- •5. Критерии безопасности
- •5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •5.2. Европейские критерии безопасности информационных технологий
- •5.3. Федеральные критерии безопасности информационных технологий
- •1. Требования к реализации политики безопасности
- •2. Мониторинг взаимодействий
- •3. Логическая защита яз
- •4. Физическая защита яз
- •5.4. Канадские критерии безопасности компьютерных систем
- •1. Объекты и субъекты
- •2. Теги
- •5.5. Единые критерии безопасности информационных технологий
- •I. Базовые понятия «Единых критериев»
- •5.6. Документы государственной технической комиссии России
- •Показатели защищенности по классам свт
- •Требования к защищенности ас
1. Требования к реализации политики безопасности
Требования описывают функции ЯЗ, реализующие политику безопасности, и состоят из четырех групп:
требования к политике аудита.
Основная задача политики управления аудитом – обеспечить возможность однозначной идентификации субъекта, ответственного за те или иные действия в системе.
Идентификация и аутентификация позволяют установить однозначное соответствие между пользователями и субъектами, инициализированными от имени конкретного пользователя (субъектами, которые представляют пользователей в КС), а также подтвердить подлинность этого соответствия.
Регистрация пользователя в системе означает создания субъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя. К процедуре регистрации также относится учет места, времени и других параметров подключения к системе и ее блокирования во время отсутствия пользователя.
Обеспечения прямого взаимодействия с ЯЗ гарантирует, что пользователь взаимодействует с компонентами ЯЗ напрямую, т.е. информация, которая передается в ЯЗ и обратно, не подвергается перехвату или искажению.
Поддержка прямого взаимодействия с ЯЗ особенно важна для управления безопасностью.
Регистрация и учет событий в системе позволяют распознавать потенциально опасные ситуации и сигнализировать о случае нарушения безопасности. Регистрация событий включает распознавание, учет и анализ действий пользователя, представляющих интерес с точки зрения безопасности.
политика управления доступом.
Содержит следующие разделы:
а) произвольное управление доступом позволяет осуществлять назначение прав доступа с точностью до идентифицируемых субъектов и объектов, а также поддерживаемых типов доступа и, кроме того, обеспечивает контроль за распространением прав доступа среды субъектов.
б) нормативное управление доступом основано на контроле информационных потоков между субъектами и объектами, а также их атрибутов безопасности, что позволяет регламентировать порядок использования информации в системе.
в) контроль скрытых каналов учетом информации включает технические и административные меры, направленные на ликвидацию таких каналов посредством ликвидации объема совместно используемых ресурсов и введены активных «нулевых линий».
Политика управление доступом является основным механизмом защиты, т. к. непосредственно обеспечивает конфиденциальность и целостность обрабатываемой информации.
политика обеспечения работоспособности системы.
Включает:
а) контроль за распределением ресурсов – осуществляется посредством введения ограничений (квот) на их потребление или приоритетной системы распределения ресурсов;
в) обеспечение отказа устойчивости входит в сферу безопасности наравне с другими требованиями, т.к. противостоит угрозам работоспособности.
Обеспечение работоспособности позволяет гарантировать доступность ресурсов и сервиса системы, а также корректное восстановление системы сбоя.
управление безопасностью.
Регламентирует следующие аспекты функционирования системы:
а) компоновка, установка, конфигурация и поддержка ЯЗ;
б) администрирование атрибутов безопасности пользователей (идентификаторов, полномочий, доступных ресурсов и т. д.)
в) администрирование политики управления доступом;
г) управление потреблением ресурсов системы;
д) аудит действий пользователя.