Классы безопасности информационных систем

В соответствии с «Оранжевой книгой», политика безопасности должна включать в себя следующие элементы:

- произвольное управление доступом – метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую он входит, некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту;

- безопасность повторного использования объектов – дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора» (информация из оперативной памяти, дисковых блоков и магнитных носителей в целом);

- метки безопасности состоят из двух частей: уровня секретности – образуют упорядоченное множество, и списка категорий – неупорядоченное;

- принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта: метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. После фиксации меток безопасности субъектов и объектов, оказываются зафиксированными и права доступа.

В «Оранжевой книге» дано определение безопасной системы – это система, которая посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации.

В ней выделены основные классы защищенности – D, C, B, A.

В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов, т.е. уровень D предназначен для систем, признанных неудовлетворительными.

Класс C1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя, прежде, чем выполнять какие-либо действия, контролируемые ИС. Для идентификации должен использоваться какой-либо защитный механизм, например пароли, которые должны быть защищены от несанкционированного доступа; ИС защищена от внешних воздействий (в частности, от изменения программы или данных) и от попыток слежения за ходом работы; должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и программных средств; должны быть описаны подход к безопасности, используемый разработчиком, и применение этого подхода при реализации ИС.

Класс C2 (в дополнение к C1): права доступа должны определяться с точностью до пользователя. Все объекты должны подвергаться контролю доступа; каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; необходимо ликвидировать все следы внутреннего использования отдельных объектов ИС; ИС должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым ИС; тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Класс B1 (в дополнение к C2): каждый хранимый объект ИС должен иметь отдельную идентификационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объектам; ИС должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств; должна существовать неформальная или формальная модель политики безопасности, поддерживаемой ИС.

Класс B2 (в дополнение к B1): должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией; ИС должна быть внутренне структурирована на хорошо определенные, относительно независимые модули; должна быть продемонстрирована относительная устойчивость ИС к попыткам проникновения; тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к B2): для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике ИБ; администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом; должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты; должна быть продемонстрирована устойчивость ИС к попыткам проникновения.

Класс A1 (в дополнение к B3): тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям остальных уровней; механизм управления ИБ должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.