"Человек - самое уязвимое место в системе безопасности.."

tcsec

Общая структура требований TCSEC

Оранжевая книга предлагает четыре ниши требований: подотчетность, политика документирования и гарантии. Эти категории сделаны в рамках базовых требований безопасности.

Политика. Требование — 1. политика безопасности. Каждая система защиты предприятия должна использовать определенную политику безопасности (дискреционную или мандатную). Доступ к объектам и субъектам должен быть определен на основе идентификации и списка правил руководства доступом.

Подотчетность. Требование — 2. Идентификация и аутентификация. Все субъекты информационной системы должны иметь уникальные идентификаторы. На основе правил разграничения доступа и на основе результатов идентификации объекта и субъекта доступа должен реализовываться контроль доступа. Информация, которая используется для аутентификации и идентификации должна быть защищена от уничтожения, модификации или НСД.

Требование — 3. Регистрация и учет. Степень ответственности сотрудников за действия в система определяется путем отслеживания и регистрирование в специальном протоколе все действия которые с точки зрения защиты могли повлиять на разные факторы системы. Такие события анализируются автоматически и если возникают отклонение от нормы, должен быть проинформирован сотрудник службы безопасности. Также этот протокол должен быть защищен от внешних и внутренних угроз таких как уничтожение, изменение и тд.

Гарантии. Требование — 4. Контроль корректности работы методов защиты. Механизмы обеспечения безопасности должны также быть защищены от НСД или отключения их, и эта защита должна быть непрерывной. Такое требование работает на весь жизненный цикл информационной системы. И выполнение его является аксиомой, для доказательства наличия системы безопасности.

Документирование. Требование — 6. Нужно выделять список документов в каждом классе, которые адресован определенным группам лиц. Такая документация может быть:

  • документация о тестировании
  • руководства сотрудника по критериям безопасности
  • руководства по безопасным методам работы
  • проектная документация

Классы защищенности компьютерных систем по TCSEC

Оранжевая книга указывает на четыре группы критериев, в которых заложена разная степень защищенности от минимальной (группа D) до максимальной (группа А). Каждая группа имеет несколько классов защищенности. Уровень защищенности увеличивает от группы D к группе А, от класса к классу с увеличением номера. На рис.1 показан пример структуры требований которые могут быть предоставлены.

структура классов защиты

Рисунок — 1

Группа D. Минимальная защита. Такой класс зарезервирован для таких систем, которые были поданы на сертификацию, но не прошли ее по какой-либо причине.

Группа С. Дискреционная защита. Такая группа имеет дискреционное управление аудитом действий и доступом субъектов. Класс С1. Такие системы реализованы на основе дискреционного разграничения доступа, которые безопасно разделяют данные и пользователей на минимальном уровне. Сотрудники могут использовать данные как от имени группы пользователей так и по отдельности. Подотчетность — все пользователи идентифицируются перед ТСВ. В случае реализации каких-либо действий должен включатся механизм аутентификации. Гарантии — ТСВ реализует свою защиту и защиту от внешнего воздействия. Ресурсы системы контролируются ТСВ. Тестирование ТСВ должно показывать, что нету обходных путей к защите системы. Документация должна иметь:

  • руководство для администратора на гарантирование системы защиты
  • описание всех механизмов защиты которые есть в системе, их совместная работа и руководство пользователя
  • документация по проекту, которая описывает философию защиты системы
  • документация по тестам

Класс С1 реализован под многопользовательские системы, где реализована совместная обработка данных одного уровня конфиденциальности.

Класс С2. Системы которые сертифицированные по этому классу, естественно подходят по всем требованием класса С1. Однако класс С1 более детализирует разграничение доступа пользователя. Все действия имеют больший спектр контроля а значит и контроля. Политика безопасности — ТСВ реализует контроль за раздачей прав доступа. Никакие данные не должны быть подняты субъектом за прошлые его посещение к объектам системы. Это реализуется путем очищения ресурсов после освобождения их процессами системы. Подотчетность — ТСВ реализовывает индивидуальную ответственность сотрудников за определенные действия в системе, при этом можно ассоциировать эти действия с событием в аудите. Аудиту подлежат следующие критерии:

  • аутентификация и идентификация пользователя;
  • уничтожение объектов;
  • размещение объектов в информационной системе;

Журнал аудита должен иметь ряд параметров для каждого действия:

  • время и дата
  • идентификатор пользователя
  • результат действия (успех или не успех)
  • тип события

Группа В. Мандатное управление доступом — Основное требование к системам такой группы это мандатное управление доступом с реализацией меток безопасности. Реализация некой модели политики безопасности. Класс В1 включает в себя и требования класса С2. Помимо этого должны быть метки для каждого объекта и субъекта системы. Метки должны показывать уровень доступа субъектов к объектам системы. Класс В2 включает в себя уже четко сформированные модели политики безопасности. Класс В3 включает дополнительно домены безопасности. Также дополнительные требования:

  • обрабатывать все обращения
  • защищен от несанкционированного изменения
  • быть простым для тестирования и анализа

Группа А. Верифицированная защита. Такая группа реализовывает формальные методы верификации правильности работы механизмов управления доступом. Класс А1 имеет требования которые описаны ниже:

  • абстрактное определение используемых функций аппаратных и программных для разделение доменов
  • должна быть четко определена политика безопасности, а также наличие математического доказательства, того что модель достаточна для поддержании политики безопасности
  • Должны быть использованы технологии для анализа и выявления скрытых каналов.

Интерпретация и развитие TCSEC

Выход TCSEC есть очень важным шагом в постановке теоретических проблем в компьютерной безопасности. Также потом стало ясно, что часть вопросов все таки стоит за рамками этого стандарта. В связи с развитием технологий в последние года, стандарт обновляется и дополняется новыми вопросами и ответами. Так как первые рекомендации были приведены к рабочим станциям IBM-360. Требования по гарантии политики безопасности в этом стандарте осветлен поверхностна.