7.2. Стандарти, орієнтовані на застосування військовими та спецслужбами

Природно, що першими, хто вимагав упровадження стандартів інформаційної безпеки, були військові. Оскільки інформація, якою вони володіють, має надзвичайне значення для держави, порушення безпеки інформації (як правило, розголошення) може призвести до дуже серйозних наслідків — падіння міжнародного престижу держави, накладання економічних і політичних санкцій, величезних фінансових витрат на відновлення обороноспроможності, відставки уряду, зміни державного устрою і навіть до втрати державного суверенітету. Для забезпечення захисту такої інформації держави впроваджують спеціальний режим, регульований законами і підзаконними актами (постановами, положеннями, нормативними документами тощо). До них належать і державні стандарти інформаційної безпеки

Як приклади стандартів, що були спрямовані саме на використання їх війсь­ковими і спецслужбами, а також органами державної влади (тими, хто має справу а державною і військовою таємницею), можна назвати стандарт Міністерства обо­рони США «Критерії оцінювання захищених комп'ютерних систем» (1983) [48] та Керівні документи Державної технічної комісії Росії (1992) [69-71]. Хоча пер­ший із названих стандартів уже вилучено з користування, він і тепер заслуго­вує на увагу, оскільки це перший стандарт інформаційної безпеки. Слід зауважи­ти, що значну частину концепцій цього стандарту, які зазнали певного розвитку, використовують і нині в усіх сучасних стандартах.

7.2.1. «Критерії оцінювання захищених комп'ютерних систем» Міністерства оборони сша

Документ «Критерії оцінювання захищених комп'ютерних систем» (Trusted Com­puter System Evaluation Criteria, TCSEC [48]) було розроблено й опубліковано Міністерством оборони США в 1983 році з метою визначення вимог безпеки, що висуваються до апаратного, програмного і спеціального програмного й інформа­ційного забезпечення комп'ютерних систем і вироблення методології та техно­логії аналізу ступеня підтримки політики безпеки у комп'ютерних системах. До­кумент дістав неформальну назву «Оранжева книга», під якою й був відомий широкому загалу. В оригінальному документі було вперше використано пошире­ний термін довірений (Trusted), який тепер здебільшого перекладають як захище­ний або безпечний. TCSEC детально розглянуто у [16, 51, 57].

Визначення безпечної системи

У цьому документі було вперше формально (хоча й не так жорстко) визначено такі поняття, як «політика безпеки», «коректність» і низку інших. Згідно з доку­ментом TCSEC, безпечна комп'ютерна система — це система, що підтримує таке керування доступом до інформації, що в ній обробляється, за якого лише відпо­відним чином авторизованим користувачам або процесам, що діють від їхнього імені, надається можливість читати, записувати, створювати, а також видаляти інформацію.

Виходячи з визначення безпечної системи, до неї ставиться низка вимог:

♦ безпечна система має бути здатною розрізняти користувачів;

♦ кожний процес у системі має діяти від імені певного користувача;

♦ система має підтримувати розмежування доступу суб'єктів до об'єктів, які містять інформацію;

♦ до об'єктів системи можна застосовувати такі дії: читання, записування, ство­рення і видалення.

Запропоновані в цьому документі концепції захисту і набір функціональних вимог було покладено в основу створення всіх стандартів безпеки, що з'явилися згодом.

Загальна структура вимог безпеки

У TCSEC запропоновано три категорії вимог безпеки — політика безпеки, аудіт

і коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші

чотири спрямовані безпосередньо на забезпечення безпеки інформації, а дві ос­танні на якість засобів захисту.

Політика безпеки

• Система має підтримувати чітко визначену політику безпеки. Можливість здійснення суб'єктами доступу до об'єктів визначається на підставі їхньої ідентифікації та набору правил керування доступом. Там, де це необхідно, використовують політику мандатного керування доступом, що дає змогу ефективно реалізувати розмежування доступу до інформації різного рівня кон­фіденційності.

♦ 3 об'єктами асоціюють мітки безпеки, що використовують як вихідну інформацію для процедур контролю доступу. Для реалізації мандатного керування доступом система присвоює кожному об'єкту мітку чи набір атрибутів, що визначають ступінь конфіденційності (гриф таємності) об'єкта і режими до­ступу до нього.

Аудит

• Потрібно, щоб усі суб'єкти мали унікальні ідентифікатори. Контроль доступу здійснюють на підставі результатів ідентифікації суб'єкта й об'єкта доступу, підтвердження дійсності їхніх ідентифікаторів (автентифікації) і правил роз­межування доступу. Дані, що використовують для ідентифікації й автенти­фікації, мають бути захищені від несанкціонованого доступу, модифікації та знищення і асоційовані з усіма активними компонентами комп'ютерної систе­ми, функціонування яких є критичним із міркувань безпеки.

♦ Для визначення ступеня відповідальності користувачів за свої дії в системі всі події, що відбуваються в ній і впливають на безпеку, потрібно відслідковувати і реєструвати в захищеному протоколі. Система реєстрації має здійснювати аналіз загального потоку подій і позначати ті події, що впливають на безпеку, для скорочення обсягу протоколу і підвищення ефективності його аналізу. Протокол подій має бути надійно захищеним від несанкціонованого доступу, модифікації і знищення.

Коректність

• Засоби захисту мають містити незалежні апаратні та (або) програмні ком­поненти, що забезпечують роботоздатність функцій захисту. Це означає, що всі засоби захисту, які реалізують політику безпеки та здійснюють керування атрибутами і мітками безпеки, ідентифікацією й автентифікацією, реєстра цією й обліком, мають бути контрольовані засобами, що перевіряють корект­ність їх функціонування. Головний принцип контролю коректності полягає в тому, що засоби контролю мають бути цілком незалежні від засобів захисту.

♦ Усі засоби захисту (зокрема й ті, що реалізують цю вимогу) мають бути за­хищені від несанкціонованого втручання та (або) відключення. Такий захист має здійснюватися постійно і неперервно у будь-якому режимі функціону­вання системи захисту і КС у цілому. Ця вимога поширюється на весь життє­вий цикл КС. Крім того, ЇЇ виконання є однією з ключових аксіом, що викори­стовують для формального доведення безпеки системи.

Критерії оцінювання систем

Хоча саме критерії оцінювання систем посідають чільне місце у стандартах інфор­маційної безпеки, що й відбилося в назвах деяких стандартів (зокрема, у TCSEC), структуру (таксономію) критеріїв цього стандарту ми докладно не розглядатиме­мо, зазначимо лише деякі важливі моменти.

Критерії оцінювання у стандарті TCSEC поділено на чотири групи.

♦ Політика безпеки.

♦ Аудит.

♦ Коректність.

♦ Документація.

Критерії, що належать до групи «Політика безпеки», дають змогу оцінити здатність системи забезпечувати конфіденційність, цілісність і доступність ін­формації. Це, зокрема, критерії реалізації дискреційного і мандатного керування доступом, а також заходи, що стосуються безпеки повторного використання об'єк­тів. У TCSEC уперше було формалізовано моделі дискреційного і мандатного ке­рування доступом, зокрема модель Белла — ЛаПадула [51, 52], яка містить прави­ла роботи з документами, що мають різні рівні конфіденційності.

Група «Аудит» містить критерії, що дають змогу оцінити спостережність системи, а саме ідентифікацію й автентифікацію, безпосередню взаємодію (Trusted Path) із КЗЗ, реєстрацію й облік подій (Audit). Ця група критеріїв у подальших стандартах набула значного розвитку.

До групи «Коректність» належать критерії оцінювання коректності функціо­нування системи та її розроблення. У сучасних стандартах ці критерії потрапили до групи «Адекватність» (або «Гарантії»), так само, як і критерії з групи «Доку­ментація».

Класи безпеки комп'ютерних систем

Єдина ієрархічна шкала класів дає змогу оцінити загальну захищеність системи. Система належить до певного класу, якщо вона задовольняє абсолютно всі вимо­ги, які висувають до систем цього класу. Кожний наступний клас, окрім вимог попереднього класу, містить кілька додаткових вимог.

У стандарті TCSEC передбачено чотири групи (рис. 7.1), що відповідають різному ступеню захищеності: від мінімальної (група D) до формально доведеної (група А). Кожна із груп може мати один або кілька класів. Групи D і А мають по одному класу (класи D1 і А1 відповідно), група С — два класи (C1, С2), а група В — три (В1, В2, ВЗ), що характеризуються різними наборами вимог безпеки.

Рівень безпеки зростає від групи D до групи А, а всередині групи рівень тим вищий, що більше номер класу.

Рис. 7.1. Структура класів захищеності систем за TCSEC

Далі ці групи розглянуто більш детально.

• Група D (мінімальний захист). Має лише один клас — D1. До нього належать усі системи, що не задовольняють вимоги інших класів. Клас було введено для повноти класифікації. Оскільки оцінювання за TCSEC не передбачало автоматичного надання певного класу кожній системі, а потребувало проведення тривалої та недешевої процедури сертифікації, жодну систему на відповід­ність цьому класу сертифіковано не було.

• Група С (дискреційний захист). Характеризується наявністю дискреційного керування доступом і реєстрацією дій суб'єктів. Група розрахована на багатокористувацькі системи, в яких здійснюється спільне оброблення даних одного рівня конфіденційності. Системи класу СІ містять засоби контролю і керу­вання доступом, які дають змогу визначати обмеження для окремих користувачів, що надає їм можливість захищати свою приватну інформацію від інших користувачів. Системи класу С2 здійснюють більш гнучке керування доступом, ніж системи класу С1, застосовуючи засоби індивідуального кон­тролю за діями користувачів, реєстрації, обліку подій і виділення ресурсів. Саме вимогам цього класу відповідають різні операційні системи і СКБД уні­версального призначення. Серед ОС можна назвати Windows NT, HP-UX, Ігіх, Solaris. Серед СКБД — Oracle, Informix і деякі інші.

• Група В (мандатний захист). Основні вимоги цієї групи — нормативне (ман­датне) керування доступом із використанням міток безпеки, підтримка моделі безпеки і політики безпеки, а також наявність специфікацій на функції комплексу засобів захисту (за термінологією TCSEC — довіреної обчислювальної бази (Trusted Computing Base)).

Слід зазначити, що у США законодавство вимагає обов'язкового застосування систем, сертифікованих відповідно до групи В, в органах державного уп­равління, оборонному відомстві, спецслужбах тощо. Тому системи, які майже не надходили на український ринок і були невідомі переважній більшості ко­ристувачів України, у США* є не лише поширеними, а й фактично стандарт ними для багатьох державних установ. До таких систем належать Trusted Irix, Trusted Solaris та інші.

Групи Класи А	А1		Верифікований захист
В	В1	В2	ВЗ Мандатний захист
С	С1	С2	Дискреційний захист
D	D1		Мінімальний захист

Системи класу В1 мають відповідати всім вимогам, що висувають до систем класу С2, та підтримувати визначену неформально модель безпеки, маркуван­ня даних і мандатне керування доступом. Тому інформацію, яку експортують із системи, потрібно піддавати маркуванню. Усі виявлені у процесі тестуван­ня недоліки мають бути усунуті.

Класу В2 відповідає КС, яка підтримує формально визначену і чітко докумен­товану модель безпеки, що передбачає дискреційне і мандатне керування дос­тупом до всіх суб'єктів. Крім того, система цього класу має здійснювати кон­троль прихованих каналів витоку інформації та виявляти у структурі ядра захисту критичні з точки зору безпеки елементи. Інтерфейс КЗЗ має бути чітко визначеним, а його архітектура і реалізація виконані з урахуванням мож­ливості проведення тестових випробувань. Порівняно з класом В1 мають бути посилені засоби автентифікації. Керування безпекою здійснюють адміністра­тори системи. Необхідно передбачити засоби керування конфігурацією.

Щоб система відповідала класу ВЗ, її ядро захисту має містити монітор вза­ємодій, який контролював би всі типи доступу суб'єктів до об'єктів і який не­можливо обійти. Крім того, ядро захисту має бути структурованим задля вик­лючення з нього підсистем, що не відповідають за реалізацію функцій захисту, і досить компактним для ефективного тестування й аналізу. Розробляючи і реалізуючи ядро захисту, слід застосовувати такі методи та засоби, що роблять його менш складним. Засоби аудита мають містити механізми оповіщення адміністраторів у разі виникнення подій, що впливають на безпеку системи. КС класу В3 має містити засоби відновлення роботоздатності системи.

♦ Група А (верифікований захист). Ця група характеризується застосуванням формальних методів верифікації коректності роботи механізмів керування дос­тупом (дискреційного і мандатного). Група має один клас — А1. Системи цьо­го класу еквівалентні системам класу ВЗ, до них не висувають додаткових функціональних вимог. Під час розроблення систем класу А, на відміну від систем класу ВЗ, застосовують формальні методи верифікації; це надає більшої впевненості у тому, що буде отримано коректну реалізацію функцій захисту. Процес доведення адекватності реалізації починається ще на етапі створення формальної моделі політики безпеки. Методи верифікації будуть більш ефек­тивно застосовані, якщо системи класу А1 міститимуть потужніші засоби ке­рування конфігурацією і захищеною процедурою дистрибуції (встановлення і розповсюдження). Потрібно мати додаткову документацію, яка засвідчує, що архітектура і реалізація ядра захисту відповідають вимогам безпеки.

Недоліки стандарту

Документ «Критерії оцінювання захищених комп'ютерних систем» Міністерства оборони США був першою спробою розробити єдиний стандарт безпеки, розра­хований на проектувальників, розробників і споживачів захищених комп'ютер­них систем, а також фахівців з їхньої сертифікації. Свого часу цей документ віді­грав значну роль у розвитку безпеки інформаційних технологій і став відправною точкою для численних досліджень і розробок.

Оскільки документ орієнтований на системи військового застосування (пере важно па операційні системи), в ньому домінували вимоги, спрямовані на забезпечення конфіденційності оброблюваної інформації й усунення можливостей її розголошення. У документі найбільше уваги приділено міткам конфіденційності (грифам таємності) та правилам експорту секретної інформації, менше — забезпеченню цілісності інформації і майже не розглянуто її доступність.

Вимоги забезпечення політики безпеки в документі також відображено доволі

поверхово (відповідний розділ містить лише вимоги контролю цілісності засобів

захисту і підтримки їх роботоздатності, які наразі є недостатніми).

Найвищий клас безпеки (А1) надають ПЗ, яке відповідає своїм специфікаціям,

хоча це ще не є доказом коректності та адекватності реалізації політики безпеки

Єдина ієрархічна шкала класів безпеки КС дає змогу порівнювати рівні захищеності різних систем, але не є такою гнучкою, щоб враховувати переваги окремих систем. Часто у сертифікатах відповідності вимогам TCSEC окрім основного класу безпеки системи визначають додаткові рівні безпеки для окремих її компонентів, наприклад: сама ОС може належати до класу С2, дискреційне керування доступом у ній — до класу ВЗ, керування безпекою — до класу В2. Це но­вий підхід в оцінюванні, який відходить від концепції оцінювання систем TCSEC.

Завдяки інтенсивному розвитку комп'ютерних технологій і внаслідок переходу від централізованих обчислювальних комплексів на основі мейнфреймів до робочих станцій, персональних комп'ютерів і розподіленого оброблення інфор­мації, деякі положення TCSEC застаріли.