7.2.3. Требования и классы защищенности автоматизированных (информационных) систем в «Руководящих документах...» Государственной технической комиссии при Президенте рф

Руководящие документы Гостехкомиссии при Президенте РФ, изданные в 1992 г., являются отечественными стандартами в сфере построения защищенных информационных систем. Методологической основой руководящих документов, опреде­ляющей систему взглядов на проблему информационной безо­пасности и основные принципы защиты компьютерных систем, является «Концепция защиты СВТ и АС от несанкционирован­ного доступа (НСД) к информации».

«Концепция...» разделяет требования безопасности к сред­ствам вычислительной техники как совокупности программных и технических элементов систем обработки данных, способ­ных функционировать самостоятельно или в составе других систем, и требования безопасности к автоматизированным си­стемам.*

* Система, состоящая из персонала и комплекса средств автоматизации его дея­тельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003-90).

Особенностью руководящих документов является акцен­тирование требований в основном на первой составляющей безопасности информации — конфиденциальности (защите от несанкционированного доступа) и частично второй составля­ющей — целостности (защите от несанкционированного изме­нения информации).

«Концепция...» классифицирует модели нарушителя по че­тырем иерархическим уровням возможностей, содержание ко­торых приведено на рис. 7.6.

Рис. 7.6. Уровни возможностей нарушителя, установленные в руководящих документах Гостехкомиссии

В своем уровне нарушитель является специалистом выс­шей квалификации, знает все об АС и, в частности, о системе и средствах защиты.

Требования по классамзащищенности АС разделяются на основе трех признаков:

• наличие в АС информации различного уровня конфиден­циальности;

• наличие или отсутствие различий в уровне полномочий пользователей;

• наличие коллективного или индивидуального режима обработки данных.

Требования к средствам защиты информации (СЗИ) в ру­ководящих документах определяются совокупностью парамет­ров по ряду подсистем защиты, схема и структура которых при­ведены на рис. 7.7.

Рис. 7.7. Составляющие и структура требований к СЗИ в АС в руководящих документах Гостехкомиссии

В соответствии с этими признаками руководящие докумен­ты выделяют три группы классов защищенности, приведенные на рис. 7.8.

Рис. 7.8 Группы и классы защищенности АС от НСД в руково­дящих документах Гостехкомиссии

Каждая группа, в свою очередь, подразделяется на ряд под­групп-классов, что в совокупности определяет 9 классов за­щищенности АС, иерархия которых характеризуется уже упо­минавшимися особенностями конфиденциальности информа­ции, полномочиями пользователей, режимом обработки и уровнем предъявляемых требований к средствам защиты — 1А, 1Б,1В,1Г,1Д,2А,2Б,3А,3Б.*

* Классы перечислены по направлению снижения требований к уровню защи­щенности.

Перечень требований по конкретным классам защищенно­сти АС от НСД представлен в таблице 7.2.

Таблица 7.2

Требования к классам защищенности АС

В краткой характеристике можно отметить следующее.

Группа 3классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещен­ной на носителях одного уровня конфиденциальности. В груп­пе устанавливается два класса — 3Б и 3А.В классе 3Б,соот­ветствующем низшему уровню защиты, регламентируются требо­вания обязательной парольной идентификации и аутентификации пользователя при входе в систему, регистрации входа/выхода пользователей, учета используемых внешних носителей, обес­печения целостности средств защиты информации (СЗИ), об­рабатываемой информации и программной среды, а также на­личие средств восстановления СЗИ.

В классе 3Авыполняются все требования класса 3Б и до­полнительно устанавливаются требования по регистрации рас­печатки документов, физической очистке освобождаемых об­ластей оперативной памяти и внешних носителей, усиливают­ся требования по обеспечению целостности СЗИ и программной среды через проверку целостности при каждой загрузке систе­мы, периодическое тестирование функций СЗИ при изменении программной среды и персонала АС.

Группа 2классифицирует АС, в которых пользователи име­ют одинаковые права доступа (полномочия) ко всей информа­ции АС, обрабатываемой и (или) хранимой на носителях раз­личного уровня конфиденциальности. В группе также устанав­ливается два класса — 2Б и 2А. Регламентируемые требованиякласса 2Бв основном совпадают с требованиями класса 3Б с некоторым усилением требований по подсистеме обеспечения целостности (при загрузке системы).

В классе 2Авыполняются все требования класса 2Б с уси­лением требований по подсистеме управления доступом (иден­тификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств, а также программ, томов, каталогов, фай­лов, записей, полей записей, что обеспечивает избирательное управление доступом) и усилением требований по подсистеме регистрации и учета (регистрация не только входа/выхода субъектов, но загрузки и инициализации операционной систе­мы, программных остановов, регистрация выдачи документов, запуска программ, обращений к файлам и другим защищаемым объектам, автоматический учет создаваемых файлов, что обес­печивает регистрацию всех потенциально опасных событий). Дополнительно регламентируется управление потоками инфор­мации с помощью меток конфиденциальности (элементы пол­номочного управления доступом), очистка освобождаемых уча­стков оперативной и внешней памяти, а также шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа носители дан­ных.

Группа 1классифицирует многопользовательские АС, в ко­торых одновременно обрабатывается и (или) хранится инфор­мация различных уровней конфиденциальности и не все пользо­ватели имеют право доступа ко всей информации АС. Группа содержит пять классов—1Д, 1Г, 1В, 1Б и 1А.

Класс 1Двключает требования, содержательно и идеоло­гически совпадающие с требованиями классов 3Б и 2Б.

Класс1Г помимо выполнения всех требований класса 1Д включает требования, содержательно и идеологически сходные с требованиями класса 2А (за исключением требований по шифрованию информации) с учетом различий в полномочиях пользователей — избирательное управление доступом в соот­ветствии с матрицей доступа, регистрация потенциально опас­ных событий, очистка освобождаемых участков оперативной и внешней памяти.

Класс 1Ввключает выполнение всех требований класса 1Г. Дополнительно регламентируется полномочное управление доступом (метки конфиденциальности объектов и полномочия субъектов доступа), усиливаются требования к подсистеме реги­страции опасных событий, вводится требование наличия ад­министратора защиты и его интерактивного оповещения о по­пытках несанкционированного доступа.

Класс 1Бвключает все требования класса 1В и дополни­тельно требования по шифрованию информации (аналогично классу 2А).

Класс 1А(высший уровень защиты) включает все требова­ния класса 1Б с дополнительным требованием использования разных ключей шифрования различными субъектами доступа.

Руководящие документы Гостехкомиссии, изучение опыта создания и эксплуатации защищенных АС позволяют выделить некоторые методические и организационные аспекты разработ­ки защищенных АС,заключающиеся в следующей последова­тельности действий:

• анализ информационных ресурсов разрабатываемой АС и категорирование их конфиденциальности (определение объек­тов защиты);

• анализ основных угроз объектам защиты и разработка модели (уровня возможностей) нарушителя;

• определение комплекса организационных мер, программ­но-технических решений и средств нейтрализации угроз защи­щаемым объектам (формирование политики и модели безопас­ности данных) и определение необходимого класса (уровня) защиты;

• формирование основных технических решений по разра­ботке СЗИ создаваемой АС с требуемым уровнем (классом) бе­зопасности;

• разработка, сертификационные испытания или приобре­тение сертифицированных СЗИ (защищенных систем), прием­ка в эксплуатацию.

Основополагающим принципом создания защищенных АС является изначальное включение основных технических реше­ний по подсистемам СЗИ в эскизный и рабочий проекты созда­ния АС, т. к. процессы обеспечения безопасности данных, как уже отмечалось, должны реализовываться на уровне ядра сис­темы (ядра ОС,СУБД).

В более детальном виде вопросы создания защищенных систем регламентируются в специальном документе Гостехко­миссии — «Временном положении по организации, изготовле­нию и эксплуатации программных и технических средств за­щиты информации от НСД в автоматизированных системах и средствах вычислительной техники» (1992 г.)

Для сертификации разрабатываемых защищенных систем и средств защиты в Российской Федерации созданы соответ­ствующие системы сертификации, находящиеся в компетенции ФАПСИ при Президенте РФ (система РОСС RU.000103001 — криптографические средства защиты) и Гостехкомиссии при Президенте РФ (система РОСС RU.000101.БИОО — СВТ, ОС, СУБД, АС, общесистемные и специализированные программ­ные и технические средства).

По данным на июнь 2000 года среди общедоступных про­фессиональных коммерческих СУБД на российском рынке сер­тификат Гостехкомиссии класса 1Б имеют отечественная про­мышленная реляционная СУБД «ЛИНТЕР» (версия 5.х), отно­сящаяся к классу систем «Клиент-сервер», разработанная и поддерживаемая Воронежским НПП «РЕЛЭКС», и специально подготовленный единичный экземпляр СУБД Oracle,версии 7.х.