07.04.14

Требования оранжевой книги

Структура:

1. Политика безопасности:

   1. Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набор правил управления доступом. По мере необходимости должна использоваться политика мандатного управления доступом.

   2. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать каждому объекту набор атрибутов, определяющих степень конфиденциальности объекта и режима доступа к нему.

2. Подотчетность:

   1. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основе идентификации субъекта и объекта доступа аутентификацией и правилом разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от НСД, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами КС, функционирование которых критично с точки зрения безопасности.

   2. Для определения степени ответственности пользователя за действия в системе, все происходящие в ней события, имеющие значения с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Протокол событий должен быть надежно защищен от НСД, модификации и уничтожения и т.д.

3. Гарантии:

   1. Средства защиты должны содержать независимые аппаратные или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие ПБ управления атрибутами и метками безопасности регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Средства контроля должны быть независимы от средств защиты

   2. Все средства защиты должны быть защищены от несанкционированного вмешательства и отключения (постоянная непрерывная защита системы в целом). Данное требование распространяется на весь жизненный цикл системы.

Оранжевая книга определяет 4 группы классов защищенности:

А содержит 1 класс A1

B содержит B1, B2, B3

C содержит C1, C2

D1

Требуемый уровень защищенности системы возрастает от D к A. Каждый класс характеризуется определенным фиксированным набором требований к подсистеме обеспечения ИБ, реализованной в АС.

Группа D1: минимальная защита. Относятся те системы, которые были представлены для сертификации по требованиям одного из более высокого класса защищенности, но не прошли испытание.

Группа C – дискреционная защита. Наличие дискреционного управления доступа и регистрация действия субъектов.

C1: дискреционная защита. Система включает в себя средства контроля и управления доступом, позволяющая создавать ограничения для конкретного пользователя. Рассчитан на однопользовательские системы, где происходит обработка данных оного уровня конфиденциальности

C2: управление доступом. Более избирательное управления доступом путем применения средств индивидуального контроля за действиями пользователя (выделение ресурсов и т.д.)

Группа B – мандатная защита. Мандатное управление доступом с использованием меток безопасности, поддержку модели и политики безопасности. Предполагается наличие спецификации на функции ядра, монитор безопасности обращений (контроль всех событий в системе)

B1: защита с применением меток безопасности. Помимо выполнения всех требований к классу С2 система должна поддерживать маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке.

В2: структурированная защита. Ядро безопасности должно поддерживать формально определенную и четко документированную модель безопасности, предусматривающую дискреционное и мандатное управление доступом. Должен осуществляться контроль скрытых каналов передачи информации. В структуре ядра безопасности должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ЯБ должен быть четко определен, а его архитектура и реализация должны быть выполнены с учетом возможности проедения тестовых

Управлени безопасностью должен осуществяться администратором

В3: домены безопасности. ЯБ должно поддерживать монитор безопасности обращений, который контролирует все типы доступа субъектом к объектам, который невозможно обойти. ЯБ содержит исключительно подсистему, отвечающую за реализацию функции защиты и является достаточно компактным для обеспечения возможности эффективного тестирования. Средства аудита должны включать механизмы оповещения администратора о событиях, имеющих значения для безопасности системы, необходимо наличие средств восстановления работоспособности системы.

Группа А: верифицированная защита. Применение формальных методов верификации, корректности функционирования механизмов УД. Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ЯБ отвечают требованиям безопасности. Функциональные требования совпадают с В3, однако на всех этапах разработки АС требуется применение формальных методов верификации систем защиты.

Руководящие документы ГосТехКомиссии России

Общие положения: ГТК (ФСТЭК) в период с 92 по 99 год разрабатывала пакет руководящих документов, посвященных ЗИ в АС.

1. «Защита от НСД к информации»

2. «Концепция защиты средств вычислительной техники и АС от НСД к информации»

3. «АС. Защита от НСД к информации. Классификация АС и требования по защите информации»

4. «Средства ВычТех. Защита от НСД к информации. Показатели защищенности от НСД к информации»

5. «Средства ВТ. МЭ. Защита от НСД. Показатели защищенности от НСД к информации»

6. «Защита от НСД к информации. Часть 1. ПО СЗИ. Классификацию по уровню контроля отсутствия не декларированных возможностей»

Основные положения концепции защиты СВТ АС от НСД к информации

Принципы защиты от НСД

1. Защита ВС и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документах по защите НСД к информации

2. Защита СВЧ обеспечивается комплексом программно-технических средств

3. Защита АС обеспечивается комплексом ПТС и поддерживающих их организационных мер.

4. Защита АС должна обеспечиваться на всех технологических этапах обработки. информации и во всех режима функционирования, в том числе при проведении ремонтных и регламентных работ.

5. ПТС защиты не должны существенно ухудшать основные функциональные характеристики АС, такие как: надежность, быстродействие, возможность изменения конфигурации АС.

6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность тех.характеристик оцениваемого объекта, включая тех.решения и практическую реализацию средств защиты

7. АС должна предусматривать контроль эффективности СЗ от НСД, который может быть либо периодическим, либо инициироваться по мере необходимости пользователем или контролирующими органами

В качестве нарушителя рассматривается объект или субъект, имеющий доступ к работе со штатными средствами АС и СВТ, как касти АС

Нарушители классифицируются по уровню возможности предоставляемых им штатными СВТ.

4 уровня возможности. На каждом уровне нарушитель – специалист высшей квалификации, знает все об АС и СЗ.

1 уровень: возможность ведения диалога в АС (запуск программы из фиксированного набора реализующих заранее предусмотренных функций по обработке информации)

2 уровень: возможность создания и запуска собственных программ с новыми функциями по обработке информации.

3 уровень: возможность управления АС. Т.е. воздействие на базовое ПО, состав и конфигурацию ее оборудования.

4 уровень: весь объем возможности лиц, осуществляющих проектирование, реализацию и ремонт ТС АС, вплоть до включения в состав средств ВТ собственных ТС с новыми функциями по обработке информации.

Данные уровни – иерархические, каждый последующий включает возможности всех предыдущих.

Оценка ТСЗ от НСД по основным характеристикам

1. Степень полноты и качества охвата правил разграничения доступа(РД) реализованной системы разграничения доступа.

   1. Четкость и непротиворечивость правил доступа

   2. Надежность идентификации правил доступа

2. Состав и качество обеспечивающих средств для СРД

   1. Средства идентификации и опознания субъектов и порядок их использования

   2. Полнота учета действий субъектов

   3. Способы поддержания привязки субъекта к его процессу

3. Гарантии правильности функционирования СРД и обеспечивающих ее средств.

   1. При оценке используется соответствующая документация.

Обеспечение ЗСВТ осуществляется СРД субъектов к объектам доступа и обеспечивающими средствами для СРД.

Основными функциями СРД являются:

1. Реализация правил РД субъектов и их процессов к данным

2. Реализация правил РД субъектов и их процессов к устройствам создания твердых копий

3. Изоляция программ процесса, выполняемого в интересах субъекта от других субъектов

4. Управление потоками данных с целью предотвращения записи данных на носитель несоответствующего грифа

5. Реализация правил обмена данными между субъектами для АС и СВТ построенных по сетевым принципам.

Обеспечивающие средсвта для средств разделения доступа выполняет следующие пункты:

1. Идентификацию и опознание субъектов и поддержание привязки субъектов к процессу, выполняемого для субъекта.

2. Регистрация действий субъекта и его процесса

3. Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а так же изменение полномочий субъекта

4. Реакция на попытки НСД (сигнализация, блокировка, восстановление после НСД)

5. Тестирование

6. Очистка оперативной памяти и рабочих областей на носителях после завершения работы пользователя с защищенными данными.

7. Учет выходных, печатных и графических форм и твердых копий в АС

8. Контроль целостности программной и информационной части как средств разделения доступа, так и обеспечивающих ее средств.

Система разграничения доступа (СРД) может быть реализована следующим образом:

• В виде распределенной системы или локальной без защиты

• В рамках ОС или прикладных программ

• В средствах реализации сетевого взаимодействия

• С использованием криптографии или методов непосредственного контроля доступа

• Путем программной или аппаратной реализации

Организация работ по ЗСВТ и АС от НСД к информации должна быть частью общей организации работ по обеспечению безопасности информации. При этом обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формируемым заказчиком и согласованным с разработчиком. Такие требования создаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде перечня требований соответствующих этому уровню.

Проверка выполнения тех. требований по защите проводится аналогично с другими требованиями в процессе испытаний. По результатом успешных испытаний оформляется сертификат, определяющий соответствия СВТ и АС требованиям по защите и дающий право разработчику на использование или распространение их, как защищенных.

Разработка мероприятий по защите должна проводится одновременно с разработкой СВТ и АС и выполняться за счет финансов, выделенных на разработку.

СВТ. Защита от НСД к информации

Показатели защищенности от НСД к информации

Руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к инофрмации на базе перечня показателей защищенности и описывающих их требования. СВТ рассматриваются как совокупность программных и технических элементов, способных функционировать самостоятельно или в составе других систем.

7 классов защищенности, разбитые на 4 группы:

1 группа:

7-ой класс – СВТ, которые были представлены к оценке, но не удовлетворили требованиям более высоких классов

2 группа:

6 и 5 классы – дискреционная защита

3 группа:

4,3 и 2 классы – мандатная защита

4 группа:

1 класс – верифицированная защита

Требования повышаются с уменьшением номера класса. Каждый класс характеризуется фиксированным набором показателей защищенности. Классы являются иерархически упорядоченными, каждый последующий содержит требования предыдущих.

Лекция (28.04.14)

Требования, предъявляемые к показателям защищенности:

1. Дискреционный принцип контроля доступа

2. Мандатный ПКД

3. Очистка памяти

4. Изоляция модулей

5. Маркировка документов

6. Защита ввода и вывода на отчуждаемый физический носитель информации

7. Сопоставление пользователя и устройства

8. Идентификация и аутентификация

9. Гарантии проектирования

10. Регистрация

11. Взаимодействие пользователя с комплексом СЗ

12. Надежное восстановление данных (информации)

13. Целостность комплексов СЗ

14. Контроль модификации

15. Контроль точности копирования при изготовлении копии с образца носителя данных (дистрибуции)

16. Гарантии архитектуры

17. Тестирование

18. Руководство пользователя

19. Руководство по комплексу СЗ

20. Тестовая документация

21. Проектная документация

Классификация АС

Состоит из следующих этапов:

1. Разработка и анализ исходных данных

2. Выявление основных признаков АС, необходимых для классификации

3. Сравнение выявленных признаков АС с классифицируемыми

4. Присвоение АС соответствующего класса защиты информации от НСД

Исходные данные для классификации АС

1. Перечень защищаемых информационных ресурсов и их уровень конфиденциальности

2. Перечень лиц, имеющих доступ к штатным средствам АС и их уровень полномочий

3. Матрица доступа или полномочия субъектов доступа по отношению к защищаемому информационному ресурсу АС

4. Режим обработки данных в АС

Выбор класса АС производится заказчиком или разработчиком с привлечением специалистов по ЗИ. Устанавливаются 9 классов защищенности от НСД к информации, каждый класс характеризуется определенной минимальной совокупностью требований. Подразделяются на 3 группы.

3 группа: 3б и 3а

Классы соответствуют АС, в которых работает 1 пользователь, допущенный до всей информации АС, размещенной на носителях одного уровня конфиденциальности.

2 группа: 2б и 2а

Классы данной группы соответствуют АС, где все пользователи имеют одинаковые права доступа к всей информации в АС, обрабатываемой или хранимой на носителях разных уровней конфиденциальности.

1 группа: 1д, 1г, 1в, 1б, 1а

Одновременно хранится или обрабатывается информация разного уровня конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС

Для каждого из классов фиксируется набор требований

1. Подсистема управления доступом

   1. Идентификация и контроль доступа субъектов

      1. В систему

      2. К терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

      3. К программам

      4. К томам, каталогам, записям, полям записей, файлам

   2. Управление потоками информации

2. Подсистема регистрации и учета

   1. Регистрация и учет:

      1. Вход/выход субъекта в/из системы или узла сети

      2. Выдача печатных графических выходных документов

      3. Запуск/завершение программ или процессов

      4. Доступ программ субъекта к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

      5. Доступ программ субъекта к терминалу, компьютерам, узлам сети, каналам связи и т.д.

      6. Изменения полномочий субъектов доступа

      7. Создание защищаемых объектов доступа

   2. Учет носителей информации

   3. Очистка освобождаемых областей ОС и внешних накопителей

   4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

   1. Шифрование КИ

   2. Шифрование информации, принадлежащий различным субъектам доступа или группам субъекта на различных ключах

   3. Использование сертифицированных криптографических средств

4. Подсистема обеспечения целостности

   1. Обеспечение целостности программных средств и обрабатываемой информации

   2. Физическая охрана средств ВТ и обрабатываемой информации

   3. Наличие администратора (службы ЗИ в АС) средств защиты

   4. Периодическое тестирование СЗ от НСД

   5. Наличие средств восстановления СЗИ от НСД

   6. Использование сертифицированных СЗ

СВТ, МЭ, защита от НСД, показатели защищенности от НСД к информации

Руководящие документы устанавливают классификацию МЭ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности, описывающие их требования. Показатели защищенности применяются к МЭ для определения ровня защищенности, который они обеспечивают при межсетевом взаимодействия

Устанавливается 5 классов защищенности МЭ однозначно сопоставимых с классами АС от 1д до 1а.

Принадлежность к тому или иному классу МЭ производится путем анализа соответствия показателя защищенности:

1. Управление доступом (фильтрация данных, трансляция адресов)

2. Идентификация и аутентификация входящих/исходящих запросов

3. Регистрация

4. Администрирование (Идентификация и аутентификация)

5. Администрирование (простота использования)

6. Целостность

7. Восстановление

8. Тестировании

9. Руководство админа

10. Тестовая документация

11. Проектная документация

Защита от НСД к информации, ПО , классификация по уровню контроля

Рук.док. устанавливают классификацию ПО по уровню контроля отсутствия в нем не декларированных возможностей (несоответствующие описанным в документации или неописанные. Нарушение конфиденциальности, доступности, целостности обрабатываемо информации)

Одной из возможных реализаций являются программные закладки, преднамеренно внесенные в ПО функциональные объекты, инициирующие выполнение функций, приводящих к нарушению конфиденциальности, целостности, доступности обрабатываемой информации. (неописанные в документации)

Устанавливают 4 уровня контроля, каждый из которых хар-ся определенной совокупностью минимальных требований. В общем случае ПО предъявляются следующие требования:

Требования к документации