Основые Критерии Защищенности Ас.Основные Компоненты Безопасности Tcsecни. Функциональные Услуги Безопасности По НД ТЗИ 2.5-004-99

Клас B2 - на додаток  до B1, обчислювальна база має бути внутрішньо структурована на добре  визначені, відносно незалежні модулі. Обчислювальна база повинна ефективно  використовувати наявне устаткування для відділення елементів, критично важливих з точки зору захисту, від  інших компонентів системи. Модулі бази повинні проектуватися з  врахуванням принципу мінімізації  привілеїв. Для захисту логічно  роздільних об'єктів, що зберігаються, повинні використовуватися апаратні засоби, наприклад сегментація. Має  бути повністю визначений призначений  для користувача інтерфейс з  обчислювальною базою.

Клас B3 - на додаток  до B2, обчислювальна база має бути спроектована і структурована так, щоб використовувати повний і  концептуально простій захисний механізм. Цей механізм повинен грати  центральну роль у внутрішній структуризації обчислювальної бази і всієї системи. База повинна активно використовувати  розділення даних по рівнях. Значні інженерні зусилля мають бути направлені на зменшення складності обчислювальної бази і на винесення  з неї модулів, що немає критично важливими з точки зору захисту.

Цілісність системи:

Клас C1 - мають  бути в наявності апаратні і програмні  засоби, що дозволяють періодично перевіряти коректність функціонування апаратних  і мікропрограмних компонентів  обчислювальної бази.

Аналіз таємних  каналів передачі інформації:

Клас B2 - системний  архітектор повинен ретельно проаналізувати можливості по організації таємних  каналів з пам'яттю і оцінити  максимальну пропускну спроможність кожного виявленого каналу.

Клас B3 - на додаток  до B2, аналогічна процедура має бути виконана для тимчасових каналів.

Клас A1 - на додаток  до B3, для аналізу повинні використовуватися  формальні методи.

Надійне адміністрування:

Клас B2 - система  повинна підтримувати розділення функцій  оператора і адміністратора.

Клас B3 - на додаток  до B2, має бути специфікована роль адміністратора безпеки. Отримати права  адміністратора безпеки можна лише після виконання явних, протокольованих  дій. Дії адміністратора безпеки, що не відносяться до захисту, мають  бути по можливості обмежені.

Надійне відновлення:

Клас B3 - повинні  існувати процедури і механізми, що дозволяють виробити відновлення  після збою або іншого порушення  роботи без ослабіння захисту.

Тестування:

Клас C1 - захисні  механізми мають бути протестовані на предмет відповідності їх поведінки  системній документації. Тестування повинне підтвердити, що у неавторизованого користувача немає очевидних  способів обійти або зруйнувати засоби захисту обчислювальної бази.

Клас C2 - на додаток  до C1, тестування повинне підтвердити  відсутність очевидних недоліків  в механізмах ізоляції ресурсів і  захисту реєстраційної інформації.

Клас B1 - на додаток  до C2, група фахівців, що повністю розуміють  конкретну реалізацію обчислювальної бази, повинна піддати опис архітектури, вихідні і об'єктні коди ретельному аналізу і тестуванню. Мета повинна  полягати у виявленні всіх дефектів архітектури і реалізації, що дозволяють суб'єктові без належної авторизації  читати, змінювати, видаляти інформацію або наводити базу в стан, коли вона перестає обслуговувати запити інших  суб'єктів. Всі виявлені недоліки мають  бути виправлені або нейтралізовані, після чого база піддається повторному тестуванню, аби переконатися у відсутності  колишніх або придбанні нових  недоліків.

Клас B2 - на додаток  до B1, має бути продемонстрована відносна стійкість обчислювальної бази до спроб  проникнення.

Клас B3 - на додаток  до B2, має бути продемонстрована стійкість  обчислювальної бази до спроб проникнення.

Клас A1 - на додаток  до B3, тестування повинне продемонструвати, що реалізація обчислювальної бази відповідає формальним специфікаціям верхнього  рівня.

Основу тестування засобів захисту від проникнення  в систему повинно складати наявність  специфікацій на вихідні тексти.

Верифікація специфікацій архітектури:

Клас B1 - повинна  існувати неформальна або формальна  модель політики безпеки, підтримуваною  обчислювальною базою. Модель повинна  відповідати основним посилкам політики безпеки впродовж всього життєвого  циклу системи.

Клас B2 - на додаток  до B1, модель політики безпеки має  бути формальною. Для обчислювальної бази повинні існувати описові специфікації верхнього рівня, точно і що повно  визначають її інтерфейс.

Клас B3 - на додаток  до B2, мають бути приведені переконливі  аргументи відповідності між  специфікаціями і моделлю.

Клас A1 - на додаток  до B3, окрім описових мають бути представлені формальні специфікації верхнього  рівня, що відносяться до апаратних  і мікропрограмних елементів, складовим  інтерфейс обчислювальної бази. Комбінація формальних і неформальних методів  повинна підтвердити відповідність  між специфікаціями і моделлю. Повинні  використовуватися сучасні методи формальної специфікації і верифікації  систем, доступні Національному центру комп'ютерної безпеки США.

Конфігураційне  управління:

Клас B2 - в процесі  розробки і супроводу обчислювальної бази повинна використовуватися  система конфігураційного управління, що забезпечує контроль за змінами  в описових специфікаціях верхнього  рівня, інших архітектурних даних, реалізаційній документації, вихідних текстах, працюючій версії об'єктної коди, тестових даних і документації. Конфігураційне управління повинне  забезпечувати відповідність один одному всіх аспектів поточної версії обчислювальної бази. Повинні надаватися засоби генерації нових версій бази по вихідних текстах і засобу для  порівняння версій, аби переконатися в тому, що вироблені лише заплановані  зміни.

Клас A1 - на додаток  до B2, механізм конфігураційного управління повинен поширюватися на весь життєвий цикл і всі компоненты системи, що мають відношення до забезпечення безпеки, включаючи специфікації і документацію. Для захисту еталонної копії  матеріалів, що використовуються для  генерації надійної обчислювальної бази, повинна використовуватися  комбінація фізичних, адміністративних і технічних заходів.

Надійне поширення:

Клас A1 - повинна  підтримуватися цілісність відповідності  між еталонними даними, що описують поточну версію обчислювальної бази, і еталонною копією текстів цієї версії. Повинні існувати процедури, підтверджуючі відповідність між  апаратними і програмними компонентами, що поставляються клієнтам, і еталонною  копією.

         1.3.4. Вимоги до документації

Посібник користувача  по засобах безпеки:

Клас C1 - окремий  фрагмент документації (глава, том) повинен  описувати захисні механізми, що надаються обчислювальною базою, і  їх взаємодію між собою, містити  рекомендації по їх використанню.

Керівництво адміністратора по засобах безпеки:

Клас C1 - керівництво  повинне містити відомості про  функції і привілеї, якими управляє системний адміністратор за допомогою  механізмів безпеки.

Клас C2 - на додаток  до C1, повинні описуватися процедури  обробки реєстраційної інформації і управління файлами з такою  інформацією, а також структура  записів для кожного типа реєстрованих подій.

Клас B1 - на додаток  до C2, керівництво повинне описувати  функції оператора і адміністратора, що зачіпають безпеку, у тому числі  дії із зміни характеристик користувачів. Мають бути представлені рекомендації по погодженому і ефективному  використанню засобів безпеки, їх взаємодії  один з одним, по безпечній генерації  нових версій обчислювальної бази.

Клас B2 - на додаток  до B1, мають бути вказані модулі обчислювальної бази, що містять механізми перевірки  звернень. Має бути описана процедура  безпечної генерації нової версії бази після внесення змін до вихідних текстів.

Клас B3 - на додаток  до B2, має бути описана процедура, що забезпечує безпеку початкового  запуску системи і відновлення  її роботи після збою.

Тестова документація:

Клас C1 - розробник  системи повинен представити  експертній пораді документ, що містить  план тестів, процедури прогону тестів і результати тестів.

Клас B2 - на додаток  до C1, тести повинні підтверджувати дієвість заходів по зменшенню пропускної спроможності таємних каналів передачі інформації.

Клас A1 - на додаток  до B2, має бути описана відповідність  між формальними специфікаціями верхнього рівня і вихідними  текстами.

Опис архітектури:

Клас C1 - мають  бути описані підхід до безпеки, використовуваний виробником, і вживання цього підходу  при реалізації обчислювальної бази. Якщо база складається з декількох  модулів, має бути описаний інтерфейс  між ними.

Клас B1 - на додаток  до C1, має бути представлений неформальний або формальний опис моделі політики безпеки, що проводиться в життя  обчислювальною базою. Необхідна наявність  аргументів на користь достатності  вибраної моделі для реалізації політики безпеки. Мають бути описані захисні  механізми бази і їх місце в  моделі.

Клас B2 - на додаток  до B1, модель політики безпеки має  бути формальною і доказовою. Повинно  бути показано, що описові специфікації верхнього рівня точно відображають інтерфейс обчислювальної бази. Повинно  бути показано, як база реалізує концепцію  монітора звернень, чому вона стійка до спроб відстежування її роботи, чому її не можна обійти і чому вона реалізована  коректно. Має бути описана структура  бази, аби полегшити її тестування і перевірку дотримання принципу мінімізації привілеїв. Документація повинна містити результати аналізу  таємних каналів передачі інформації і опис заходів протоколювання, що допомагають виявляти канали з пам'яттю.

Клас B3 - на додаток  до B2, має бути неформальний продемонстрована відповідність між описовими  специфікаціями верхнього рівня  і реалізацією обчислювальної бази.

Клас A1 - на додаток  до B3, має бути неформальний продемонстрована відповідність між формальними  специфікаціями верхнього рівня  і реалізацією обчислювальної бази.

Такі, згідно "Помаранчевій книзі", вимоги до класів безпеки  інформаційних систем.

      1.3.  Інтерпретація і розвиток TCSEC.

Публікація TCSEC стала важливим етапом як в постановці основних теоретичних проблем комп'ютерної  безпеки, так і у вказівці напряму  їх рішення. Проте, в ході вживання її основних положень з'ясувалося, що частина  практично важливих питань залишилася за рамками даного стандарту. Крім того, з часом (з моменту публікації прошло п'ятнадцять років) ряд положень застаріли і потребyють перегляду.

Круг специфічних  питань по забезпеченню безпеки комп'ютерних  мереж і систем управління базами даних знайшов віддзеркалення в  окремих документах, виданих Національним центром комп'ютерної безпеки  США у вигляді доповнень до "Помаранчевої книги":

"Інтерпретація  TCSEC для комп'ютерних мереж" (Trusted Network Interpretation [9]).

"Інтерпретація  TCSEC для систем управління базами  даних" (Trusted Database Management System Interpretation [10]).

Ці документи  містять трактування, основних положень "Помаранчевої книги" стосовно відповідних  класів систем обробки інформації.

Застарівання  ряду положень TCSEC обумовлене перш за все  інтенсивним розвитком комп'ютерних  технологій і переходом з обчислювальних комплексів типа IBM-360/270 (радянський аналог-машини серії ЄС) до робочих станцій, високопродуктивних персональних комп'ютерів і мережевої  моделі обчислень. Саме для того, щоб  виключити що виникла у зв'язку із зміною апаратної платформи некоректність  деяких положень "Помаранчевої книги", адаптувати їх до сучасних умов і зробити  адекватними потребам розробників  і користувачів програмного забезпечення, і була виконана значна робота по інтерпретації  і розвитку положень цього стандарту. В результаті виникли цілий ряд  супутніх "Помаранчевій книзі" документів, багато хто з яких став її невід'ємною  частиною. До найчастіше згадуваним відносяться:

      На закінчення відзначимо, що  критерії TCSEC Міністерства оборони  США є першою спробою створити  єдиний стандарт безпеки, розрахований  на проектувальників, розробників,  споживачів і фахівців з сертифікації  систем безпеки комп'ютерних систем. Свого часу цей документ з'явився  значним кроком в області безпеки  інформаційних технологій і послужив  відправною крапкою для багаточисельних  досліджень і розробок. Основною  відмінною рисою цього документа,  як вже наголошувалося, є його  орієнтація на системи військового  вживання, причому в основному  на операційні системи. Це зумовило  домінування вимог, направлених  на забезпечення конфіденційності  оброблюваної інформації і унеможливлення  її розголошування. Велика увага  приділена міткам конфіденційності (грифам секретності) і правилам  експорту секретної інформації.