Для того, щоб розроблений КЗЗ отримав сертифікат відповідності до нього згідно НД
ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в КС від НСД»
висуваються такі вимоги:
1.Безперервний захист
2.Наявність атрибутів доступу
3.Довірче та адміністративне керування доступом
4.Реєстрація дій користувачів
5.Функції і механізми захисту
6.Реалізація КЗЗ
7.Концепція диспетчера доступу
8.Забезпечення послуг безпеки (функцій захищеності)
9.Забезпечення гарантій реалізації послуг безпеки
1. Безперервний захист
КЗЗ повинен забезпечити захист інформації в ІТС повинен забезпечуватись протягом всього періоду її існування. З моменту створення об'єкта ІТС або його імпорту до системи і аж до його знищення або експорту з системи всі запити на доступ до об'єкта і об'єкта на доступ до інших об'єктів мають контролюватися КЗЗ.
Перший аспект, що випливає з цього принципу, - це необхідність того, щоб абсолютно всі запити на доступ до об'єктів контролювались КЗЗ і не існувало можливості обминути цей контроль (одержати доступ в обхід КЗЗ). Для захисту об'єктів КЗЗ повинен в першу чергу забезпечувати свою цілісність і керованість.
Другим аспектом є те, що особливе значення набуває визначення діючих за умовчанням правил, які визначають початкові умови, за яких починається існування об'єкта всередині ІТС.
2. Наявність атрибутів доступу
Для реалізації політики безпеки КЗЗ повинен забезпечити ізоляцію об'єктів всередині сфери управління та гарантувати розмежування запитів доступу і керування потоками інформації між об'єктами. Для цього з об'єктами ІТС має бути пов'язана інформація, що дозволяла б КЗЗ iдентифікувати об'єкти і перевіряти легальність запитів доступу. Як така інформація є атрибути доступу.
Кожний об'єкт ІТС повинен мати певний набір атрибутів доступу, який включає унікальний iдентифікатор та іншу інформацію, що визначає його права доступу і/або права доступу до нього. Атрибут доступу - термін, що використовується для опису будь-якої інформації, яка використовується при керуванні доступом і зв'язана з користувачами, процесами або пасивними об'єктами. Відповідність атрибутів доступу і об'єкта може бути як явною, так і неявною. Атрибути доступу об'єкта є частиною його подання в ІТС.
Коли користувачі або процеси намагаються одержати доступ до пасивних об'єктів, механізми, що реалізують керування доступом, на підставі політики безпеки і перевірки атрибутів доступу можуть «прийняти рішення» про легальність запиту. Використовуючи набір атрибутів доступу відповідно до прийнятої політики безпеки, можна реалізувати довірче та адміністративне керування доступом, контроль за цілісністю та інші види керування доступом.
Для відображення функціональностi ІТС у простір, в якому не розглядаються права власності, використовується концепція матриці доступу. Матриця доступу являє собою таблицю, уздовж кожного виміру якої відкладені iдентифікатори об'єктів ІТС, а в якості елементів матриці виступають дозволені або заборонені режими доступу.
Матриця доступу може бути:
-двомірною (наприклад, користувачі/пасивні об'єкти або процеси/пасивні об'єкти);
-тримірною (користувачі/процеси/пасивні об'єкти);
-повною, тобто містити вздовж кожної з осей iдентифікатори всіх існуючих на даний час об'єктів ІТС даного типу, або частковою. Повна тримірна матриця доступу дозволяє
точно описати, хто (iдентифікатор користувача), через що (iдентифікатор процесу), до чого (iдентифікатор пасивного об'єкта), який вид доступу може одержати.
3. Довірче та адміністративне керування доступом
Довірче керуванням доступом - це таке керування, при якому засоби захисту дозволяють звичайним користувачам управляти (довіряють керування) потоками інформації між іншими користувачами і об'єктами свого домену (наприклад, на підставі права володіння об'єктами), тобто призначення та передача повноважень не вимагають адміністративного втручання.
Адміністративне керуванням доступом - це таке керування, при якому засоби захисту дозволяють управляти потоками інформації між користувачами і об'єктами тільки спеціально авторизованим користувачам. Прикладом реалізації адміністративного керування доступом може служити механізм, коли у вигляді атрибутів доступу використовуються мітки, що відображають міру конфіденційності інформації (об'єкта) і рівень допуску користувача. Таким чином, КЗЗ на підставі порівняння міток об'єкта і користувача може визначити, чи є користувач, що запитує інформацію, авторизованим користувачем.
Система, що реалізує адміністративне керування, повинна гарантувати, що потоки інформації всередині системи установлюються адміністратором і не можуть бути змінені звичайним користувачем. З іншого боку, система, що реалізує довірче керування доступом, дозволяє звичайному користувачеві модифікувати, в т. ч. створювати нові потоки інформації всередині системи.
Створення додаткових потоків інформації може бути зумовлене:
-модифікацією атрибутів доступу користувача, процесу або пасивного об'єкта;
-створенням нових об'єктів (включаючи копіювання існуючих);
-експортом або імпортом об'єктів.
Сталість атрибутів доступу
Якщо система реалізує адміністративне керування доступом, то звичайний користувач не повинен мати можливості ні за яких умов змінювати атрибути доступу об'єкта. Таким чином, якщо політика потоків інформації, створена адміністратором, визначає, що два користувача не можуть розділяти (спільно використовувати) інформацію, то жоден з них не спроможний передати іншому користувачеві свої повноваження щодо доступу до існуючого об'єкта.
Інавпаки, система, що реалізує довірче керування доступом, може, наприклад, відповідно до політики безпеки надати звичайному користувачеві можливість змінювати атрибути доступу об'єкта, що належить йому.
Створення нових об'єктів
Якщо система реалізує адміністративне керування доступом і політика потоків інформації, створена адміністратором, визначає, що два користувачі не можуть розділяти інформацію, то жоден з них не повинен бути спроможний створити об'єкт, доступний іншому. Додатково повинні існувати правила для визначення (завдання) атрибутів доступу, що мають присвоюватись об'єкту, одержаному копіюванням існуючого.
Інавпаки, система, що реалізує довірче керування доступом, може відповідно до політики безпеки надати звичайному користувачеві можливість влаштовувати атрибути доступу для знову створеного об'єкту. Наприклад, система може дозволяти творцю об'єкта зазначати користувачів, що можуть мати права доступу до об'єкта.
Експорт і імпорт об'єктів
Якщо система реалізує адміністративне керування доступом, то атрибути доступу об'єкта мають зберігатись під час його експорту на зовнішній носiй. Додатково повинні існувати правила для присвоєння атрибутів доступу імпортованому об'єкту.
Інавпаки, система, що реалізує довірче керування доступом, може надати можливість експортувати об'єкт без збереження атрибутів доступу. Додатково може існувати можливість імпорту звичайним користувачем об'єкта з наступним присвоєнням йому атрибутів доступу на розсуд користувача. Проте, навіть відповідно до політики довірчого керування доступом,
атрибути доступу об'єкта під час виконання деяких операцій, наприклад, під час його резервного копіювання, мають зберігатися. Якщо об'єкт буде коли-небудь відновлено з резервної копії, то його атрибути доступу також мають бути відновлені.
4. Реєстрація дій користувачів
Коли користувач працює з ІТС, то система розглядає його не як фізичну особу, а як об'єкт, якому притаманні певні атрибути і поводження. КЗЗ повинен забезпечувати реєстрацію дій об'єктів-користувачів щодо використання ресурсів системи, а також інших дій і подій, які так або інакше можуть вплинути на дотримання реалізованої ІТС політики безпеки.
Система повинна надавати користувачам, що мають адміністративні повноваження, можливість проглядати та аналізувати дані реєстрації, що представляються у вигляді журналів реєстрації, виявляти небезпечні з точки зору політики безпеки події, встановлювати їх причини і користувачів, відповідальних за порушення політики безпеки.
5. Функції і механізми захисту
Основними завданнями КЗЗ є ізоляція об'єктів ІТС всередині сфери керування, перевірка всіх запитів доступу до об'єктів і реєстрація запитів і результатів їх перевірки і/або виконання. З одного боку, будь-яка елементарна функція будь-якої з послуг, що реалізуються КЗЗ, може бути віднесена до функцій ізоляції, перевірки або реєстрації. З іншого боку, будьяка з функцій, що реалізуються КЗЗ, може бути віднесена до функцій забезпечення конфіденційності, цілісності і доступності інформації або керованостi ІТС і спостережностi дій користувачів.
Кожна функція може бути реалізована одним або більше внутрішніми механізмами, що залежать від конкретної ІТС. Водночас одні й ті ж самі механізми можуть використовуватись для реалізації кількох послуг. Наприклад, слушно реалізувати і адміністративне, і довірче керування доступом єдиним набором механізмів.
Реалізація механізмів може бути абсолютно різною. Для реалізації функцій захисту можуть використовуватись програмні або апаратні засоби, криптографічні перетворення, різні методи перевірки повноважень тощо. Головною вимогою залишається те, щоб функції захисту були реалізовані відповідно до декларованої політики безпеки і вимог гарантій.
Для реалізації певних послуг можуть використовуватись засоби криптографічного захисту. Криптографічні перетворення можуть використовуватись безпосередньо для захисту певної інформації (наприклад, при реалізації послуг конфіденційності) або підтримувати реалізацію послуги (наприклад, при реалізації послуги iдентифікації і автентифікації).
6. Реалізація КЗЗ
КЗЗ повинен мати модульну структуру. На рівні розгляду архітектури ІТС «модульність» означає, що КЗЗ має бути реалізований як набір відносно незалежних частин. Кожна з цих частин повинна взаємодіяти з іншими тільки через добре визначені iнтерфейси.
На рівні розгляду архітектури КЗЗ «модульність» означає, що КЗЗ має функціонувати як сукупність логічних груп програмного та апаратного забезпечення так, щоб кожна група вирішувала певні завдання. Для ПЗ, наприклад, в простішому випадку під цим слід розуміти, що подібні функції мають бути зосереджені в певних вихідних файлах.
Під більш жорсткими вимогами слід розуміти використання приховання даних та інших механізмів, що дозволяють мати впевненість, що кожний модуль вирішує єдине завдання. Будь-яка взаємодія між компонентами повинна здійснюватись тільки через відомі і описані канали (iнтерфейси).
7. Концепція диспетчера доступу
При реалізації КЗЗ використовується концепція диспетчера доступу, який характеризується 3 атрибутами:
-забезпечує безперервний і повний захист;
-достовірний (захищений від модифікації);
- має невеликі розміри.
Це означає, що диспетчер доступу має бути завжди активним і повинен контролювати всі запити на доступ до будь-якого захищеного об'єкта, який піддається впливу. Диспетчер доступу має бути захищений від модифікацiї, що для програмної реалізації звичайно вважається ізоляцією домену КЗЗ від доменів інших процесів.
Диспетчер доступу не повинен складати весь КЗЗ, а повинен включати мінімально необхідний набір механізмів, що безпосередньо реалізують перевірку легальностi запитів на доступ і, можливо, реєстрацію цих запитів.
Головна мета диспетчера доступу - забезпечення відомої точки проходження всіх запитів всередині ІТС і досягнення гарантії того, що потоки інформації між об'єктамикористувачами, об'єктами-процесами і пасивними об'єктами відповідають вимогам політики безпеки.
Класичний погляд на диспетчер доступу полягає в тому, що він служить бар'єром між інформацією, до якої хоче одержати доступ користувач, і самим користувачем. Диспетчер доступу дозволяє або забороняє доступ відповідно до того, чи є запит авторизованим. Рішення приймається на підставі перевірки атрибутів доступу користувача, процесу і пасивного об'єкта.
Узагальненням концепції диспетчера доступу є ідея герметизації, коли кожний об'єкт як би герметизовано диспетчером доступу, що утворює навкруги нього непрониклу оболонку. Кількість захищених (що знаходяться всередині оболонки) об'єктів може змінюватись від одного об'єкта до всіх об'єктів системи.
Диспетчер доступу повинен забезпечити неможливість доступу до об'єкта в обхід механізмів захисту, перевірку наявності у користувача і/або процесу прав доступу до об'єкта
іреєстрації подій, що відбуваються.
8.Забезпечення послуг безпеки (функцій захищеності)
Зточки зору забезпечення безпеки інформації ІТС або КЗЗ можна розглядати як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти деякій множині загроз.
Існує певний перелік послуг, які на підставі практичного досвіду визнані «корисними» для забезпечення безпеки інформації. Вимоги до реалізації даних послуг наведені в НД ТЗІ
2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД».
Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n - унікальне для кожного виду послуг.
Функціональні послуги розбиті на 4 групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із 4-х основних типів: конфіденційність (К), цілісність (Ц), доступність (Д) і спостережність (Н).
1. Реалізація послуг конфіденційності дозволяє забезпечити захист інформації від несанкціонованого ознайомлення з нею (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються політикою конфіденційності.
2.Реалізація послуг цілісності дозволяє забезпечити захист інформації від несанкціонованої модифікації (включаючи її знищення). Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються політикою цілісності.
3.Реалізація послуг доступності забезпечується в ІТС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
4.Реалізація послуг спостережності забезпечується в ІТС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків,
цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача.
Всі послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як необхідні умови для даної послуги (або її рівня). За винятком послуги «аналіз прихованих каналів» залежність між функціональними послугами безпеки та гарантіями відсутня.
9. Забезпечення гарантій реалізації послуг безпеки
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в ІТС, є також критерії гарантій, які дозволяють оцінити коректність реалізації цих послуг. Вводиться 7 рівнів гарантій, які є iєрархічними. Iєрархiя рівнів гарантій відбиває поступово наростаючу міру упевненості в тому, що послуги, які надаються, дозволяють протистояти певним загрозам, а механізми, що їх реалізують, в свою чергу, коректно реалізовані, і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації ІТС.
Гарантії повинні забезпечуватися як в процесі розробки КСЗІ, так і в процесі її оцінки. В процесі розробки гарантії забезпечуються діями розробника щодо забезпечення правильності (коректностi) розробки. В процесі оцінки гарантії забезпечуються шляхом перевірки додержання розробником вимог критеріїв, аналізу документації, процедур розробки і постачання.
Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовностi розробки, випробування КЗЗ, середовища функціонування і експлуатаційної документації. Для того, щоб ІТС одержала певний рівень гарантій реалізації необхідних послуг безпеки (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів вимог.
1.Вимоги до архітектури забезпечують гарантії того, що КЗЗ у змозі повністю реалізувати політику безпеки.
2.Вимоги до середовища розробки забезпечують гарантії того, що процеси розробки та супроводження КЗЗ є повністю керованими з боку розробника.
3.Вимоги до процесу проектування (послідовності розробки) забезпечують гарантії того, що на кожній стадії розробки (проектування) існує точний опис КЗЗ і його реалізація точно відповідає вимогам політики безпеки.
4.Вимоги до середовища функціонування забезпечують гарантії того, що КЗЗ поставляється замовнику без несанкціонованих модифікацій, а також інсталюється і ініціюється замовником так, як це передбачається розробником.
5.Вимоги до документації є загальними для всіх рівнів гарантій.
Таким чином, КЗЗ повинен реалізувати модель системи захисту інформації в ІТС від загроз НСД, яка складається з підсистем організаційних, профільних і гарантійних послуг безпеки, цілісності інформаціних ресурсів та закриття сервісної інформації.
Підсистема організаційних послуг безпеки включає в себе:
-захист від неконтрольованого і несанкціонованого ознайомлення з інформацією, її розмноження розповсюдження, копіювання, відновлення та модифікації;
-облік дій усіх користувачів;
-контроль облікованих подій;
-своєчасний доступ користувачів.
Підсистема профільних послуг безпеки визначає такі послуги:
-підвищені вимоги до конфіденційності інформації, тобто реалізація ІТС підкласу К;
-підвищені вимоги до цілісності інформації, тобто реалізація ІТС підкласу Ц;
-підвищені вимоги доступності інформації, тобто реалізація ІТС підкласу К;
-підвищені вимоги до конфіденційності і цілісності інформації, тобто реалізація ІТС підкласу КЦ;
-підвищені вимоги до конфіденційності і доступності інформації, тобто реалізація ІТС підкласу КД;
-підвищені вимоги до цілісності і доступності інформації, тобто реалізація ІТС підкласу ЦД;
-підвищені вимоги до конфіденційності, цілісності і доступності інформації, тобто реалізація КС, ІТС підкласу КЦД.
Підсистема гарантійних послуг безпеки визначає множину послуг безпеки рівня гарантії безпеки від Г-1 до Г-7.
Підсистема цілісності інформації і ресурсів визначає такі послуги безпеки:
-програмні засоби забепечення цілісності інформації і ресурсів ІТС;
-адміністрування дотримання обраної політики безпеки;
-періодичні тести політики безпеки;
-засоби відновлення послуг безпеки.
Підсистема закриття сервісної інформації визначає послуги безпеки щодо таких чинників:
-оброблювана інформація ІзОД;
-суб’єкти доступу;
-групи суб’єктів доступу;
-адміністратор безпеки.
Контрольні питання
1.Яку назву має документ, що визначає вимоги до розробки КЗЗ від НСД?
2.Які 9 основних вимог висуваються до КЗЗ від НСД?
3.Що таке атрибути доступу?
4.Що таке матриця доступу?
5.Що таке довірче керування доступом?
6.Що таке адміністративне керування доступом?
7.Як адміністративне керування доступом впливає на атрибути доступу?
8.Як довірче керування доступом впливає на атрибути доступу?
9.Які вимоги висуваються до диспетчера доступу?
10.Що повинен контролювати диспетчер доступу?
11.Які гарантії повинен надавати диспетчер доступу?
12.В чому полягає класичний погляд на диспетчер доступу?
13.На підставі чого приймає рішення диспетчер доступу?
14.Яка ідея є узагальненням концепції диспетчера доступу?
15. З яких 4 груп складаються функціональні послуги безпеки КЗЗ?
16.Що включає в себе підсистема організаційних послуг безпеки?
17.Які послуги у галузі ТЗІ повинні ліцензуватися?
Змістовий модуль 2. Вимоги щодо захисту інформації від НСД
Тема 9. Побудова і структура послуг безпеки інформації
Перелік функціональних послуг безпеки та рівнів гарантій, їх структура і семантичне позначення наведені в НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу».
1. Послуги конфіденційності
Послуги конфіденційності та цілісності, а також деякою мірою - використання ресурсів, є класичними послугами, що безпосередньо реалізують ту частину політики безпеки, яка складає ПРД.
Послуги конфіденційності забезпечують можливість керування потоками інформації від захищених пасивних об'єктів до об'єктів-користувачів з метою захисту пасивних об'єктів від несанкціонованого ознайомлення з їх умістом (компрометації).
Механізмами, що забезпечують реалізацію послуг конфіденційності, є механізми керування доступом, тобто надання можливості доступу до ресурсу згідно зі спеціально визначеними правилами. Як основні схеми, на підставі яких може здійснюватися керування доступом, можуть використовуватися такі:
-на підставі списків керування доступом (під списком керування доступом слід розуміти пов'язаний із запитуваним ресурсом набір атрибутів доступу у вигляді сукупностей ідентифікаторів ініціаторів запиту та атрибутів, що визначають дозволені види доступу або операції над запитуваним ресурсом);
-на підставі списків повноважень (під списком повноважень слід розуміти пов'язаний з ініціатором запиту набір атрибутів доступу у вигляді сукупності операцій, дозволених над заданою множиною запитуваних ресурсів);
-на підставі міток безпеки (під мітками слід розуміти атрибути доступу, пов'язані як з ініціатором запиту, так і з запитуваним ресурсом, рішення про надання доступу приймається на підставі оброблення міток ініціатора і ресурсу за заданими правилами).
Для прийняття рішення про можливість надання доступу ці механізми можуть використовувати, наприклад:
-ідентифікатори відповідних об'єктів;
-ідентифікатори груп відповідних об'єктів;
-інформацію про права доступу до пасивних об'єктів у вигляді міток доступу, списків керування доступом або списків повноважень;
-інформацію про права володіння пасивним об'єктом;
-інформацію про час спроби доступу;
-інформацію про маршрут запиту доступу в розподілених системах;
-інформацію про тривалість сеансу доступу до ресурсу.
В цьому розділі зібрані послуги, реалізація яких дозволяє забезпечити захист інформації від несанкціонованого ознайомлення з нею (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Принципи, що лежать в основі реалізації послуг, визначаються політикою конфіденційності.
1.1. Довірча конфіденційність (КД)
Система, яка реалізує адміністративне керування доступом, повинна гарантувати, що потоки інформації всередині системи встановлюються адміністратором і не можуть бути змінені звичайним користувачем. З іншого боку, система, яка реалізує довірче керування доступом, дозволяє звичайному користувачеві модифікувати, в т. ч. створювати нові потоки інформації всередині системи.
Послуга довірча конфіденційність дозволяє користувачеві керувати потоками інформації від захищених об'єктів, що належать його домену, до інших користувачів. Як
правило, під об'єктами, що належать домену користувача, маються на увазі об'єкти, власником яких є користувач (створені користувачем).
Для відображення функціональності ІТС у простір, в якому не розглядаються права власності, використовується концепція матриці доступу. Матриця доступу являє собою таблицю, уздовж кожного виміру якої відкладені ідентифікатори об'єктів ІТС, а як елементи матриці виступають дозволені або заборонені режими доступу.
Рівні послуги «довірча конфіденційність» ранжируются на підставі повноти захисту і вибірковості керування.
Мінімальна довірча конфіденційність (КД-1).
Найбільш слабкою мірою гарантії захисту від несанкціонованого ознайомлення є накладення обмеження на одержання інформації процесами. На цьому рівні дозволені потоки інформації від об'єкта тільки до певних процесів. Хоч і не існує обмеження на те, хто може активізувати процес, тобто, хто може одержувати інформацію, КЗЗ обмежує потоки інформації фіксованому списку процесів, грунтуючись на атрибутах доступу об'єктів і процесів. Користувач, домену якого належить об’єкт, може змінювати список процесів, які можуть одержувати інформацію від об'єкта. Для такої системи можна побудувати часткову або повну матрицю доступу процесів до захищених об'єктів.
Базова довірча конфіденційність (КД-2).
Атрибути доступу об'єктів і користувачів повинні містити інформацію, що використовується КЗЗ для розмежування доступу до об'єктів з боку конкретного користувача. Додатково повинна існувати можливість встановлювати, які користувачі можуть активізувати конкретний процес, що дозволяє одержати можливість обмеженого керування потоками інформації. Керування правами доступу на даному рівні має невисоку вибірковість. Користувач, домену якого належить об'єкт (процес) може вказати, які групи користувачів і, можливо, які конкретні користувачі мають право одержувати інформацію від об'єкта (ініціювати процес). Для такої системи можна побудувати часткову матрицю доступу користувачів до захищених об'єктів і процесів.
Повна довірча конфіденційність (КД-3).
Основна відміна від попереднього рівня це те, що КЗЗ повинен забезпечувати більш високу вибірковість керування тим, які користувачі можуть одержати інформацію від об'єкта або ініціювати процес. Користувач, домену якого належить об'єкт, може вказати права доступу для кожного конкретного користувача і групи користувачів. Є можливим включати або вилучати користувачів із списку доступу. Для такої системи можна побудувати повну матрицю доступу користувачів до захищених об'єктів і процесів. Така вибірковість керування може бути одержана, наприклад, за рахунок використання списків доступу.
Абсолютна довірча конфіденційність (КД-4).
Даний рівень забезпечує повне керування потоками інформації в ІТС. Атрибути доступу користувача, процесу і об'єкта повинні містити інформацію, що використовується КЗЗ для визначення користувачів, процесів і пар процес/користувач, які можуть отримати інформацію від об'єкта. Таким чином гарантується, що інформація надсилається об’єктом потрібному користувачеві через авторизований процес. Вимоги до вибірковості керування залишаються такими ж самими, як і для попереднього рівня. Для такої системи можна побудувати повну матрицю доступу користувачів, процесів і пар користувач/процес до захищених об'єктів і процесів.
Для всіх рівнів даної послуги необхідною умовою є реалізація рівня НИ-1 послуги «ідентифікація і автентифікація». Для рівнів КД-3 і КД-4 необхідною умовою є реалізація рівня КО-1 послуги «повторне використання об'єктів», оскільки, якщо при виділенні об'єкта користувачеві в цьому об'єкті міститься інформація, що залишилась від попереднього користувача, то це може призвести до витоку інформації, і всі зусилля щодо реалізації даних рівнів послуги будуть марні.
1.2. Адміністративна конфіденційність (КА)
Послуга адміністративна конфіденційність дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від захищених об'єктів до користувачів.
Згідно з політикою адміністративної конфіденційності об'єкту присвоюються атрибути доступу, що визначають домен, якому повинні належати ті користувачі або процеси, які намагаються одержати інформацію. Найбільше розповсюдження отримав механізм, коли у вигляді атрибутів доступу використовуються мітки, що визначають рівень конфіденційності інформації (об'єкта) і рівень допуску користувача. Таким чином КЗЗ на підставі порівняння міток об'єкта і користувача може визначити, чи є користувач, що здійснює запит на доступ до інформації, авторизованим користувачем.
Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування повністю аналогічне рівням послуги довірча конфіденційність з тією відміністю, що тільки адміністратор або авторизований адміністратором користувач має право включати і вилучати користувачів, процеси і об'єкти до/з конкретних доменів або піддоменів. Наприклад:
Мінімальна адміністративна конфіденційність (КА-1).
Політика адміністративної конфіденційності повинна визначати множину об'єктів ІТС, до яких вона відноситься. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу процесу і захищеного об'єкта. КЗЗ повинен надавати можливість адміністратору для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити конкретні процеси і/або групи процесів, які мають право одержувати інформацію від об'єкта
Абсолютна адміністративна конфіденційність (КА-4).
Політика адміністративної конфіденційності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів ІТС. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувача, процесу і захищеного об'єкта. КЗЗ повинен надавати можливість адміністратору для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта.
Як і для послуги «довірча конфіденційність», для всіх рівнів даної послуги необхідною умовою є реалізація рівня НИ-1 послуги «ідентифікація і автентифікація», а для рівнів КА-3 і КА-4 - рівня КО-1 послуги «повторне використання об'єктів». Додатковою необхідною умовою для всіх рівнів даної послуги є реалізація рівня НО-1 послуги розподіл обов'язків, оскільки в системі повинні бути визначені ролі звичайного користувача і адміністратора.
1.3. Повторне використання об'єктів (КО-1)
Послуга «Повторне використання об'єктів» дозволяє забезпечити коректність повторного використання поділюваних ресурсів, гарантуючи, що у випадку, якщо поділюваний ресурс виділяється новому користувачу або процесу, він не містить інформації, що залишилася від попереднього користувача або процесу. Реалізація даної послуги дозволяє забезпечити захист від атак типу «збирання сміття».
Механізмами, що забезпечують реалізацію послуги, є механізми:
-ініціалізації (заповнення наперед заданими або випадковими даними) вмісту поділюваних ресурсів, використовуваних для збереження пасивних об'єктів;
-ініціалізації (видалення) атрибутів доступу пасивних об'єктів, що видаляються.
Ці механізми можуть бути реалізовані або в компонентах КЗЗ, що входять до складу ядра КЗЗ і в яких здійснюється оброблення запитів на видалення пасивних об'єктів і звільнення займаних об'єктами поділюваних ресурсів, або в компонентах КЗЗ, у яких здійснюється оброблення запитів на створення нових пасивних об'єктів і виділення необхідних для їх збереження поділюваних ресурсів.
Залежно від реалізованих механізмів можна виконувати очищення об'єкта під час його звільнення користувачем або безпосередньо перед його наданням наступному користувачу. Повторне використання об'єкта може бути реалізовано також шляхом шифрування
інформації, що міститься в об'єктах, і використання керування криптографічними ключами замість знищення інформації.
1.4. Аналіз прихованих каналів (КК)
Аналіз прихованих каналів виконується з метою виявлення і вилучення потоків інформації, що існують, але не контролюються іншими функціональними послугами безпеки. Рівні даної послуги ранжируються на підставі того, чи виконується тільки виявлення, контроль або перекриття прихованих каналів.
Виявлення прихованих каналів (КК-1)
Всі приховані канали, які існують в апаратному і програмному забезпеченні повинні бути документовані. Має бути документована максимальна пропускна здатність кожного знайденого прихованого каналу, одержана на підставі теоретичної оцінки або вимірів. Для прихованих каналів, які можуть використовуватися спільно, повинна бути документована сукупна пропускна здатність.
Контроль прихованих каналів (КК-2)
КЗЗ, крім вище вказаних, повинен забезпечувати реєстрацію використання знайдених прихованих каналів.
Перекриття прихованих каналів (КК-3)
Всі знайдені під час аналізу приховані канали повинні бути усунені.
Необхідною умовою для реалізації всіх рівнів даної послуги є реалізація рівня КО-1 послуги «повторне використання об'єктів», оскільки можливість одержання інформації, що залишилась в об'єкті від попереднього користувача, сама собою може розглядатися як прихований канал.
1.5. Конфіденційність при обміні (КВ)
Конфіденційність при обміні дозволяє забезпечити захист об'єктів від несанкціонованого ознайомлення з інформацією, що міститься в них, при їх передачі (експорті / імпорті) через незахищене середовище.
КЗЗ розглядає ресурси ІТС в якості об'єктів і управляє взаємодією цих об'єктів відповідно до реалізованої політики безпеки інформації. Як об'єкти ресурси характеризуються двома аспектами: логічне подання (вміст) і фізичне подання (форма). Об'єкт характеризується своїм станом (вмістом), що в свою чергу характеризується атрибутами, і поводженням, яке визначає засоби зміни стану.
Локалізований КЗЗ (наприклад, ОС з функціями захисту) розглядає тільки логічне подання об'єктів. Фізичне подання об'єктів захищене тільки від внутрішніх об'єктів, а не від впливу з боку зовнішніх сутностей (агентів). Захист від зовнішніх щодо ІТС загроз реалізується організаційними заходами і заходами фізичного захисту. До зовнішніх впливів схильні об'єкти, що зберігаються в енергонезалежній пам'яті (зовнішніх носіях).
У розподіленому оточенні не можна гарантувати, що зовнішній агент не може отримати доступ до фізичного подання об'єктів. Особливо це відноситься до ліній зв'язку (каналів взаємодії). Таким чином, необхідно, щоб об’єкти були захищені під час їх експорту із фізично безпечного оточення.
Функціонування механізмів, що забезпечують реалізацію послуги, може ґрунтуватися на одному з принципів забезпечення конфіденційності таких шляхом:
-керування маршрутом передачі пасивних об'єктів з метою унеможливлення несанкціонованого ознайомлення з їх умістом;
-приховування семантики (вмісту) переданих пасивних об'єктів з використанням шифрування;
-заповнення трафіка методом доповнення хибних даних;
-заповнення трафіка методом генерації хибних повідомлень;
-використання змінного надання даних;
-розподілу каналів для передачі різних частин повідомлення (розподілу спектра);
-організації прихованого каналу передачі усередині іншого відкритого каналу (принцип стеганографії).