Гарантированность системы защиты
Гарантированность — это мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может следовать как из тестирования, так и из проверки общего плана и исполнения системы и/или ее компонентов.
Гарантированность указывает, насколько корректны механизмы реализации выбранной КБ.
В «Оранжевой книге» рассматриваются два вида гарантированности:
· операционная — относится к архитектуре и способам реализации системы;
· технологическая — охватывает весь жизненный цикл системы, характеризует методы построения и сопровождения в целом.
1. Операционная гарантированность характеризует то, что архитектура системы и ее реализацию действительно воплощают выбранную КБ. Операционная гарантированность подразумевает проверку следующих элементов:
· архитектура системы: архитектура системы должна способствовать реализации мер безопасности или прямо их поддерживать; например, использование ОС с защитой процессов от взаимного влияния за счет выделения каждого виртуальной машины;
· целостность системы: аппаратные и программные компоненты ИС работают в штатном режиме и имеются средства периодической проверки целостности;
· тайные каналы передачи информации: тайным называется канал, не предназначенный для штатного использования;
· надежное администрирование: должны быть выделены три роли — системный администратор, оператор и администратор безопасности. В каждый момент один человек может играть только одну конкретную роль и иметь соответствующий набор привилегий и ограничений;
· надежное восстановление после сбоев: после сбоя должна быть обеспеченность целостность как информации, так и меток безопасности; подразумевается регулярное выполнение резервного копирования и поддержание запаса резервных компонентов.
2. Технологическая гарантированность задает стандарт, в соответствии с которым выполняются все действия на всех этапах жизненного цикла ИС. Технологическая гарантированность есть интегральная характеристика надежности. В «Оранжевой книге» задается ранжирование систем защиты информации по степени надежности. Определены четыре уровня безопасности (надежности) — D, C, B, A. Уровни C, B разделяются на классы. Уровень D соответствует системам с неудовлетворительной надежностью. По мере приближения к A к надежности предъявляются все более жесткие требования:
D à C1 à C2 à B1 à B2 à B3 à A (A1)
Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее концепция безопасности и гарантированность должны удовлетворять системе требований для этого класса.
Дата добавления: 2018-11-25; просмотров: 297;