Критерии оценки доверенных компьютерных систем».
Стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем»дала фирмам-изготовителям вычислительных машин возможность измерить безопасность своих систем и подсказала им, что они должны ввести в свои защищенные программы.предложила систему классификации различных уровней компьютерной безопасности и способы проверить, удовлетворяет ли определенная система заданному уровню.
• Заложен понятийный базис стандартизации ИБ;
• Определены важнейшиесервисы безопасности;
• Предлагается метод классификации информационных систем по требованиямбезопасности. Речь идет не о безопасных, а о доверенныхсистемах, то есть системах, которым можно оказать определенную степень доверия.Безопасная система-система, которая "управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".Абсолютно безопасных систем не существует. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства,чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".
Безопасность, и доверие оцениваются исключительно с точки зрения управления доступомк данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.
Степень доверия оценивается по двум основным критериям.Политика безопасности - набор законов, правил и норм поведения,определяющих, как организация обрабатывает, защищает и распространяетинформацию. Вчастности,правилаопределяют,вкакихслучаяхпользовательМожетоперироватьконкретныминаборамиданных.Чемвышестепеньдовериясистеме, тем строже имногообразнеедолжна бытьполитикабезопасности. Взависимости от сформулированной политики можно выбирать конкретныемеханизмыобеспечениябезопасности. Политикабезопасности - это активныйаспект защиты, включающий в себя анализ возможных угроз и выбор мерпротиводействия.
Уровень гарантированности - мера доверия, которая может быть оказанаархитектуреиреализацииИС. Довериебезопасностиможетпроистекатькакизанализа результатов тестирования, так и из проверки (формальной или нет)общегозамысла иреализациисистемы в целом иотдельныхее компонентов.
Уровень гарантированности показывает, насколько корректны механизмы,отвечающие за реализацию политики безопасности. Это пассивныйаспектзащиты. Доверенная система должна фиксировать все события, касающиеся безопасности(протоколирование). Ведение протоколов должнодополняться аудитом, то есть анализом регистрационной информации.
Концепциядовереннойвычислительнойбазыявляется центральнойпри оценке степени доверия безопасности.
Доверенная вычислительная база - это совокупность защитныхмеханизмов ИС (включая аппаратное и программное обеспечение),отвечающих за проведение в жизньполитики безопасности. Качество вычислительной базы определяется исключительно ее реализацией икорректностью исходных данных, которые вводит системныйадминистратор.
Компоненты вне вычислительной базы могут не быть доверенными,
однако это не должно влиять на безопасность системы в целом. В
результате,дляоценкидовериябезопасностиИСдостаточнорассмотретьтолько ее вычислительную базу, которая, как можно надеяться,достаточнокомпактна. Основноеназначение доверенной вычислительной базы – выполнятьфункциимонитораобращений, то есть контролировать допустимостьвыполнениясубъектами(активными сущностямиИС,действующимиотимени пользователей) определенных операций над объектами(пассивными сущностями). Монитор проверяет каждое обращениеПользователяк программамилиданнымнапредметсогласованности сНаборомдействий,допустимыхдляпользователя. Монитор обращений должен обладать тремя качествами:
Изолированность. Необходимо предупредить возможность отслеживанияработы монитора.
Полнота.Монитор должен вызываться при каждом обращении, не должнобыть способов обойти его.
Верифицируемость.Монитор должен быть компактным, чтобы его можнобыло проанализировать и протестировать, будучи уверенным в полнотетестированияКлассы безопасности. В "Критериях"впервые проведено ранжированию информационныхсистем по степени доверия безопасности.
Определяется четыре уровня доверия -D, C, B и A.
D–минимальная секретность.
C–защита по усмотрению ( произвольное управление доступом).
B-обязательная защита ( принудительное управление доступом).
A-подтвержденный доступ ( верифицируемая безопасность).
Внутри некоторых уровней существуют подуровни:
C1-защита по усмотрению.
C2 –защита с контролируемым доступом ( наиболее подходящий уровеньдля коммерческих систем).
B1, B2,B3 –для военных систем.
Всего имеется шесть классов безопасности -C1, C2, B1, B2, B3, A1. Чтобыв результате процедуры сертификации систему можно было отнести кнекоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям.