Гарантии
Подотчетность
Стратегия
Требование 1- стратегия обеспечения безопасности: необходимо иметь явную и хорошо определенную стратегию обеспечения безопасности.
Требование 2- маркировка: управляющие доступом метки должны быть связаны с объектами.
■
Требование 3- идентификация: индивидуальные субъекты должны идентифицироваться.
Требование 4- подотчетность: контрольная информация должна храниться отдельно и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность.
Требование 5- гарантии: вычислительная система в своем составе должна иметь аппаратные/программные механизмы, допускающие независимую оценку на предмет достаточного уровня гарантий того, что система обеспечивает выполнение изложенных выше требований с 1 -го по 4-е.
Требование 6- постоянная защита: гарантированно защищенные механизмы, реализующие перечисленные требования, должны быть постоянно защищены от «взламывания» и/или несанкционированного внесения изменений.
В зависимости от конкретных значений, которым отвечают автоматизированные системы, они разделены на 4 группы - D, С, В, А, которые названы так:
• D- минимальная защита;
• С - индивидуальная защита;
• В - мандатная защита;
• А - верифицированная защита.
Группы систем делятся на классы, причем все системы, относимые к группе D, образуют один класс D, к группе С - два класса С1 и С2, к группе В - три класса В1, В2 и В3, к группе А - один класс А1 с выделением части систем вне класса.
Ниже рассмотрим названия и краткую характеристику перечисленных классов.
• D- минимальная защита - системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов.
• С1 - защита, основанная на индивидуальных мерах, - системы, обеспечивающие разделение пользователей и данных. Они содержат внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т. е. позволяющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням секретности.
• С2 - защита, основанная на управляемом доступе, - системы, осуществляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям.
• В1 - защита, основанная на присваивании имен отдельным средствам безопасности, - системы, располагающие всеми возможностями систем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защищаемым данным, включая и выдаваемые за пределы системы, и средства мандатного управления доступом ко всем поименованным субъектам и объектам.
• В2 - структурированная защита - системы, построенные на основе ясно определенной и формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы.
В3- домены безопасности - системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкционированных изменений. Объем монитора должен быть небольшим вместе с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть предусмотрены сигнализация о всех попытках несанкционированных действий и восстановление работоспособности системы.
А1- верификационный проект - системы, функционально эквивалентные системам класса В3, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение администратора безопасности.
| Таблица. Показатели защищенности ИС на основе технологии IBM | |||||||||
| | А1 | ВЗ | В2 | В1 | С2 | С1 | Наименование подгруппы показателей | ||
| Избирательная политика безопасности | + | + | Политика безопасности | ||||||
| Полномочная политика безопасности | + | ||||||||
| Повторное использование объектов | |||||||||
| Изоляция модулей | |||||||||
| Маркировка документов | |||||||||
| Защита ввода и вывода на отчуждаемый физический носитель информации | |||||||||
| Сопоставление пользователя с устройством | |||||||||
| Избирательный контроль доступа | |||||||||
| Мандатный контроль доступа | |||||||||
| Указатели метки | |||||||||
| Указатели целостности | |||||||||
| Идентификация и аутентификация | + | + | Статистика | ||||||
| Регистрация | + | ||||||||
| Взаимодействие пользователя с комплексом средств защиты (КСЗ) | |||||||||
| Гарантии проектирования | + | + | Гарантии | ||||||
| Гарантии архитектуры | + | ||||||||
| Надежное восстановление | + | + | |||||||
| Целостность КСЗ | |||||||||
| Контроль модификации | |||||||||
| Контроль дистрибуции | |||||||||
| Тестирование | |||||||||
| Контроль полномочий | Документация | ||||||||
| Контроль безопасности | |||||||||
| Руководство пользователя по безопасности | + | ||||||||
| Инструкция по КСЗ | + | + | |||||||
| Тестовая документация | + | ||||||||
| Конструкторская документация | + | ||||||||
Примечание. Ниже дано пояснение применяемых обозначений.
| Не соответствует требованиям, предъявляемым к этому классу | ||
| Нет дополнительных требований к этому классу | ||
| Нет требований к этому классу | ||
| + | Соответствует или превышает требования к этому классу |
Разработаны также основные требования к проектной документации.
В части стандартизации аппаратных средств информационных систем и телекоммуникационных сетей в США разработаны правила стандарта Transient Electromagnetic Pulse Emanations Standart (TEMPEST).
Этот стандарт предусматривает применение специальных мер защиты аппаратуры от паразитных излучений электромагнитной энергии, перехват которой может привести к овладению охраняемыми сведениями.
Стандарт TEMPEST обеспечивает радиус контролируемой зоны перехвата порядка 1 м. Это достигается специальными схемотехническими, конструктивными и программно-аппаратными решениями, в том числе:
• применением специальной низкопотребляющей малошумящей элементной базы;
• специальным конструктивным исполнением плат и разводкой сигнальных и земляных электрических цепей;
• использованием экранов и RC-фильтров, ограничивающих спектры сигналов в цепях интерфейсных соединений;
• применением специальных мер, обеспечивающих защиту от НСД (съемный жесткий диск, программно-аппаратные средства защиты информации и шифрования).
Снижение мощности побочных электромагнитных излучений и наводок (ПЭМИН) монитора достигается рядом конструктивно-технологических решений, примененных в ПЭВМ:
• видеомонитор с задней стороны полностью заключен в металлический экран;
• плата видеоусилителей видеомонитора заключена в дополнительный экран;
• на соединительные кабели видеомонитора установлены ферритовые фильтры;
• сигнальные цепи выполнены экранированным кабелем;
• сигналы на интерфейсные разъемы системного блока подаются через LC-фильтры, ограничивающие спектр сигналов сверху;
• корпус системного блока металлический с токопроводящим покрытием, что обусловливает достаточную локализацию ПЭМИН.
Таблица Основные требования к проектной документации
(приводятся частично)
| Описание техническая характеристика защиты | Класс защищенности | ||||||||||||
| С1 | С2 | В1 | В2 | B3 | А1 | ||||||||
| Концепция защиты | + | + | + | + | + | | |||||||
| Каким образом концепция защиты реализуется в ТСВ* | + | + | + | + | + | + | |||||||
| Модульный принцип ТСВ, если принцип модульный | + | + | + | ||||||||||
| Устройства сопряжения между модулями ТСВ, если принцип модульный | |||||||||||||
| Какова защита самого ТСВ | + | + | + | ||||||||||
| Предписание оператор концепции защиты системы | + | + | + | + | + | + | |||||||
| Модель концепции защиты системы | + | + | + | + | |||||||||
| Аргументация достаточности модели концепции защиты в целях усиления этой концепции | + | + | + | + | |||||||||
| Идентифицирование механизмов защиты ТСВ | + | + | + | + | |||||||||
| Аргументация соответствия механизмов ТСВ модели концепции защиты системы | + | + | + | + | |||||||||
| Модульный принцип ТСВ | | | | ||||||||||
| Устройства сопряжения между модулями | + | + | + | ||||||||||
| Формальная внешняя модель концепции защиты | + | + | + | ||||||||||
| Аргументация достаточности модели концепции защиты для ее усиления | + | + | + | ||||||||||
| Схематическое отображение технических требований высшего уровня, изложенных в описательной форме, в устройстве сопряжения ТСВ | + | + | + | ||||||||||
| Каким образом ТСВ обеспечивает выполнение концепции обращения к монитору управляющей программы | + | + | + | ||||||||||
| Почему ТСВ является препятствием для вмешательства самовольного изменения процессов в систему | + | + | + | ||||||||||
| Почему ТСВ нельзя обойти | + | + | + | ||||||||||
| Почему ТСВ обеспечивает правильное выполнение задач | + | + | + | ||||||||||
| Какова структура ТСВ, которая способствует контрольному испытанию системы защиты | + | + | + | ||||||||||
| Какова структура ТСВ, которая способствует усилению минимальных преимуществ | + | + | + | ||||||||||
| Результаты анализа защищенных каналов | + | + | + | ||||||||||
| Альтернативные варианты | + | + | + | ||||||||||
| Результаты проверки, которые можно использовать при эксплуатации известных защитных каналов ЗУ | + | + | + | ||||||||||
*ТСВ (Trusted computer base) - доверенная вычислительная среда