Основые Критерии Защищенности Ас.Основные Компоненты Безопасности Tcsecни. Функциональные Услуги Безопасности По НД ТЗИ 2.5-004-99

Вимоги по гарантуванню політики безпеки відбита досить поверхневий, відповідний розділ по суті обмежується вимогами контролю цілісності засобів захисту і  підтримки їх працездатності, чого явно недостатньо.

Проте "Помаранчева  книга" послужила основою для  розробників всіх останніх стандартів інформаційної безпеки і до цих  пір використовується в США як керівний документ при сертифікації комп'ютерних систем обробки інформації. 

   1. НД ТЗІ  2.5-004-99

      2.4.  Галузь використання 

Цей нормативний  документ (далі — Критерії) —  установлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу.

Критерії є  методологічною базою  для визначення вимог з захисту інформації в  комп'ютерних системах від несанкціонованого  доступу; створення захищених  комп'ютерних  систем і засобів захисту від  несанкціонованого доступу; оцінки захищеності інформації в комп'ютерних  системах і їх придатності для  обробки критичної інформації (інформації, що вимагає захисту).

Критерії надають:

1. Порівняльну  шкалу для оцінки надійності  механізмів захисту інформації  від несанкціонованого доступу,  реалізованих в комп'ютерних системах.

2. Базу (орієнтири)  для розробки комп'ютерних систем, в яких мають бути реалізовані  функції захисту інформації.

Критерії можуть застосовуватися до всього спектра  комп'ютерних систем, включаючи однорідні  системи, багатопроцесорні системи, бази даних, вбудовані системи, розподілені  системи, мережі, об'єктно-орієнтовані  системи та ін.

            Цей документ призначено для постачальників (розробників), споживачів (замовників, користувачів) комп'ютерних  систем, які використовуються для  обробки (в тому числі збирання, зберігання, передачі і т. ін.) критичної інформації, а також для органів, що  здійснюють функції оцінювання захищеності  такої інформації та контролю за її обробкою.

Цей документ відображає сучасний стан проблеми і підходів до її розв'язання. З розвитком нових  тенденцій в галузі і за умови  достатньої обгрунтованості  документ є відкритим для включення  до його складу Департаментом спеціальних  телекомунікаційних систем та захисту  інформації  Служби безпеки України  нових послуг

      2.5. Побудова і структура критеріїв  захищеності інформації

В процесі оцінки спроможності комп'ютерної системи  забезпечувати захист оброблюваної інформації від несанкціонованого  доступу розглядаються вимоги двох видів:

вимоги до функцій  захисту (послуг безпеки);

вимоги до гарантій.

В контексті  Критеріїв комп'ютерна система розглядається  як набір функціональних послуг. Кожна  послуга являє собою набір  функцій, що дозволяють протистояти  певній множині загроз. Кожна послуга  може включати декілька рівнів. Чим  вище рівень послуги, тим більш повно  забезпечується захист від певного  виду загроз. Рівні послуг мають  ієрархію за повнотою захисту, проте  не обов'язково являють собою точну  підмножину один одного. Рівні починаються  з першого (1) і зростають до значення n, де n — унікальне для кожного  виду послуг.

Функціональні критерії розбиті на чотири групи, кожна  з яких описує вимоги до послуг, що забезпечують захист від загроз одного із чотирьох основних типів.

Конфіденційність. Загрози, що відносяться до несанкціонованого  ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують  вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги  треба шукати в розділі “Критерії  конфіденційності”. В цьому розділі  описані такі послуги (в дужках наведені умовні позначення для кожної послуги): довірча конфіденційність, адміністративна  конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).

Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують  вимоги щодо обмеження можливості модифікації  інформації, то відповідні послуги  треба шукати в розділі “Критерії  цілісності”. В цьому розділі  описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і  цілісність при обміні.

Доступність. Загрози, що відносяться до порушення можливості використання комп'ютерних систем  або оброблюваної інформації, становлять загрози доступності. Якщо існують  вимоги щодо захисту від відмови  в доступі або захисту від  збоїв, то відповідні послуги треба  шукати в розділі “Критерії доступності”. В цьому розділі описані такі послуги: використання ресурсів, стійкість  до відмов, горяча заміна, відновлення  після збоїв.

Спостереженість. Ідентифікація і контроль за діями  користувачів, керованість комп'ютерною  системою становлять предмет послуг спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю  доступу і за спроможністю комплексу  засобів захисту виконувати свої функції, то відповідні послуги треба  шукати у розділі “Критерії спостереженості”. В цьому розділі описані такі послуги: реєстрація, ідентифікація  і автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу  засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (невідмова від одержання).

Крім функціональних критеріїв, що дозволяють оцінити наявність  послуг безпеки в комп'ютерній  системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність  реалізації послуг. Критерії гарантій включають вимоги до архітектури  комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів  захисту, середовища функціонування і  експлуатаційної документації. В  цих Критеріях вводиться сім  рівнів гарантій (Г-1, ..., Г-7), які є  ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані  в комп'ютерній системі послуги  дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в  свою чергу коректно реалізовані  і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час  експлуатації комп'ютерної  системи.

Всі описані  послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто  реалізація якої-небудь послуги неможлива  без реалізації іншої, то цей факт відбивається як необхідні умови  для даної послуги (або її рівня). За винятком послуги аналіз прихованих каналів залежність між функціональними  послугами і гарантіями відсутня. Рівень послуги цілісність комплексу  засобів захисту НЦ-1 є необхідною умовою абсолютно для всіх рівнів всіх інших послуг.

Порядок оцінки комп'ютерної системи на предмет  відповідності цим Критеріям  визначається відповідними нормативними документами. Експертна комісія, яка  проводить оцінку комп'ютерної системи, визначає, які послуги і на якому  рівні реалізовані в даній  комп'ютерній системі, і як дотримані  вимоги гарантій. Результатом оцінки є рейтинг, що являє собою упорядкований  ряд (перелічення) буквено-числових комбінацій, що позначають рівні реалізованих послуг, в поєднанні з рівнем гарантій. Комбінації упорядковуються в порядку  опису послуг в критеріях. Для  того, щоб до рейтингу комп'ютерної  системи міг бути включений певний рівень послуги чи гарантій, повинні  бути виконані всі вимоги, перелічені в критеріях для даного рівня  послуги або гарантій.

      2.6. Функціональні послуги

В цьому додатку  наводяться деякі пояснення вимог, викладених у функціональних критеріях, а також пояснення з приводу  необхідних умов.

      Критерії  конфіденційності

В будь-якій КС інформація може переміщуватись в одному з двох напрямів: від користувача до об'єкта або від об'єкта до користувача. Шляхи  переміщування, як і пристрої введення-виведення, можуть бути різноманітними. Конфіденційність забезпечується через додержання вимог  політики безпеки щодо переміщення  інформації від об'єкта до користувача  або процесу. Правильне (допустиме) переміщення визначається як переміщення  інформації до авторизованого користувача, можливо, через авторизований процес.

В цьому розділі  Критеріїв зібрані послуги, реалізація яких дозволяє забезпечити захист інформації від несанкціонованого ознайомлення з нею (компрометації). Конфіденційність забезпечується  такими послугами: довірча конфіденційність, адміністративна  конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Принципи, що лежать в  основі реалізації послуг, визначаються політикою конфіденційності.

Довірча конфіденційність

Послуги довірча  конфіденційність і адміністративна  конфіденційність, довірча цілісність і адміністративна цілісність, а  також  деякою мірою —  використання ресурсів, є класичними послугами, що безпосередньо реалізують ту частину  політики безпеки, яка складає ПРД.

Основні особливості  і відмінність довірчого і  адміністративного керування доступом розглянуті в НД ТЗІ 1.1-004-99 “Загальні  положення щодо захисту інформації в комп'ютерних системах від несанкціонованого  доступу". Система, яка реалізує адміністративне  керування доступом, повинна гарантувати, що потоки інформації всередині системи  встановлюються адміністратором і  не можуть бути змінені звичайним  користувачем. З іншого боку, система, яка реалізує довірче керування  доступом, дозволяє звичайному користувачеві  модифікувати, в т. ч. створювати нові потоки інформації всередині системи.

Послуга довірча  конфіденційність дозволяє користувачеві  керувати потоками інформації від захищених  об'єктів, що належать його домену, до інших  користувачів. Як правило, під об'єктами, що належать домену користувача, маються  на увазі об'єкти, власником яких є користувач (створені користувачем).

Для відображення функціональності КС у простір, в  якому не розглядаються права  власності, використовується концепція  матриці доступу. Матриця доступу  являє собою таблицю, уздовж кожного  виміру якої відкладені ідентифікатори об'єктів КС, а як елементи матриці  виступають дозволені або заборонені режими доступу. Матриця доступу  може бути двовимірною (наприклад, користувачі/пасивні  об'єкти) або тривимірною (користувачі/процеси/пасивні  об'єкти). Матриця доступу може бути повною, тобто містити вздовж кожної з осей ідентифікатори всіх існуючих в даний час об’єктів КС даного типу, або частковою. Повна тривимірна матриця доступу дозволяє точно  описати хто (ідентифікатор користувача), через що (ідентифікатор процесу), до чого (ідентифікатор пасивного  об'єкта) та який вид доступу може отримати.

Рівні послуги  довірча конфіденційність ранжируются  на підставі повноти захисту і  вибірковості керування.

Мінімальна довірча  конфіденційність (КД-1). Найбільш слабкою  мірою гарантії захисту від несанкціонованого  ознайомлення є накладення обмеження  на одержання інформації процесами. На цьому рівні дозволені  потоки інформації від об'єкта тільки до певних процесів. Хоч і не існує обмеження  на те, хто може активізувати процес, тобто, хто може одержувати інформацію, КЗЗ обмежує потоки інформації фіксованому  списку процесів, грунтуючись на атрибутах  доступу об'єктів і процесів. Користувач, домену якого належить об’єкт, може змінювати список процесів, які можуть одержувати інформацію від об'єкта. Для такої системи можна побудувати часткову або повну матрицю доступу  процесів до захищених об'єктів.

Базова довірча  конфіденційність (КД-2). В системі, яка  реалізує послугу довірча конфіденційність на рівні КД-2, атрибути доступу об'єктів  і користувачів повинні містити  інформацію, що використовується КЗЗ  для розмежування доступу до об'єктів  з боку конкретного користувача. Додатково повинна існувати можливість встановлювати, які користувачі  можуть активізувати конкретний процес, що дозволяє одержати можливість обмеженого керування потоками інформації. Керування  правами доступу на даному рівні  має невисоку вибірковість. Користувач, домену якого належить об'єкт (процес) може вказати, які групи користувачів і, можливо, які конкретні користувачі  мають право одержувати інформацію від об'єкта (ініціювати процес). Для  такої системи можна побудувати часткову матрицю доступу користувачів до захищених об'єктів і процесів. Прикладом реалізації даного рівня  послуги є реалізоване в UNIX керування  доступом на підставі тріад власник / група / всі інші.

Повна довірча  конфіденційність (КД-3). Основна відміна  від попереднього рівня це те, що КЗЗ повинен забезпечувати більш  високу вибірковість керування тим, які користувачі можуть одержати інформацію від об'єкта або ініціювати процес. Користувач, домену якого належить об'єкт, може вказати права доступу  для кожного конкретного користувача  і групи користувачів. Є можливим включати або вилучати користувачів із списку доступу. Для такої системи  можна побудувати повну матрицю  доступу користувачів до захищених  об'єктів і процесів. Така вибірковість керування може бути одержана, наприклад, за рахунок використання списків  доступу.

Абсолютна довірча  конфіденційність (КД-4). Даний рівень забезпечує повне керування потоками інформації в КС. Атрибути доступу  користувача, процесу і об'єкта повинні  містити інформацію, що використовується КЗЗ для визначення користувачів, процесів і пар процес/користувач, які можуть отримати інформацію від  об'єкта. Таким чином гарантується, що інформація надсилається об’єктом потрібному користувачеві через  авторизований процес. Вимоги до вибірковості керування залишаються такими ж  самими, як і для попереднього рівня. Для такої системи можна побудувати повну матрицю доступу користувачів, процесів і пар користувач/процес до захищених об'єктів і процесів.