Основые Критерии Защищенности Ас.Основные Компоненты Безопасности Tcsecни. Функциональные Услуги Безопасности По НД ТЗИ 2.5-004-99

Необхідною умовою для реалізації всіх рівнів даної  послуги є реалізація рівня НИ-1 послуги ідентифікація і автентифікація

Цілісність при  обміні

Дана послуга  дозволяє забезпечити захист об'єктів  від несанкціонованої модифікації  інформації, що міститься в них, під  час їх експорту/імпорту через  незахищене середовище. Найчастіше ця послуга реалізується з використанням  таких механізмів криптографічного захисту, як цифровий підпис і коди автентифікації повідомлень. Рівні  даної послуги ранжируються на підставі повноти захисту і вибірковості керування. Під повнотою захисту, як і для послуги конфіденційність при обміні, треба розуміти множину  типів загроз, від яких забезпечується захист. Під ступенем захищеності  об'єктів, що експортуються, як правило, слід розуміти криптостійкість використовуваних алгоритмів шифрування.

Рівень ЦВ-1 даної  послуги забезпечує мінімальний  захист. На включення даного рівня  в свій рейтинг може претендувати система, що дозволить на підставі цифрового  підпису перевіряти цілісність функціонуючого на ЕОМ ПЗ, або система електронної  пошти, що забезпечує цифровий підпис повідомлень.

Реалізація даної  послуги на рівні ЦВ-2 додатково  дозволяє керувати засобами експорту і імпорту об'єктів і додатково  забезпечує захист від помилок користувача  та інших випадкових помилок, а також  від модифікації інформації у  разі підключенні несанкціонованих користувачів.

Реалізація даної  послуги на рівні ЦВ-2 додатково  дозволяє забезпечити виявлення  випадкових або навмисних порушень цілісності не тільки окремих повідомлень, але і потоків повідомлень  в цілому.

      Критерії  доступності

Для того, щоб  КС могла бути оцінена на відповідність  критеріям доступності, КЗЗ КС, що оцінюється, повинен надавати послуги  щодо забезпечення можливості використання КС в цілому, окремих функцій або  оброблюваної інформації, на певному  проміжку часу і гарантувати спроможність КС функціонувати в разі відмови  її компонентів. Доступність може забезпечуватися  в КС  такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення  після збоїв.

Використання  ресурсів

Дана послуга  дозволяє керувати використанням послуг і ресурсів користувачами. Рівні  даної послуги ранжируються на підставі повноти захисту і вибiрковості керування доступністю послуг КС.

Найслабкішою  формою контролю за використанням ресурсів є використання квот. Всі захищені об'єкти КС (наприклад, дисковий простір, тривалість сеансу, час використання центрального процессора і т. ін.) повинні iдентифікуватись і контролюватись диспетчером доступу шляхом накладення обмежень на максимальний обсяг даного ресурсу, що може бути виділений користувачу. На даному рівні послуги немає  гарантій, що користувач не зможе повністю захопити решту певного ресурсу, обмежуючи тим самим доступ до нього інших користувачів.

Рівень послуги  ДР-2  являє собою реалізацію досконалішої форми квот. Квоти використовуються таким чином, щоб гарантувати, що жоден користувач не зможе захопити решту певного ресурсу, дозволяючи виділяти менші обсяги ресурсів, ніж  максимальна квота користувача, гарантуючи таким чином іншому користувачеві  доступ до розділюваного ресурсу.

Рівень послуги  ДР-3 додатково дозволяє управляти  пріоритетністю використання ресурсів. Користувачі групуються адміністратором  так, щоб визначити пріоритетні  групи. Таким чином, у разі високого завантаження КС може знаходитись в  стані, коли тільки користувачі, які  мають високий приорітет, можуть мати доступ до системи за рахунок  інших користувачів.

Необхідною умовою для реалізації всіх рівнів даної  послуги є реалізація рівня НО-1 послуги розподіл обов'язків (і як наслідок, — рівня НИ-1 послуги iдентифікація і автентифікація).

Стійкість до відмов

Стійкість до відмов гарантує доступність КС (можливість використання інформації, окремих функцій  чи КС в цілому) після відмови  її компоненту. Рівні даної послуги  ранжируються на підставі спроможності КЗЗ забезпечити можливість КС продовжувати функціонування залежно від кількості  відмов і послуг, доступних після  відмови.

Необхідною умовою для реалізації всіх рівнів даної  послуги є реалізація рівня НО-1 послуги розподіл обов'язків (і, як наслідок, — рівня НИ-1 послуги iдентифікація і автентифікація).

Гаряча заміна

Ця послуга  дозволяє гарантувати доступність  КС (можливість використання інформації, окремих функцій або КС в цілому) в процесі заміни окремих компонентів. Рівні даної послуги ранжируються на підставі повноти захисту. Основна  мета реалізації даної послуги полягає  в тому, що встановлення нової версії системи, відмова або заміна захищеного компонента не повинні призводити до того, що система потрапить до стану, коли політика  безпеки, що реалізується нею,  стане  скомпрометованою.

Необхідною умовою для реалізації всіх рівнів даної  послуги, є реалізація рівня НО-1 послуги розподіл обов'язків (і, як наслідок, — рівня НИ-1 послуги ідентифікація  і автентифікація), а для рівнів ДЗ-2 і ДЗ-3 — рівня ДС-1 послуги  стійкість до відмов, оскільки для  того, щоб забезпечити можливість гарячої заміни  компонента, система  повинна забезпечувати свою працездатність у разі відмови даного компонента.

Відновлення після  збоїв

Дана послуга  забезпечує повернення КС до відомого захищеного стану після відмови  або переривання обслуговування. Рівні даної послуги ранжируються на підставі міри автоматизації процесу  відновлення. Відновлення може вимагати втручання оператора, а для її більш високих рівнів реалізації КЗЗ може продукувати відновлення  працездатності автоматично. Якщо відновлення  неможливе, то КЗЗ повинен переводити систему до стану, з якого її може повернути до нормального функціонування тільки адміністратор.

Необхідною умовою для реалізації всіх рівнів даної  послуги — реалізація рівня НО-1 послуги розподіл обов'язків (і, як наслідок, — рівня НИ-1 послуги ідентифікація  і автентифікація).

      Критерії  спостереженості

Для того, щоб  КС могла бути оцінена на відповідність  критеріям спостереженості, КЗЗ  повинен надавати послуги щодо забезпечення відповідальності користувача за свої дії і щодо підтримки спроможності КЗЗ виконувати свої функції. Спостережність забезпечується в  КС  такими послугами: реєстрація (аудит), ідентифікація і  автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача.

Реєстрація

Реєстрація дозволяє контролювати небезпечні для КС дії. Рівні даної послуги ранжируються  залежно від повноти і вибірковості контролю, складності засобів аналізу  даних журналів реєстрації і спроможності виявлення потенційних порушень.

Реєстрація —  це процес розпізнавання, фіксування і  аналізу дій і подій, що пов'язані  з дотриманням політики безпеки  інформації. Використання засобів перегляду  і аналізу журналів, а особливо засобів налагодження механізмів фіксування подій, має бути прерогативою спеціально авторизованих користувачів.

Вибір фізичного  носiя, що використовується для зберігання даних реєстрації, повинен відповідати  способу використання і обсягу даних. Будь-яке переміщення таких даних  має виконуватись способом, що гарантує їх безпеку. Одним із найбезпечніших, хоч і досить дорогих рішень, є  використання носіїв з одноразовим  записом. В будь-якому випадку  рівень захищеності даних реєстрації має бути не нижче, ніж рівень захищеності  даних користувачів, яку забезпечують реалізовані послуги конфіденційності і цілісності. Повинні бути вироблені  угоди щодо планування і ведення  архівів даних реєстрації.

Для жодного  з рівнів послуги не встановлюється ніякого фіксованого набору контрольованих подій, оскільки для кожної системи  їх перелік може бути специфічним. Критична для безпеки подія визначається як подія, пов'язана з звертанням до якої-небудь послуги безпеки або  результатів виконання якої-небудь функції КЗЗ, або як будь-яка інша подія, яка хоч прямо і не пов'язана  з функціонуванням механізмів, які  реалізують послуги безпеки, але  може призвести до порушення політики безпеки. Остання група подій  визначається як така, що має непряме  відношення до безпеки. Для визначення ступеню небезпеки таких подій  часто необхідним має бути їх аналіз у контексті інших подій, що відбулися.

Для реалізації найбільш високих рівнів даної послуги  необхідна наявність засобів  аналізу журналу реєстрації. Засоби аналізу  — це  засоби, що виконують  більш складну, ніж перегляд, оцінку журналу реєстрації з метою виявлення  можливих порушень політики безпеки. Ці засоби повинні надавати адміністратору можливість виконання сортування, фільтрації за певними критеріями та інших подібних операцій. КЗЗ повинен надавати адміністратору можливість вибирати події, що реєструються. Це може бути досягнено або через "передвибірки", або "поствибірки". Передвиборка  подій, що реєструються, дозволяє виділити під час ініціалізації  системи з всієї множини доступних  для реєстрації подій підмножину тих, що необхідно реєструвати в  журналі. Використовуючи передвибірку, адміністратор може зменшити кількість  реально реєстрованих подій  і, отже, розмір остаточного журнального  файла. Недоліком предвибірки є  те, що ті події, які не були вибрані, не можуть уже пізніше бути проаналізовані, навіть, якщо постає така необхідність. Перевага поствибірки полягає в  гнучкості можливості аналізу "пост-фактум", проте така організація ведення  журнального файла вимагає виділення  значного обсягу пам'яті для даних  реєстрації.

Для реалізації найбільш високого рівня даної послуги (НР-5) необхідно, щоб аналіз даних  реєстрації здійснювався в реальному  часі.

Необхідною умовою для реалізації всіх рівнів даної  послуги є реалізація рівня НИ-1 послуги ідентифікація і автентифікація, а для рівнів вище НР-1 — рівня  НО-1 послуги розподіл обов'язків.

Ідентифікація і автентифікація

Ідентифікація і автентифікація дозволяють КЗЗ  визначити і перевірити особистість  користувача (фізичної особи), який намагається  одержати доступ до КС. Хоч поняття  ідентифікація і автентифікація відрізняються, на практиці обидва ці процеси важко буває поділити. Важливо, щоб в кінцевому підсумку були підстави стверджувати, що система  має справу з конкретним відомим  їй користувачем. За результатами ідентифікації  і автентифікації користувача система (КЗЗ), по-перше, приймає рішення про  те, чи дозволено даному користувачеві  ввійти в систему, і, по-друге, використовує одержані результати надалі для  здійснення розмежування  доступу на підставі атрибутів доступу користувача, що увійшов.

Рівні даної  послуги ранжируються залежно від  числа задіяних механізмів автентифікації Відомі три основних типа автентифікації: щось, відоме користувачеві; щось, чим  володіє користувач; щось, властиве користувачеві.

Пароль, персональний ³äåíòèô³êàö³éíèé номер або інша подібна інформація є прикладом  того, що називається "дещо, відоме користувачеві". Даний тип автентифікації є простим  у реалізації і достатньо ефективним. Проте його ефективність обмежена простотою  його повторення: достатньо просто обчислити або вгадати інформацію автентифікації, а для її дублювання не вимагається спеціального устаткування чи можливостей.

Такі фізичні  об'єкти як смарт-карта, магнiтна картка, генератор запитів-відповідей, електронний  ключ або фізично прошитий криптографічний  ключ є прикладами того, що називається "дещо, чим володіє користувач". Основною перевагою даного типу автентифікації є складність або висока вартість дублювання інформації автентифікації. З іншого боку, втрата пристрою автентифікації може стати причиною потенційної  компрометації. Проте, в більшості  випадків достатньо просто установити факт втрати такого пристрою і попередити адміністратора безпеки про необхідність зміни інформації автентифікації.

Результати таких  біометричних вимірювань, як відбитки пальців, параметри райдужної оболонки ока або геометрія руки служать  прикладами того, що називають "дещо, що властиве користувачеві". Реалізація даного типу автентифікації повинна  забезпечувати значно сильнішу автентифікацію, ніж два попередніх типи. Основною перешкодою для використання даного механізму є висока вартість пристроїв  автентифікації. Крім того, використання цих достатньо дорогих засобів  автентифікації не гарантує безпомилкової  роботи. Рівень (ймовірність) помилок  першого і другого роду для  таких пристроїв може стати непридатним  для деяких застосувань.

Для підвищення ефективності захисту від специфічних  загроз несанкціонованого доступу  для найбільш високого рівня даної  послуги (НИ-3) вимагається використання комбінації мінімум двох різних типів  автентифікації, наприклад, введеного  з клавіатури пароля і носимого ідентифікатора.

Для реалізації рівнів НИ-2 і НИ-3 даної послуги  необхідною умовою є реалізація рівня  НК-1 послуги достовірний канал.

Достовірний канал

Дана послуга  дозволяє гарантувати, що користувач взаємодіє  безпосередньо з КЗЗ і ніякий інший користувач або процес не може втручатись у взаємодію (підслухати або модифікувати інформацію, що передається). Рівні даної послуги ранжируються в залежності від того, чи має  КЗЗ можливість ініціювати захищений  обмін, чи це є прерогативою користувача.