых функций доверенной системы – выполнение функции монитора обращений, т. е. контроля допустимости выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями).
Реализация монитора обращений называется ядром безопасности, а граница доверенной системы – периметром безопасности.
Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.
В «Оранжевой книге» предложены три критерия требований безопасности:
политика безопасности;
аудит;
корректность,
и сформулированы шесть базовых требований безопасности.
Первые четыре требования касаются того, что необходимо предусмотреть для управления доступом к информации, а два последних призывают обеспечить гарантию того, что система удовлетворяет требованиям с первого по четвертое. Требования приведены в таблице.
Таблица
|
Требования в отношении политики безопасности: | ||
|
Политика безопасности
|
Требование 1
|
Система должна поддерживать точно определенную политику безопасности. Возможность осуществления доступа субъекта к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна пользоваться политика мандатного управления доступом |
|
Метки |
Требование 2 |
С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа |
|
Идентификация и аутентификация |
Требование 3
|
Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должны осуществлять на основании идентификации и аутентификации субъектов и объектов доступа и правил разграничения доступа |
Продолжение таблицы
|
Требования в отношении политики безопасности: | ||
|
Регистрация и учет
|
Требование 4
|
Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения |
|
Требования в отношении корректности: | ||
|
Контроль корректности функционирования средств защиты |
Требование 5
|
Все средства защиты, обеспечивающие политику безопасности, управление атрибутами и штатами безопасности, идентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип корректности должен состоять в том, что средства контроля должны быть полностью независимы от средств защиты |
|
Непрерывность защиты |
Требование 6
|
Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты к компьютерной системы. Выполнение этого требования является одной из ключевых аксиом, используемых для функционального доказательства безопасности системы |
Группы безопасности компьютерных систем
Согласно «Оранжевой книге» для оценки защищенности информационных систем рассматриваются четыре группы безопасности, соответствующие различным степеням защищенности: от формально доказанной (группа A) до минимальной (группа D). В некоторых случаях группы безопасности A, B, C, D делятся на классы безопасности, например, B1, B2, B3.
D; C1, C2; B1, B2, B3; A.
Уровень безопасности возрастает от группы D к группе A, а внутри группы с возрастанием номера класса.
Группа D. Минимальная защита
Класс D – к этому классу относятся все системы, которые не удовлетворяют требованиям других классов.
Группа C. Произвольное управление доступом (дискреционная защита) и регистрация действий субъектов
Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделение пользователей и информации и включают средства контроля и управления доступом.
Класс рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.
Класс C2. Управление доступом. Осуществляется более гибкое управление доступом. Для этого применяются средства индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
Группа B. Мандатная защита
Основные требования к классам этой группы:
нормативное управление доступом с использованием меток безопасности;
поддержка модели и политики безопасности;
наличие спецификаций на функции достоверной вычислительной базы (ТСВ) – монитор взаимодействий (МБО) должен контролировать все потоки (события) в системе.
Класс В1. Защита с применением меток безопасности. Системы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформальную модель безопасности, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостатки должны быть устранены.
Класс В2. Структурированная защита. Доверенная вычислительная база (ТСВ) должна поддерживать формально определенную и четко документированнуюмодель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется на все субъекты. В системе должен осуществляться контроль скрытых каналов утечки информации. В структуре ядра защиты должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация должны быть выполнены с учетом возможности проведения типовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью должно осуществляться администратором системы. Кроме того, должны быть предусмотрены средства управления конфигураций.
Класс В3. Домены безопасности. Ядро защиты системы должно включать монитор взаимодействии, который контролирует все типы доступа субъектов к объектам (т. е. требуется гарантирование заданной политики безопасности). Кроме того, из ядра защиты должны быть исключены подсистемы, не отвечающие за реализацию функций защиты, а само ядро должно быть достаточно компактным для эффективного тестирования и анализа. В ходе разработки и реализации ядра защиты должны применяться методы и средства, направленные на минимизацию его сложности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.
Группа А. Верифицированная защита
Верификация – проверка правильности (соответствия некоторым требованиям (критериям), процесс сравнения.
Группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра защиты отвечают требованиям безопасности.
Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса В3, и к ним не предъявляются никаких дополнительных функциональных требований. Отличие состоит в том, что в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получать корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии проектирования с построения формальной модели политики безопасности. Для обеспечения эффективности применения методов верификации системы класса А1 должны содержать более мощные средства управления конфигурацией и защищенную процедуру дистрибуции (установки и распространения).
Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты.
Выводы. «Критерии безопасности компьютерных систем» Министерства Обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на проектировщиков, разработчиков, потребителей и специалистов по сертификации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределено доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации, и исключение возможностей ее разглашения. Большое внимание уделено меткам конфиденциальности (грифом секретности) и правилам экспорта секретной информации.
Требования по гарантированию политики безопасности отражены поверхностно, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержанию их работоспособности, чего явно недостаточно.
"Оранжевая книга" послужила основой для разработки всех остальных стандартов информационной безопасности, в том числе Российских стандартов, принятых Гостехкомиссией, и современных международных критериев безопасности информационных технологий, и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.