Чем отличаются классы защищенности свт
Перейти к содержимому

Чем отличаются классы защищенности свт

  • автор:

Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.)

Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Принятые сокращения

АС — автоматизированная система
КД — конструкторская документация
КСЗ — комплекс средств защиты
НСД — несанкционированный доступ
ПРД — правила разграничения доступа
СВТ — средства вычислительной техники

1. Общие положения

1.1. Данные показатели содержат требования защищенности СВТ от НСД к информации.

1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).

Конкретные перечни показателей определяют классы защищенности СВТ.

Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.

Каждый показатель описывается совокупностью требований.

Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.

1.3. Требования к показателям реализуются с помощью программно-технических средств.
Совокупность всех средств защиты составляет комплекс средств защиты.
Документация КСЗ должна быть неотъемлемой частью конструкторской документации на СВТ.

1.4. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

1.5. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

1.6. Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может быть использовано для повышения гарантий качества защиты.

2. Требования к показателям защищенности

2.1. Показатели защищенности
2.1.1. Перечень показателей по классам защищенности СВТ приведен в таблице.
Обозначения:
«-» — нет требований к данному классу;
«+» — новые или дополнительные требования,
Наименование показателя
Класс защищенности

2.1.2. Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми.

2.1.3. Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

2.2. Требования к показателям защищенности шестого класса.
2.2.1. Дискреционный принцип контроля доступа.

КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

2.2.2. Идентификация и аутентификация.

КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность идентификации — осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации. КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась.

Вопрос 2. Показатели защищенности СВТ от НСД

Данный руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам. Конкретные перечни показателей определяют классы защищенного СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

Установлено семь классов защищенности СВТ от НСД к информации. Самые низкие требования представляются к системам, соответствующим седьмому классу, самые высокие – к первому. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

• первая группа содержит только один седьмой класс;

• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

• четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Выбор класса защищенности СВТ для автоматизированных систем (АС), создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы. Показатели защищенности и установленные требования к классам приведены в таблице 1.

Распределение показателей защищенности по классам СВТ

«-» – нет требований к данному классу;

«+» – новые или дополнительные требования;

«=» – требования совпадают с требованиями к СВТ предыдущего класса;

Конкретные требования, предъявляемые к различным классам СВТ изложены в соответствующем документе ГТК.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

Оценка класса защищенности СВТ проводится группой экспертов.

Эксперты должны знать все нормативные требования и документы по проблемам защиты СВТ от НСД к информации, назначение и функционирование СВТ и пройти соответствующую аттестацию на допуск к таким работам.

Выполняется два вида работ:

• оценка класса защищенности СВТ.

Оценка проекта (создаваемого СВТ или модернизируемого с целью повышения уровня защищенности) проводится путем всестороннего изучения конструкторской (проектной) документации на СВТ и ее соответствия требованиям заданного класса защищенности.

Результат – предварительное техническое заключение экспертов о достаточности предлагаемых мер и соответствии предъявленным требованиям.

Оценка класса защищенности СВТ проводится в два этапа:

• первый этап – изучают документацию к СВТ: описание принципов работы, описание ПРД, описание КСЗ, тесты, отчеты о проведенных исследованиях и другие документы. (Техническое заключение по данному этапу должно отражать соответствие описанных в документации свойств СВТ и предъявленных требований);

• второй этап – проводят всестороннее тестирование СВТ (как функциональное, так и на проникновение) по специальной программе и методике, а также оценку эффективности реализации средств защиты.

Испытания могут, при необходимости, дополняться в установленном порядке другими проверками, а также включать оценку тестов разработчика.

По итогам второго этапа оценки СВТ составляется техническое заключение, в котором излагается:

• описание комплекса средств защиты;

• оценка класса защищенности СВТ в соответствии с заданными показателями;

• наличие и соответствие дополнительных требований;

• аргументация оценки: объяснение соответствия КСЗ требованиям данных показателей, посредством каких средств обеспечивается выполнение каждого требования;

• описание испытаний, которым подвергалось СВТ (с указанием состава технических и программных средств);

• вывод о соответствии СВТ определенному классу защищенности и объяснение, почему СВТ не может быть сертифицировано по более высокому классу защищенности;

Данный текст является ознакомительным фрагментом.

Продолжение на ЛитРес

Читайте также

2.2. Показатели качества как основная категория оценки потребительских ценностей

2.2. Показатели качества как основная категория оценки потребительских ценностей Сегодня на рынке большое количество разнообразной продукции (товаров и марок) с самыми различными ценами на кажущиеся (покупателю) одинаковые товары и в то же время одинаковыми ценами на

Показатели качества воды и их определение. Влияние на здоровье человека

Показатели качества воды и их определение. Влияние на здоровье человека Под качеством природной воды в целом понимается характеристика ее состава и свойств, определяющая ее пригодность для конкретных видов водопользования (ГОСТ 17.1.1.01–77), при этом критерии качества

Органолептические показатели

Органолептические показатели Любое знакомство со свойствами воды начинается с определения органолептических показателей, т. е. таких, для определения которых мы пользуемся нашими органами чувств (зрением, обонянием, вкусом).Органолептическая оценка приносит много

Микробиологические показатели

Микробиологические показатели Уровень загрязненности и класс качества водных объектов иногда устанавливают в зависимости от микробиологических показателей. Одна из классификаций приведена в таблице 14.Таблица 15. Оценка качества вод по микробиологическим

Вопрос 1. Разновидности аналитических работ по оценке защищенности

Вопрос 1. Разновидности аналитических работ по оценке защищенности Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний наверняка задавалось вопросом: «Как оценить уровень защищенности информационных активов компании

Вопрос 3. Классы защищенности автоматизированных систем

Вопрос 3. Классы защищенности автоматизированных систем Под АС понимается ориентированная на конкретных пользователей система обработки данных.Документы ГТК устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной

4.4.5. Направления повышения защищенности стегосистем от статистических атак

4.4.5. Направления повышения защищенности стегосистем от статистических атак Таким образом, различные стегосистемы, использующие принцип замены младших битов элементов контейнеров на биты встраиваемого сообщения, оказались нестойкими против статистических атак.

19. Значение механических и физических свойств при эксплуатации изделий Свойства, как показатели качества материала

19. Значение механических и физических свойств при эксплуатации изделий Свойства, как показатели качества материала Свойства металлов делятся на физические, химические, механические и технологические. К физическим свойствам относятся: цвет, удельный вес, плавкость,

5.12.2 Показатели управления разработкой ПО

5.12.2 Показатели управления разработкой ПО Разработчик должен использовать показатели управления разработкой ПО для поддержки управления процессом разработки ПО и уведомления заказчика о состоянии разработки. Разработчик должен идентифицировать данные, необходимые

Требования к классам защищенности АС

Настоящий руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34.680-90 и других документов.

Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите.

Принятые сокращения

  • АС — автоматизированные системы
  • НСД — несанкционированный доступ
  • РД — руководящий документ
  • СЗИ — система защиты информации
  • СЗИ НСД — система защиты информации от несанкционированного доступа

Классификация АС

1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

1.4. Основными этапами классификации АС являются:

  • разработка и анализ исходных данных;
  • выявление основных признаков АС, необходимых для классификации;
  • сравнение выявленных признаков АС с классифицируемыми;
  • присвоение АС соответствующего класса защиты информации от НСД.

1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются:

  • перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
  • перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
  • матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
  • режим обработки данных в АС.

1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС — коллективный или индивидуальный.

1.8. Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.

Требования по защите информации от НСД для АС

2.1. Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

2.2. В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

  • управления доступом;
  • регистрации и учета;
  • криптографической;
  • обеспечения целостности.

2.3. В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с пп. 2.4, 2.7 и 2.10. Подробно эти требования сформулированы в пп. 2.5, 2.6, 2.8, 2.9 и 2.11-2.15.

2.4. Требования к АС третьей группы Обозначения:

  • » — » — нет требований к данному классу;
  • » + » — есть требования к данному классу.

Таблица требований к классам 1Д,1Г,1В,1Б,1А

  • Требования к классу защищенности 1Г
  • Требования к классу защищенности 1Б
  • Требования к классу защищенности 1В
Подсистемы и требования
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ + + + +
к программам + + + +
к томам, каталогам, файлам, записям, полям записей + + + +
1.2. Управление потоками информации + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети) + + + + +
выдачи печатных (графических) выходных документов + + + +
запуска (завершения) программ и процессов (заданий, задач) + + + +
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи + + + +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей + + + +
изменения полномочий субъектов доступа + + +
создаваемых защищаемых объектов доступа + + +
2.2. Учет носителей информации + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей + + + +
2.4. Сигнализация попыток нарушения защиты + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах +
3.3. Использование аттестованных (сертифицированных) криптографических средств + +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + + + + +
4.3. Наличие администратора (службы) защиты информации в АС + + +
4.4. Периодическое тестирование СЗИ НСД + + + + +
4.5. Наличие средств восстановления СЗИ НСД + + + + +
4.6. Использование сертифицированных средств защиты + + +

Таблица требований к классам 3Б,3А

Подсистемы и требования
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ
к программам
к томам, каталогам, файлам, записям, полям записей
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (ы) (узел сети) + +
выдачи печатных (графических) выходных документов +
запуска (завершения) программ и процессов (заданий, задач)
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей
изменения полномочий субъектов доступа
создаваемых защищаемых объектов доступа
2.2. Учет носителей информации + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей +
2.4. Сигнализация попыток нарушения защиты
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных) криптографических средств
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + +
4.3. Наличие администратора (службы) защиты информации в АС
4.4. Периодическое тестирование СЗИ НСД + +
4.5. Наличие средств восстановления СЗИ НСД + +
4.6. Использование сертифицированных средств защиты +

Таблица требований к классам 2Б,2А

Подсистемы и требования
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ +
к программам +
к томам, каталогам, файлам, записям, полям записей +
1.2. Управление потоками информации +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети) + +
выдачи печатных (графических) выходных документов +
запуска (завершения) программ и процессов (заданий, задач) +
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей +
изменения полномочий субъектов доступа
создаваемых защищаемых объектов доступа +
2.2. Учет носителей информации + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей +
2.4. Сигнализация попыток нарушения защиты
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных) криптографических средств +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + +
4.3. Наличие администратора (службы) защиты информации в АС +
4.4. Периодическое тестирование СЗИ НСД + +
4.5. Наличие средств восстановления СЗИ НСД + +
4.6. Использование сертифицированных средств защиты +

Дополнительно

2.16. Организационные мероприятия в рамках СЗИ НСД в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ.

2.17. При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются следующие организационные мероприятия:

  • выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;
  • определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
  • установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;
  • ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
  • получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
  • обеспечение охраны объекта, на котором расположена защищаемая АС, (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи;
  • выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;
  • организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
  • разработка СЗИ НСД, включая соответствующую организационно-распорядительную и эксплуатационную документацию;
  • осуществление приемки СЗИ НСД в составе АС.

2.18. При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:

  • не ниже 4 класса — для класса защищенности АС 1В;
  • не ниже 3 класса — для класса защищенности АС 1Б;
  • не ниже 2 класса — для класса защищенности АС 1А.

Средства вычислительной техники защита от несанкционированного доступа к информации ГОСТ Р 50739-95

Настоящий стандарт устанавливает единые функциональные требо­вания к защите средств вычислительной техники (СВТ) от несанкцио­нированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.

Под СВТ в данном стандарте понимается совокупность программ­ных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Применение в комплекте СВТ средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.

Требования настоящего стандарта являются обязательными.

2. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

В настоящем стандарте применены следующие сокращения :

СВТ — средства вычислительной техники;

НСД — несанкционированный доступ;

КСЗ — комплекс средств защиты;

ПРД — правила разграничения доступа.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1. Требования к защите реализуются в СВТ в виде совокупнос­ти программно-технических средств защиты.

Совокупность всех средств защиты составляет КОМПЛЕКС СРЕДСТВ ЗАЩИТЫ (КСЗ).

3.2. В связи с тем, что показатели защищенности СВТ описыва­ются требованиями, варьируемыми по уровню и глубине в зависимос­ти от класса защищенности СВТ, в настоящем стандарте для любого показателя приводится набор требований, соответствующий ВЫСШЕМУ КЛАССУ защищенности от НСД.

3.3. Стандарт следует использовать при разработке технических заданий, при формулировании и проверке требований к защите инфор­мации.

4. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

Защищенность от НСД к информации при ее обработке СВТ харак­теризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициированные ими, будут иметь доступ к чтению, записи, созданию или уничтожению информации.

Защищенность обеспечивается тремя группами требований к средствам защиты, реализуемым в СВТ:

а) требования к разграничению доступа, предусматривающие то, что СВТ должны поддерживать непротиворечивые, однозначно опреде­ленные правила разграничения доступа;

б) требования к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событий, имеющих отношение к защищеннос­ти информации;

в) требования к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, поз­воляющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету.

5. ГРУППЫ ТРЕБОВАНИЙ

5.1. Требования к разграничению доступа

5.1.1. Требования к разграничению доступа определяют следую­щие показатели защищенности, которые должны поддерживаться СВТ:

а) дискреционный принцип контроля доступа;

б) мандатный принцип контроля доступа;

в) идентификация и аутентификация;

г) очистка памяти;

д) изоляция модулей;

е) защита ввода и вывода на отчуждаемый физический носитель информации;

ж) сопоставление пользователя с устройством.

5.1.2. Для реализации ДИСКРЕЦИОННОГО принципа контроля доступа КСЗ должен контролировать доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, прог­раммам, томам).

Для каждой пары (субъект-объект) в СВТ должно быть задано яв­ное и недвусмысленное перечисление допустимых типов доступа (нап­ример, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы ин­дивидов) к данному ресурсу СВТ (объекту).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, регулирующий дискретизационный принцип контроля доступа, должен предусматривать санкционированное изменение пра­вил разграничения доступа (ПРД), в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.

Право изменять ПРД должно быть предоставлено выделенным субъ­ектам (например, администрации, службе безопасности).

Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

КСЗ должен содержать механизм, претворяющий в жизнь дискрети­зационные ПРД, как для явных действий пользователя, так и для скрытых. Под «явными» здесь подразумеваются действия, осуществля­емые с использованием системных средств, а под «скрытыми» — иные действия, в том числе с использованием собственных программ рабо­ты с устройствами.

5.1.3. Для реализации МАНДАТНОГО принципа контроля доступа каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классифика­ционные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны слу­жить ОСНОВОЙ мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и по­лучать от санкционированного пользователя классификационные метки этих данных. При санкционированном внесении в список пользовате­лей нового субъекта ему должны быть назначены классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать МАНДАТНЫЙ принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

а) субъект может читать объект, если уровень иерархической классификации в классификационном уровне субъекта не меньше, чем уровень иерархической классификации в классификационном уровне субъекта, и неиерархические категории в классификационном уровне субъекта включают в себя все неиерархические категории в класси­фикационном уровне объекта;

б) субъект осуществляет запись в объект, если классификацион­ный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все неиерархические категории в классификационном уровне субъ­екта включены в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения — изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех сообщений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ следует принимать только при ОДНОВРЕМЕННОМ раз­решении его дискретизационными и мандатными ПРД. Таким образом, должны быть контролируемыми не только единичный акт доступа, но и потоки информации.

5.1.4. КСЗ должен обеспечивать идентификацию субъектов при запросах на доступ, должен проверять подлинность идентификатора субъекта — осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и пре­пятствовать доступу к защищаемым ресурсам неидентифицированных субъектов или субъектов, чья подлинность при аутентификации не подтвердилась.

КСЗ должен обладать способностью связывать полученный резуль­тат идентификации и аутентификации со всеми действиями, относящи­мися к контролю, предпринимаемыми в отношении данного субъекта.

5.1.5. КСЗ должен осуществлять очистку оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей ин­формации в память при ее освобождении (перераспределении).

5.1.6. При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий прог­раммные модули одного процесса (одного субъекта) от программных модулей (других субъектов), т.е. в оперативной памяти ЭВМ прог­раммы разных пользователей должны быть защищены друг от друга.

5.1.7. КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или как идентифи­цированные («помеченные»). При вводе с «помеченного» устройства (выводе на «помеченное» устройство) КСЗ должен обеспечивать соот­ветствие между меткой вводимого (выводимого) объекта (классифика­ционным уровнем ) и меткой устройства. Такое же соответствие должно быть при работе с «помеченным» каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

5.1.8. КСЗ должен обеспечивать вывод информации на запрошен­ное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркиров­ки).

КСЗ должен включать в себя механизм, с помощью которого санк­ционированный пользователь надежно сопоставляется с выделенным ему идентифицированным устройством.

5.2. Требования к учету

5.2.1. Требования к учету определяют следующие показатели за­щищенности, которые должны поддерживаться СВТ:

5.2.2. КСЗ должен осуществлять регистрацию следующих событий: а) использование идентификационного и аутентификационного ме-

б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);

в) создание и уничтожение объекта;

г) действия, связанные с изменением ПРД.

Для каждого из этих событий должна быть зарегистрирована сле­дующая информация:

— субъект, осуществляющий регистрируемое действие;

— тип события (если регистрируется запрос на доступ, то отме­чают объект и тип доступа);

— успешно ли осуществилось событие (обслужен запрос на доступ или нет).

КСЗ должен содержать средства выборочного ознакомления с ре­гистрационной информацией.

Для высоких классов защищенности СВТ должна быть предусмотре­на РЕГИСТРАЦИЯ всех попыток доступа, всех действий оператора и выделенных субъектов (например, администраторов защиты).

5.2.3. КСЗ должен обеспечивать вывод защищаемой информации на документ вместе с ее классификационной меткой.

5.3. Требования к гарантиям

5.3.1. Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ :

а) гарантии проектирования;

б) надежное восстановление; в) целостность КСЗ;

г) контроль модификации;

д) контроль дистрибуции; е) гарантии архитектуры;

ж) взаимодействие пользователя с КСЗ;

5.3.2. На начальном этапе проектирования КСЗ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:

а) непротиворечивые ПРД;

б) непротиворечивые правила изменения ПРД;

в) правила работы с устройствами ввода и вывода;

г) формальную модель механизма управления доступом.

Спецификация части КСЗ, реализующего механизм управления дос­тупом и его интерфейсов, должна быть высокоуровневой. Эта специ­фикация должна быть верифицирована на соответствие заданным прин­ципам разграничения доступа.

Для высоких классов защищенности СВТ должно быть предусмотре­но, чтобы высокоуровневые спецификации КСЗ были отображены после­довательно в спецификации одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации КСЗ на языке программирования высокого уровня.

При этом методами верификации должно быть доказано соответс­твие каждого такого отображения спецификациям высокого (верхнего для данного отображения) уровня, а также соответствие объектного кода тексту КСЗ на языке высокого уровня.

Этот процесс может включать в себя как одно отображение (вы­сокоуровневая спецификация — язык программирования), так и после­довательность изображений в промежуточные спецификации с пониже­нием уровня вплоть до языка программирования.

В результате верификации соответствия каждого уровня предыду­щего должно достигаться соответствие реализации высокоуровневой спецификации КСЗ модели защиты.

5.3.3. Процедуры восстановления после сбоев и отказов обору­дования должны обеспечивать полное восстановление свойств КСЗ.

5.3.4. В СВТ должны быть предусмотрены средства периодическо­го контроля за целостностью программной и информационной части КСЗ.

Программы КСЗ должны выполняться в отдельной части оператив­ной памяти. Это требование должно быть подвергнуто верификации.

5.3.5. При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, т.е. уп­равление изменениями в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Между документацией и текстами программ должно быть соответствие. Генерируемые версии должны быть сравнимыми. Оригиналы программ должны быть защищены.

5.3.6. При изготовлении копий с оригинала СВТ должен быть осуществлен контроль точности копирования КСЗ. Изготовленная ко­пия должна гарантированно повторять образец.

5.3.7. КСЗ должен обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.

5.3.8. КСЗ должен иметь модульную и четко определенную струк­туру, что делает возможными его изучение, анализ, верификацию и модификацию. Должен быть обеспечен надежный интерфейс пользовате­ля и КСЗ (например, вход в систему, запросы пользователей и КСЗ). Каждый интерфейс пользователя и КСЗ должен быть логически изоли­рован от других таких же интерфейсов.

5.3.9. В СВТ должны тестироваться:

а) реализация ПРД (перехват явных и скрытых запросов на дос­туп, правильное распознавание санкционированных и несанкциониро­ванных запросов на доступ, фунционирование средств защиты меха­низма разграничения доступа, санкционированные изменения ПРД и др);

б) очистка оперативной и внешней памяти;

в) работа механизма изоляции процессов в оперативной памяти; г) маркировка документов;

д) защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;

e) идентификация и аутентификация, а также средства их защи­ты;

ж) регистрация событий, средства защиты регистрационной ин­формации и возможность санкционированного ознакомления с ней;

з) работа механизма надежного восстановления;

и) работа механизма, осуществляющего контроль за целостностью КСЗ;

к) работа механизма, осуществляющего контроль дистрибуции.

6. ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ

6.1. Приведенные в разделе 4 показатели определяют качество защиты СВТ от НСД к информации. Однако для подтверждения этого качества при приемке СВТ, их сертификации и испытаниях других ви­дов необходимо подробное и всестороннее описание КСЗ, т.е. необ­ходима документация, включающая в себя;

а) руководство пользователя;

б) руководство по КСЗ;

в) текстовую документацию;

г) конструкторскую (проектную) документацию.

6.1.1. Руководство пользователя должно включать в себя крат­кое описание способов использования КСЗ и его интерфейсов с поль­зователем.

6.1.2. Руководство по КСЗ адресовано администратору защиты и должно содержать;

а) описание контролируемых функций;

б) руководство по генерации КСЗ;

в) описание старта СВТ и процедур проверки правильности стар­та;

г) описание процедур работы работы со средствами регистрации; д) руководство по средствам надежного восстановления;

е) руководство по средствам контроля модификации и дистрибу-

6.1.3. Тестовая документация должна содержать описание тестов и испытаний, которым подвергались СВТ, а также результатов тести­рования.

6.1.4. Конструкторская (проектная) документация должна содер-

а) общее описание принципов работы СВТ;

б) общую схему КСЗ;

в) описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ; г) описание модели защиты;

д) описание диспетчера доступа;

е) описание механизма контроля целостности КСЗ;

ж) описание механизма очистки памяти;

з) описание механизма изоляции программ в оперативной памяти;

и) описание средств защиты ввода и вывода на отчуждаемый фи­зический носитель информации и сопоставления пользователя с уст­ройством;

к) описание механизма идентификации и аутентификации;

л) описание средств регистрации;

м) высокоуровневую спецификацию КСЗ и его интерфейсов;

н) верификацию соответствия высокоуровневой спецификации КСЗ

о) описание гарантий проектирования (по 5.3.2) и эквивалент-

ность дискретизационных и мандатных ПРД.

УДК 681.32:006.354 ОКС 35.020 П85 ОКСТУ 4000

Комментарии к статье «Средства вычислительной техники защита от несанкционированного доступа к информации ГОСТ Р 50739-95»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *