1.

Ранжированные функциональные требования "Федеральных критериев безопасности информационных технологий"

Данное приложение представляет собой ранжированный перечень функ- циональных требований, содержащийся в соответствующем разделе "Феде- ральных критериев". Данное изложение отражает только принципиальную суть требований и не претендует на перевод стандарта как руководящего документа.

Описание требований следует приведенным в разд. 2.8 требованиям в по- рядке возрастания уровня обеспечиваемой защиты. Описание каждого раздела требований начинается с его краткого описания и обзора предусмотренных уров- ней ранжирования, идентификаторы уровней сохранены в том виде, в каком они присутствуют в первоисточнике. Описание требований на каждом уровне приво- дится в виде дополнений и изменений по сравнению с предыдущем уровнем.

1. Идентификация и аутентификация

Идентификация и аутентификация принадлежат к основным компонентам политики безопасности. Отсутствие или низкая надежность процедур идентифи- кации и/или аутентификации не позволяет противостоять атакам неавторизован- ных субъектов путем предотвращения их регистрации в системе и отказа в полу- чении доступа к ее ресурсам. Надежность механизмов идентифика- ции/аутентификации напрямую влияет на уровень безопасности всей системы в целом. При необходимости эти процедуры могут быть усилены совместным при- менением нескольких механизмов идентификации и аутентификации.

Требования идентификации и аутентификации ранжируются на основании уровня предоставляемых возможностей. Уровень IA-1 включает только аутенти- фикацию пользователей и предназначен для простейших систем, типа систем кон- троля доступа в помещения, в которых кроме идентификации и аутентификации реализована только функция регистрации входа. На уровне IA-2 предполагается наличие специальных атрибутов (признаков), идентифицирующих конкретного субъекта и позволяющих выполнить его авторизацию (предоставить ему соответ- ствующие права для работы в системе). Этот уровень наиболее широко использу- ется в операционных системах, в которых существуют атрибуты, определяющие степень привилегированности субъектов и уровень конфиденциальности объектов. Данные возможности расширяются на уровне IA-3 путем регламентации принци- пов обработки результатов аутентификации, а также требованиями к хранению, защите и предоставлению информации о результатах идентификации и аутенти- фикации пользователей. Этот уровень используется в системах с четко определен- ной политикой управления доступом. На уровне IA-4 происходит дальнейшее расширение требований, заключающееся в предоставлении возможностей уста- новки специальных механизмов идентификации и аутентификации и их назначе- ния для индивидуального пользователя и/или группы пользователей. На уровне

Приложение 1

IA-5 требуется реализация нескольких независимых механизмов аутентификации пользователей.

Уровень IA-1. Минимальная идентификация и аутентификация.

1. ТСВ должна обеспечивать возможность идентификации каждого поль- зователя до начала выполнения им любых действий. ТСВ должна устанавливать индивидуальные полномочия пользователя в соответствии с его уникальным идентификатором. ТСВ должна обеспечивать возможность установления соответ- ствия каждого регистрируемого в системе события с идентификатором иницииро- вавшего его пользователя.

2. ТСВ должна использовать механизм аутентификации по паролю для проверки подлинности соответствия пользователя и его идентификатора.

3. ТСВ должна обеспечивать защиту данных, используемых для идентифи- кации и аутентификации, с целью предотвращения доступа к ним неуполномочен- ных пользователей.

Уровень IA-2. Идентификация, аутентификация и авторизация.

1. Без изменений.

2. Изменение. Используемые для аутентификации данные должны вклю- чать информацию, необходимую как для проверки подлинности пользователя (например, пароль), так и для реализации политики безопасности (атрибуты поль- зователей, имена групп и ролей, уровни привилегированности субъектов и конфи- денциальности объектов, временные интервалы и т. д.). Эти данные должны ис- пользоваться ТСВ для контроля действий пользователя в соответствии с дейст- вующей в системе политикой безопасности.

3. Без изменений.

Уровень IA-3. Идентификация и аутентификация с контролем исключи- тельных ситуаций.

1. Без изменений.

2. Без изменений.

1. Дополнение. ТСВ должна обеспечивать выполнение процедуры аутенти- фикации вне зависимости от результата проведения процедуры идентификации (например, требовать пароль даже в случае ввода несуществующего имени поль- зователя).

ТСВ должна прекращать выполнение процедуры входа в систему в случае неудачного проведения идентификация и/или аутентификации пользователя по- следовательно произошедших заданное администратором число раз. В этом слу- чае ТСВ должна оповестить администратора, зафиксировать данное событие в системном журнале и приостановить дальнейшее выполнение процедуры входа в систему на время, определенное администратором, или отказать пользователю в доступе вообще.

4. ТСВ должна обеспечивать хранение, защиту и предоставление информа- ции о статусе и атрибутах всех активных пользователей, зарегистрированных в системе и о бюджетах всех пользователей, существующих в системе.

Уровень IA-4. Назначение процедур идентификации и аутентификации. 1. Дополнение. ТСВ должна обеспечивать возможность идентификации

Требования Федеральных критериев

каждого привилегированного субъекта.

2. Дополнение. ТСВ должна обеспечивать возможность внедрения новых механизмов аутентификации (например на основе электронных карт или биомет- рических характеристик), дополняющих уже существующие. ТСВ должна обеспе- чивать возможность назначения различных механизмов аутентификации каждому пользователю в зависимости от его атрибутов.

2. Без изменений.

3. Без изменений.

Уровень IA-5. Комбинированное применение независимых механизмов идентификации и аутентификации.

1. Без изменений.

1. Дополнение. К каждому пользователю должны применяться два или бо- лее независимых механизма аутентификации. Аутентификация считается успеш- ной, если все назначенные пользователю механизмы аутентификации подтвердили соответствие его идентификатора. ТСВ должна обеспечивать возможность назна- чения пользователю механизмов аутентификации в соответствии с атрибутам по- литики безопасности.

2. Без изменений.

3. Без изменений.

2. Регистрация пользователя в системе

Управление регистрацией пользователя в системе позволяет соблюсти тре- бования политики аудита с помощью учета места, времени, способа и режима подключения пользователя к системе. Кроме того, управление регистрацией обес- печивает гарантию того, что зарегистрированный пользователь будет нести ответ- ственность за выполняемые действия.

Процесс регистрации пользователя в системе должен управляться и кон- тролироваться ТСВ. Должны быть четко определены условия, при которых воз- можно создание субъекта или субъектов, представляющих данного пользователя. Эти условия должны определяться на основании значений атрибутов пользовате- ля, определяющих его статус, принадлежность к группе, возможные роли, степень полномочий, период разрешенного для работы времени, доступный ему сервис и ресурсы системы.

Требования к процедуре регистрации в системе ранжируются на основании обеспечиваемых возможностей защиты. Требования уровня SE-1 включает в себя только простейшие возможности по управлению регистрацией в системе в соот- ветствии с принадлежностью пользователя к определенной группе или выполне- ния им конкретной роли, а также степени его привилегированности. Этот уровень может использоваться в большинстве систем, поддерживающих выделенную са- мостоятельную процедуру регистрации пользователя. Системы, не реализующие отдельно такой процедуры в явном виде, используют для этой цели механизмы идентификации и аутентификации (по сути, идентификация и аутентификация могут считаться начальными процедурами управления регистрацией пользователя в системе). Уровень SE-2 дополнен возможностями учета времени и места регист- рации пользователя в систему. На уровне SE-3 у пользователя появляются воз-

Приложение 1

можности блокировать (приостанавливать) и возобновлять сеанс работы с систе- мой.

Уровень SE-1. Базовый механизм управления регистрацией пользователя в системе.

1. Перед началом выполнения процедуры регистрации пользователя в сис- теме (процедуры login) ТСВ должна соответствующим сообщением предупреж- дать пользователя о недопустимости попытки неавторизованного проникновения в систему и о возможных последствиях подобных действий.

2. Перед началом сеанса работы (до разрешения регистрации) ТСВ должна выполнить процедуры идентификации и аутентификации пользователя. Если в ТСВ предусмотрена поддержка одновременного подключения нескольких незави- симых сеансов работы пользователя, то должен быть реализован механизм кон- троля количества одновременных подключений и не превышения их максималь- ного числа.

3. ТСВ должна осуществлять регистрацию только в соответствии с под- твержденными аутентификацией атрибутами пользователя. Условия предоставле- ния доступа к системе определяются на основании атрибутов пользователя в рам- ках политики безопасности. Если эти условия не определены явным образом, ис- пользуются условия, принятые по умолчанию (например, успешная аутентифика- ция пользователя).

4. ТСВ должна включать в себя защищенные механизмы, при помощи ко- торых уполномоченный пользователь (администратор) может управлять атрибу- тами пользователей, используемыми при их регистрации в системе. Должны быть определены условия, при которых непривилегированный пользователь может оз- накомиться с собственными атрибутами, но не изменить их.

5. После успешной регистрации пользователя в системе ТСВ должна пре- доставлять ему следующую информацию (без возможности ее модификации):

- место, время, режим, терминал или порт последней успешной регистра- ции пользователя;

- количество неуспешных попыток регистрации с использованием его идентификатора, зафиксированное между последним и текущим сеансом работы.

6. ТСВ должна обеспечивать блокирование (приостановку) или прерыва- ние и завершение сеанса работы пользователя по истечению устанавливаемого администратором интервала отсутствия активности со стороны пользователя.

Уровень SE-2. Управление регистрацией в системе с учетом времени и места подключения.

1. Без изменений.

2. Без изменений.

3. Дополнение. ТСВ должна реализовывать механизм разреше- ния/запрещения регистрации в системе на основании контроля допустимого пе- риода времени регистрации. Условия контроля периода времени должны быть определены для времени суток, дней недели и отдельных календарных дат.

ТСВ должна реализовывать механизм разрешения/запрещения регистрации в системе на основании контроля местоположения пользователя (используемых терминалов или портов). При необходимости должны быть также определены

Требования Федеральных критериев

условия удаленного подключения пользователей по каналам связи.

4. Без изменений.

5. Без изменений.

6. Без изменений.

Уровень SE-3. Блокировка и восстановление сеанса работы пользователя.

1. Без изменений.

2. Без изменений.

3. Без изменений.

4. Без изменений.

5. Без изменений.

1. Дополнение. ТСВ должна поддерживать механизм блокировки и возоб- новления сеанса работы пользователя по его команде, или по истечению заданно- го администратором интервала отсутствия активности со стороны пользователя. Этот механизм должен обеспечивать:

• очистку экрана терминала для предотвращения возможности считывания с него информации и блокировку клавиатуры и других средств ввода информации;

• запрет на любые действия в системе с использованием заблокированных средств ввода-вывода информации на время приостановки сеанса пользователя;

• выполнение процедур идентификации и аутентификации пользователя перед возобновлением сеанса работы.

3. Обеспечение прямого взаимодействия с ТСВ

Функциональные требования, обеспечивающие прямое взаимодействие с ТСВ, ранжируются в зависимости от допустимой сферы применения и обеспечи- ваемых возможностей защиты. Минимальный уровень ТР-1, предполагает нали- чие гарантированного канала взаимодействия пользователя с ТСВ, используемого для выполнения процедуры регистрации в системе. На уровне ТР-2 прямое взаи- модействие с ТСВ обеспечивается не только для процесса регистрации, но и для других процессов, требующих обеспечения гарантированно достоверного канала взаимодействия между пользователем, выполняющим действия, критичные с точ- ки зрения безопасности (например администрирование атрибутов безопасности), и ТСВ. На уровне ТР-3 обеспечивается гарантированно достоверный канал взаимо- действия между пользователем и доверенными приложениями, позволяющими ему работать с критичной информацией.

Уровень ТР-1. Обеспечение прямого взаимодействия с ТСВ для процедуры

регистрации в системе.

ТСВ должна обеспечивать гарантированно достоверный канал взаимодей- ствия с пользователем в ходе процесса его идентификации и аутентификации во время регистрации в системе. Инициация прямого взаимодействия с ТСВ должна осуществляться только со стороны пользователя.

Уровень ТР-2. Обеспечение прямого взаимодействия пользователя с ТСВ.

Дополнение. ТСВ должна обеспечивать гарантированно достоверный канал для всех видов взаимодействий с пользователем (регистрация в системе, измене- ние атрибутов защиты и т.д.). Данный канал должен предусматривать возмож-

Приложение 1

ность инициации как со стороны пользователя, так и ТСВ, и должен быть изоли- рован от других аналогичных каналов, обладать уникальными характеристиками.

Уровень ТР-3. Обеспечение прямого взаимодействия пользователя с дове- ренными приложениями.

Дополнение. ТСВ должна обеспечивать гарантированно достоверный канал прямого взаимодействия пользователя с доверенными приложениями (например, для ввода или вывода критичной с точки зрения безопасности информации).