Рд гостехкомиссии «Средства вт. Защита от нсд к информации. Показатели защищенности от нсд к информации.»

Всего устанавливается 7 классов защищенности СВТ от НСД. Самый низкий — 7, самый высокий — 1. При этом эти 7 классов подразделяются на 4 группы, которые отличаются по уровням защиты. 1 группа содержит только 7 класс. 2 группа характеризуется дискреционной защитой, в нее входят 6 и 5 класс. К 3 группе относятся 4, 3 и 2 классы, характеризуется мандатной защитой. 4 группа содержит 1 класс, характеризуется верифицированной защитой. Выбор класса защищенности СВТ для АС, создаваемых на базе защищенный СВТ зависит от грифа секретности, обрабатываемого в АС, а также условия эксплуатации и расположения объекта информатизации. Применение в комплекте СВТ СКЗИ по отечественному стандарту шифрования ГОСТ 28147-89 может быть использован для повышения гарантий качества защиты.

Требования к показателям защищенности 6 класса:

1. Дискреционный принцип контроля доступа. Комплекс средств защиты должен контролировать доступ пользователей к наименованным объектам (файлам, томам, и т. д.). Для каждой пары субъект-объект в средстве ВТ должно быть задано явное или недвусмысленное перечисление допустимых типов доступа. Контроль доступа должен быть применим к каждому объекту и каждому субъекту. Механизм, реализующий дискреционный принцип контроля доступа должен предусматривать возможность санкционированного изменения правил разграничения доступа. Права изменения данных правил должны предоставляться выделенным субъектам, таким как администратор безопасности.

2. Идентификация и аутентификация. Комплекс средств защиты должен требовать от пользователей идентифицировать себя при запросе на доступ. Комплекс средств защиты должен подвергать проверке подлинность идентификации, осуществлять аутентификацию. При этом комплекс средств защиты должен препятствовать доступу к защищаемым ресурсам, не идентифицированных пользователей.

3. Тестирование. СВТ 6 класса должны тестироваться. Реализация правил дискреционных правил разграничения доступом, то есть перехват как явных, так и скрытых вопросов, правильного распознавания санкционированных и несанкционированных запросов на доступ, санкционированное изменение правил разграничение доступа. Успешное осуществление идентификации и аутентификации, а также их средств защиты.

4. Документация: руководство пользователя, руководство по комплексу средства защиты, тестовая документация, конструкторская документация.

Требования к показателям защищенности 5 класса:

1. Дискреционный принцип контроля доступа. Все из 6 класса, кроме этого, должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

2. Очистка памяти. При первоначальном назначении или при перераспределении внешней памяти комплекс средств защиты должен предотвращать доступ субъекту к остаточной информации.

3. Идентификация и аутентификация. Все из 6 класса.

4. Гарантии проектирования. На этапе проектирования СВТ должна быть построена модель защиты, при этом она должна включать правила разграничения доступа к объектам и правила изменения этих правил разграничения доступа.

5. Регистрация. Комплекс средств защиты должен осуществлять регистрацию следующих событий:

   1. Использование идентификационного и аутентификационного механизма.

   2. Запрос на доступ к защищаемому ресурсу.

   3. Создание и уничтожение объекта

   4. Действия по изменению правил разграничения доступа.

Для каждого из этих регистрируемых событий должна регистрироваться следующая информация:

1. Дата и время

2. Субъект, осуществляющий регистрируемое действие.

3. Тип события

4. Успешно или не успешно осуществилось событие.

6. Целостность комплекса средств защиты. В средстве ВТ 5 класса защищенности должны быть предусмотрены средства периодического контроля за целостностью программной и информационной частью комплекса средств защиты.

7. Тестирование. Должны тестироваться:

   1. Реализация правил разграничения доступа.

   2. Успешное осуществление идентификации, аутентификации, а также их средства защиты.

   3. Очистка памяти по требованию в данном классе.

   4. Регистрация событий по требованию в данном классе.

   5. Работа механизма, осуществляющего контроль за целостностью комплекса средств защиты.

8. Документация. Аналогично 6 классу, плюс недостающие требования.

Требования к показателям защищенности 4 класса:

1. Дискреционный принцип контроля доступа. Данное требование совпадает с требованием 5 класса. Кроме этого комплекс средств защиты должен содержать механизм по дискреционным правилам разграничения доступа, в том числе для явных и скрытых действий пользователей. Дискреционное правило разграничения доступа дополняет мандатное правило разграничения доступа.

2. Мандатный принцип контроля доступа. Для реализации этого принципа каждому субъекту и каждому объекту должны сопоставляться классификационные метки, которые отражают место данного субъекта или объекта в соответствующей иерархии. Посредством этих меток как субъектам, так и объектам назначаются классификационные уровни. Данные метки служат основой мандатного принципа разграничения доступа. Внешние классификационные метки должны точно соответствовать внутренним меткам. Комплекс средств защиты должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам как при явном, так и при скрытом доступе со стороны любого из субъектов. Реализация мандатных правил разграничения доступа должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами. При этом в СВТ должен быть реализован диспетчер доступа, то есть такое средство, которое осуществляет перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. Таким образом должен контролироваться не только единичный акт доступа, но и потоки информации.

3. Очистка памяти. При первоначальном назначении или при перераспределении внешней памяти комплекс средств защиты должен затруднять субъекту доступ к остаточной информации. При перераспределении оперативной памяти комплекс средств защиты должен осуществлять ее очистку.

4. Изоляция модулей. При наличии в СВТ мультипрограммирования в комплексе средства защиты должен существовать механизм, изолирующий программные модули одного процесса или одного субъекта от программных модулей других процессов или других субъектов. Таким образом в оперативной памяти программы разных пользователей должны быть защищены друг от друга.

5. Маркировка документов. При выводе защищаемой информации на документ в начале и конце документа проставляется штамп. В данном штампе заполняются соответствующие реквизиты по данному документу.

6. Защита ввода и вывода на отчуждаемый физический носитель информации. Комплекс средств защиты должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемое или идентифицированное. При вводе с идентифицированного устройства комплекс средств защиты должен обеспечивать соответствие между меткой вводимого или выводимого объекта и меткой устройства. Аналогичное соответствие должно обеспечиваться при работе с идентифицируемым каналом связи. Все изменения и назначения в разметке устройств и каналов должны осуществляться под контролем комплекса средств защиты.

7. Сопоставление пользователя с устройством. Комплекс средств защиты должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно-используемых устройств, так и для идентифицированных.

8. Идентификация и аутентификация. Комплекс средств защиты должен требовать от пользователей идентифицировать себя при запросах на доступ. При этом комплекс средств защиты должен подвергать проверке подлинность идентификатора субъекта. КСЗ должен препятствовать входу в СВТ неидентифицированного пользователя. КСЗ должен обладать способностью связывать полученную идентификацию со всеми действиями данного пользователя.

9. Гарантии проектирования. Проектирования комплекса СЗИ должно начинаться с построения модели защиты, которая должна включать непротиворечивое правило разграничения доступа, изменение данных правил, а также правила работы с устройствами ввода-вывода информации и каналами связи.

10. Регистрация. Аналогичны 5 классу. При этом дополнительно должны регистрироваться все попытки доступа, все действия оператора и различных администраторов.

11. Целостность КСЗ. Должен осуществляться периодический контроль за целостностью комплекса средств защиты. При этом программы КСЗ должны выполняться в отдельной части ОЗУ.

12. Тестирование. Тестированию подвергаются:

    1. Реализация правил разграничения доступа: перехват запросов на доступ, распознавание санкционированных и несанкционированных запросов как при дискреционном, так и при мандатном разграничении доступа. Должно осуществляться сопоставление меток субъектам и объектам, запрос меток вновь вводимой информации. Должны тестироваться средства защиты механизмов разграничения доступа, а также санкционированные изменения правил разграничения доступа.

    2. Невозможность присвоения субъектам новых прав.

    3. Очистка как ОЗУ, так и внешней памяти.

    4. Работа механизма изоляции процессов в оперативной памяти.

    5. Маркировка документов.

    6. Защита ввода и вывода информации на отчуждаемый физический носитель, а также сопоставление пользователя с устройством.

    7. Идентификация и аутентификация.

    8. Запрет на доступ несанкционированного пользователя.

    9. Контроль за целостностью СВТ.

13. Документация:

    1. Руководство пользователя.

    2. Руководство по КСЗ.

    3. Тестовая документация.

    4. Конструкторская документация.

Требования к показателям защищенности 3 класса:

1. Дискреционный принцип контроля доступа. Совпадает с 4 классом.

2. Мандатный принцип контроля доступа. Совпадает с 4 классом.

3. Очистка памяти. Для 3 класса защищенности КСЗ должен осуществлять очистку ОЗУ и внешней памяти. Очистка должна производится путем записи маскирующей информации в память при ее освобождении или перераспределении.

4. Изоляция модулей. Совпадает с 4 классом.

5. Маркировка документов. Совпадает с 4 классом.

6. Защита ввода-вывода на отчуждаемый физический носитель. Совпадает с 4 классом.

7. Сопоставление пользователя с устройством. Совпадает с 4 классом.

8. Идентификация и аутентификация. Совпадает с 4 классом.

9. Гарантии проектирования. На начальном этапе проектирования КСЗ должна строиться модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Данная модель должна содержать правила изменения правил разграничения доступа, правила работы с устройствами ввода-вывода, формальная модель механизма управления доступом.

10. Регистрация. Совпадает с 4 классом.

11. Взаимодействие пользователя с комплексом средств защиты. Для обеспечения возможности изучения, анализа, верификации и модификации КСЗ должен быть структурирован. Его структура должна быть модульной и четко определенной. Интерфейс пользователя и КСЗ должен быть определен — это вход в систему, запросы пользователей и т. д., при этом должна быть обеспечена надежность такого интерфейса. Каждый интерфейс пользователя и КСЗ должен быть логически изолирован от других таких же интерфейсов.

12. Надежное восстановление. Процедуры восстановления после сбоя и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.

13. Целостность КСЗ. Необходимо осуществлять периодический контроль за целостностью КСЗ. Программы должны выполняться в отдельной части ОЗУ. Это обстоятельство должно подвергаться верификации.

14. Тестирование. Совпадает с 4 классом. При этом дополнительно должны тестироваться очистка памяти и работа механизма надежного восстановления.

15. Документация. Руководство пользователя, руководство по КСЗ, тестовая и конструкторская документации. А также все дополнения, появившиеся в 3 классе.

Требования к показателям защищенности 2 класса:

1. Дискреционный принцип контроля доступа. Совпадает с 3 классом. Кроме того необходимо, чтобы дискреционное правило разграничения доступа были эвкивалентны мандатным правилам. То есть любой запрос на доступ должен быть одновременно санкционирован как по дикреционному доступу, так и по мандатному. В то же время любой запрос на доступ может быть несанкционирован и по дискреционным правилам, и по мандатным.

2. Мандатный принцип контроля доступа. Совпадает с 3 классом.

3. Очистка памяти. Совпадает с 3 классом.

4. Изоляция модулей. При наличии в СВТ мультипрограммирования в комплексе средств защиты должен существовать механизм, который изолирует программные модули одного процесса или субъекта от программных модулей других процессов или субъектов. Таким образом в ОЗУ программы разных пользователей должны быть изолированы друг от друга. При этом гарантии изоляции основываются на архитектура СВТ.

5. Маркировка документов. Совпадает с 3 классом.

6. Защита ввода-вывода на отчуждаемые физические носители информации. Совпадает с 3 классом.

7. Сопоставление пользователя с устройством. Совпадает с 3 классом.

8. Идентификация и аутентификация. Совпадает с 3 классом.

9. Гарантии проектирования. Совпадает с 3 классом. Кроме этого, требуется, чтобы высокоуровневые спецификации КСЗ были отображены последовательно в спецификации одного или нескольких нижних уровней. При этом методами верификации должно осуществляться доказательство соответствия каждого такого отображения спецификациям высокого уровня.

10. Регистрация. Совпадает с 3 классом.

11. Взаимодействие пользователя с КСЗ. Совпадает с 3 классом.

12. Надежное восстановление. Совпадает с 3 классом.

13. Целостность КСЗ. Совпадает с 3 классом.

14. Контроль модификации. При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ. То есть контроль изменений формальной модели в спецификациях разных уровнях, документации, исходном тексте, версии в объектном коде. Кроме того должно обеспечиваться соответствие между документацией и текстами программ. Должна осуществляться сравниваемость генерируемых версий. При этом оригиналы программ должны быть защищены.

15. Контроль дистрибуции. Должен осуществляться контроль точности копирования в СВТ при изготовлении копий с образца. Таким образом копия должна гарантированно повторять образец.

16. Тестирование. Совпадает с 3 классом, кроме того должен тестироваться контроль дистрибуции.

17. Документация: руководство пользователя, администратора, тестовая и конструкторская документации. А также вся документация из 3 класса.

Требования к показателям защищенности 1 класса:

1. Дискреционный принцип контроля доступа. Совпадает со 2 классом.

2. Мандатный принцип контроля доступа. Совпадает со 2 классом.

3. Очистка памяти. Совпадает со 2 классом.

4. Изоляция модулей. Совпадает со 2 классом.

5. Маркировка документов. Совпадает со 2 классом.

6. Защита ввода-вывода на отчуждаемые физические носители информации. Совпадает со 2 классом.

7. Сопоставление пользователя с устройством. Совпадает со 2 классом.

8. Идентификация и аутентификация. Совпадает со 2 классом.

9. Гарантии проектирования. Совпадает со 2 классом, кроме того требуется верификация соответствия объектного кода тексту КСЗ на языке высокого уровня.

10. Регистрация. Совпадает со 2 классом.

11. Взаимодействие пользователя с КСЗ. Совпадает со 2 классом.

12. Надежное восстановление. Совпадает со 2 классом.

13. Целостность КСЗ. Совпадает со 2 классом.

14. Контроль модификации. Совпадает со 2 классом.

15. Контроль дистрибуции. Совпадает со 2 классом.

16. Гарантии архитектуры. КСЗ должен обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.

17. Тестирование. Совпадает со 2 классом.

18. Документация: руководство пользователя и администратора, тестовая и конструкторская документация. Также добавляются все изменения, введенные в 1 классе.