11. Изоляция модулей

Операционная система Windows NT содержит встроенные механизмы, предотвращающие доступ одних процессов к оперативной памяти других процессов. Данные механизмы основаны на системе виртуальной памяти и поддерживается как на аппаратном уровне средствами процессора, так и на уровне ядра Windows NT.

12. Маркировка документов

При выводе защищаемой информации на печатающее устройство в начале и конце документа должны проставляться штамп № 1 и заполняться его реквизиты в соответствии с Инструкцией №0126-87 (п.577).

СЗИ Страж NT позволяет ограничивать вывод защищаемой информации на печатающие устройства путем назначения последним списка контроля доступа, а также назначения грифа секретности на порты принтера. Встроенными в Windows NT механизмами обеспечивается регистрации выдачи документов на печать при помощи системных списков контроля доступа, а также протоколирования сообщений очереди печати.

13. Защита ввода и вывода на отчуждаемый носитель информации

Данные механизмы описаны в пункте 3.3.4 Контроль потоков информации настоящего документа.

14. Сопоставление пользователя с устройством

Данные механизмы описаны в пунктах 3.3.1 Идентификация и аутентификация и 3.3.4 Контроль потоков информации настоящего документа.

15. Взаимодействие пользователя с сзи

СЗИ Страж NТ представляет собой программный комплекс, состоящий из отдельных модулей, каждый из которых выполняет четко определенные функции. Назначение модулей системы защиты описано в разделе 1 Назначение программы настоящего документа.

Интерфейс пользователя и СЗИ четко определен и описан. Вход пользователя в систему по шагам описан в пункте 3.3.1 настоящего документа. К другим элементам интерфейса относятся установление текущего допуска прикладных программ, а также сообщения о событиях безопасности, выдаваемые на экран при работе пользователя.

16. Надежное восстановление

В СЗИ Страж NT предусмотрен механизм восстановления параметров разграничения доступа при сбоях и отказах оборудования. С этой целью ведется две копии базы данных, в которой хранятся настройки системы защиты. Вторая копия базы данных обновляется каждый раз при завершении работы пользователей. Если при входе в систему первая копия базы данных оказывается разрушенной, то система защиты автоматически использует вторую копию и при этом восстанавливает первую.

17. Целостность сзи

Для осуществления периодического контроля целостности системы защиты информации при настройке системы защиты устанавливаются параметры автоматического контроля целостности при входе в систему на все модули системы защиты. При нарушении целостности модулей системы защиты работа пользователей блокируется, и вход в систему становится возможным только для администратора защиты.

Все модули системы защиты выполняются в отдельной части оперативной памяти компьютера, что обеспечивается встроенными в Windows NT механизмами поддержки виртуальной памяти.

18. Тестирование сзи

Для осуществления периодического тестирования функций и механизмов системы защиты информации предназначена программа Тестирование системы защиты. Данная программа позволяет проводить автоматическое тестирование следующих механизмов защиты:

• Дискреционных правил разграничения доступа;

• Мандатных правил разграничения доступа;

• Защиты ввода-вывода на отчуждаемый носитель;

• Контроля целостности.

При тестировании функций защиты ввода-вывода на отчуждаемый носитель проверяется работа дискреционных и мандатных правил разграничения доступа, а также запись меток конфиденциальности на гибких магнитных дисках. Для тестирования данной функции необходимо, чтобы в дисковод была установлена отформатированная дискета.

Программа тестирования может осуществлять тестирование СЗИ как на локальном компьютере, так и на любом доступном сетевом компьютере, на котором установлена СЗИ Страж NT данной версии. На удаленных компьютерах функция тестирования защиты ввода-вывода на отчуждаемый носитель недоступна.

Результаты тестирования системы защиты оформляются в виде отчета, который может быть сохранен на диске или распечатан.