Классы защищенности автоматизированных систем (АС)

Документы ГТК устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокуп­ностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:

 наличие в АС информации различного уровня конфиденциально­сти;

 уровень полномочий пользователей АС на доступ к конфиденци­альной информации;

 режим обработки данных в АС (коллективный или индивидуаль­ный).

В пределах каждой группы соблюдается иерархия классов защи­щенности АС. Класс, соответствующий высшей степени защищенно­сти для данной группы, обозначается индексом NA, где N – номер группы (от 1 до 3). Следующий класс обозначается NБ и т.д.

Третья группа включает АС, в которых работает один пользова­тель, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют оди­наковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права досту­па. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.

Рассмотренные документы необходимо воспринимать как первую стадию формирования отечественных стандартов в области информа­ционной безопасности.

На разработку этих документов наибольшее влияние оказала “Оранжевая книга” (см. раздел. 3.2), однако это влияние в ос­новном отражается в ориентированности обеих групп документов на защи­щенные системы силовых структур и в использовании единой универ­сальной шкалы оценки степени защищенности.

К недостаткам данного стандарта относятся: ориентация на проти­водействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие “политика безопасности” трактуется исключительно как поддержание режима секретности и отсутствие НСД. Из-за этого средства защиты ориентируются исключительно на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется четких требований. Ранжиро­вание требований по классам защищенности по сравнению с осталь­ными стандартами информационной безопасности максимально упро­щено и сведено до определения наличия или отсутствия заданного на­бора механизмов защиты, что существенно снижает гибкость требова­ний и возможность их практического применения.

Несмотря на указанные недостатки, документы ГТК заполнили “правовой вакуум” в области стандартов информационной безопасности в России и оперативно решили проблему проектирования и оценки качества защищенных КС.

3.2. Критерии безопасности компьютерных систем Министерства обороны США (“Оранжевая книга”)

Цель разработки

“Критерии безопасности компьютерных систем”, получившие неформальное, но прочно закрепившееся название “Оранжевая книга”, были разработаны и опубликованы Министерством обороны США в 1983 г. с целью оп­ределения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных средств, и выработки методологии и технологии анализа сте­пени поддержки политики безопасности в компьютерных системах в основном военного назначения.

В данном документе были впервые формально (хотя и не вполне строго) определены такие понятия, как “политика безопасности”, “аудит”, “корректность” и др. Согласно “Оранжевой книге” безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатывае­мой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), дей­ствующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандар­тов безопасности.

Общая структура требований “Оранжевой книги”

В “Оранжевой книге” предложены три категории требований безо­пасности – политика безопасности, аудит и корректность, в рамках ко­торых сформулированы шесть базовых требований безопасности. Пер­вые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних – на качество самих средств защиты. Рассмотрим эти требования подробнее.

Политика безопасности

Требование 1. Политика безопасности. Система должна поддер­живать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам определяется на основании их идентификации и набора правил управления досту­пом. Там, где это необходимо, должна использоваться политика ман­датного управления доступом, позволяющая эффективно реализовать разграничение доступа к информации различного уровня конфиденци­альности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в ка­честве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система обеспе­чивается возможностью присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секрет­ности) объекта и режимы доступа к этому объекту.

Аудит

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа осуществляется на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, исполь­зуемые для идентификации и аутентификации, должны быть защище­ны от несанкционированного доступа, модификации и уничтожения и ассоциированы со всеми активными компонентами ком­пьютерной системы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени от­ветственности пользователей за действия в системе все происходящие в ней события, имеющие значение с точки зрения безопасности, долж­ны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанк­ционированного доступа, модификации и уничтожения.

Корректность

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работо­способность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистра­цию и учет, находятся под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля кор­ректности состоит в том, что средства контроля должны быть полно­стью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы.