Слайд 1
Лекция 14.
Стандарты защищенности
ОС
Слайд 2Профиль защиты состоит из следующих пяти разделов:
описание,
обоснование,
функциональные требования,
требования к технологии разработки, требования к процессу квалификационного анализа.
Слайд 3Описание профиля содержит классификационную информацию, необходимую для его идентификации в специальной
картотеке. Федеральные критерии предлагают поддерживать такую картотеку на общегосударственном уровне, что позволит любой организации воспользоваться созданными ранее профилями защиты непосредственно или использовать их в качестве прототипов для разработки новых.
Обоснование содержит описание среды эксплуатации, предполагаемых угроз безопасности и методов использования продукта. Этот раздел ориентирован на службы безопасности организаций, которые принимают решение о возможности использования данного продукта.
Слайд 4Раздел функциональных требований содержит описание возможностей средств защиты и определяет условия,
в которых обеспечивается безопасность в виде перечня угроз, которым данные средства защиты успешно противостоят.
Раздел требований к технологии разработки продукта охватывает все этапы его создания и содержит требования не только к процессу разработки, но и к условиям, в которых она проводится, к используемым технологическим средствам, а также к документированию.
Раздел требований к процессу квалификационного анализа регламентирует порядок его проведения в виде методики исследований и тестирования продукта. Федеральные критерии не содержат единой шкалы классов безопасности. Разработчики могут выбирать набор требований для каждого конкретного продукта информационных технологий с учетом среды его эксплуатации.
Слайд 5Стандарты защищенности ОС
Для оценки защищенности ОС существуют стандарты для компьютерных систем.
В
1992 году Государственная техническая комиссия при президенте РФ опубликовала документы, посвященные защите информационных систем «Средства вычислительной техники.
В данном документе рассматриваются требования к обеспечению защищенности программно-аппаратных компонентов компьютерных систем и средств вычислительной техники .
Установлено семь классов защищенности средств вычислительной техники, седьмой самый низший.
Документ «Автоматизированные системы.
В данном документе все автоматизированные системы делятся на три группы, в каждой из которых вводится своя иерархия классов защиты.
I группа – Многопользовательские системы, в которых пользователи имеют различные полномочия доступа к информации.
II группа – Многопользовательские системы, в которых пользователи имеют одинаковые полномочия доступа к информации.
III группа – однопользовательские системы
Самым известным документом – стандартом безопасности компьютерных систем является «Критерии безопасности компьютерных систем», выпущенный в 1983 году, носит название «Оранжевая книга». Он описывает семь классов защищенности компьютерных систем.
Слайд 6Классы безопасности компьютерных систем
Класс D.
Минимальный уровень безопасности. В этот класс попадают
системы, которые были заявлены на сертификацию, но ее не прошли.
Класс С1.
Избирательная защита доступа. Среда класса С1 предназначена для пользователей, обрабатывающих данные одного уровня секретности. Предусматривает наличие достоверной вычислительной базы (TCB), выполнение требований к избирательной безопасности.
ТСВ должна содержать домен, который обеспечивает ее собственную работу и защиту от внешних воздействий.
Целостность системы обеспечивается периодическими проверками на правильность и корректность функционирования аппаратных и микропрограммных элементов ТСВ.
Тестирование функций безопасности. Механизм защиты должен соответствовать описанию, содержащемуся в документах:
– руководство пользователя;
– руководство администратора системы на средства защиты;
– документация по тестам (разработчики системы должны предусмотреть документ, в котором дается описание плана и процедур тестирования);
– документация по проекту - описание основополагающих принципов защиты и их реализации в системе.
Слайд 7Класс C2.
Управляемая защита доступа. Системы данного класса способны осуществлять более четко
выделенный контроль в плане избирательной защиты доступа. Действия пользователя связываются с процедурами идентификации/аутентификации.
Защита, основанная на управляемом доступе. К требованиям класса С1 добавляются требования уникальной идентификации субъекта доступа (любой пользователь должен иметь уникальное имя), защиты по умолчанию ("запрещено все, что не разрешено") и регистрации событий. В системах этого класса обязательно ведение системного журнала, где отмечаются события, связанные с безопасностью системы. Данные журнала должны быть защищены от доступа любых пользователей, за исключением администратора системы.
Слайд 8Класс B1.
Класс В. Помимо вышеприведенных требований, системы класса В характеризуются полномочной
моделью управления доступом.
В дополнение к требованиям класса C2 необходимо неформальное описание модели политики безопасности, маркировки данных, а также принудительного управления доступом к поименованным субъектам и объектам.
Меточная защита. Метки безопасности должны быть присвоены всем субъектам и объектам системы, которые могут содержать или получать конфиденциальную информацию. При этом должно контролироваться соответствие меток.
Слайд 9Класс B2.
Структурированная защита. В этом классе систем TCB должна опираться на
четко определенную и документированную формальную модель политики безопасности. Действие избирательного и принудительного управления доступом распространяется на все субъекты и объекты в системе. Выявляются тайные каналы.
Структурированная защита. Дополнительно предъявляется требование наличия хорошо определенной и документированной формальной модели "политики безопасности". Помимо этого, требуется анализ возможности побочных каналов утечки информации. Система должна быть четко разделена на критичные и некритичные к защите элементы. Интерфейс с ТСВ должен быть хорошо документирован.
Слайд 10Класс B3.
Домены безопасности. TCB должна удовлетворять требованиям эталонного механизма мониторинга, который
контролирует абсолютно весь доступ субъектов к объектам и при этом быть достаточно компактным, чтобы его можно было проанализировать и оттестировать.
Домены безопасности. В системах этого класса в оборудовании должна быть реализована концепция монитора обращений, который должен:
– контролировать все взаимодействия субъектов с объектами;
– быть гарантированно защищен от несанкционированных изменений, порчи и подделки;
– быть простым для анализа и тестирования на предмет правильности выполнения обработки обращений (полнота тестов должна быть доказана).
Из системы защиты должен быть исключен код, который не требуется для обеспечения поддержки политики безопасности. Обязательным также является наличие процедур, обеспечивающих восстановление работоспособности системы.
Слайд 11Класс A1.
Верифицированное проектирование. Данный класс систем функционально эквивалентен классу B3 в
том смысле, что не требуется добавления дополнительных архитектурных особенностей или предъявления иных требований к политике безопасности. В данном классе не зарегистрировано ни одной ОС.
Слайд 12Политика безопасности - набор правил, используемых системой для того, чтобы определить, можно
ли разрешить указанному субъекту доступ к конкретному объекту.
Маркировка - возможность маркировать каждый объект меткой, которая надежно идентифицирует степень его ценности (например, секретности) и/или режимы допуска к нему.
Идентификация - в процессе каждого доступа к информации должно быть установлено: кто запрашивает информацию и на какие ее классы распространяется его статус.
Подотчетность - система должна регистрировать появление событий, имеющих отношение к ее безопасности, в аудиторском файле, надежно защищенном от модификации и несанкционированного уничтожения.
Слайд 13Гарантии - корректно определенный и объединенный в единое целое набор программных и
аппаратных средств управления, реализующий рассмотренные выше требования.
Постоянная защита - механизмы, реализующие указанные базовые требования от "взламывания" и/или несанкционированного внесения изменений.
Слайд 14ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ
Руководящие документы Гостехкомиссии России включают:
1) Концепцию защиты средств вычислительной техники
и автоматизированных систем от несанкционированного доступа (НСД) к информации: определение НСД, основные способы его осуществления, модель нарушителя, главные направления и принципы защиты информации от НСД.
2) Термины и определения в области защиты от НСД к информации.
3) Показатели защищенности СВТ от НСД к информации: классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
4) Классификацию автоматизированных систем и требования по защите информации в автоматизированных системах (АС) различных классов.
5) Временное положение о государственном лицензировании деятельности в области защиты информации: основные принципы, организационная структура системы лицензирования деятельности предприятий, оказывающих услуги в области защиты информации, а также правила осуществления лицензирования и надзора за их деятельностью.
Слайд 15Документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели
защищенности" вводит семь классов защищенности. Самый низкий - седьмой, самый высокий - первый.
В зависимости от реализованных моделей защиты и надежности их проверки классы подразделяются на четыре группы.
Первая группа включает только один седьмой класс (минимальная защищенность).
Вторая группа характеризуется избирательной защитой и включает шестой и пятый классы.
Третья группа характеризуется полномочной защитой и включает четвертый, третий и второй классы.
Четвертый класс характеризуется верифицированной защитой и содержит только первый класс. Для присвоения класса защищенности система должна содержать руководство администратора по системе, руководство пользователя, тестовую и конструкторскую (проектную) документацию.
Слайд 16Классы подразделяются на три группы, отличающиеся особенностями обработки информации в системе.
Третья
группа классифицирует системы, в которых работает один пользователь, допущенный ко всей информации системы, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А .
Вторая группа классифицирует системы, в которых пользователи имеют одинаковые права доступа ко всей информации, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа классифицирует многопользовательские автоматизированные системы, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют к ней право доступа. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.