19 мон ГЮІ 2015. 1. 9 Вимоги та їх реалізація при побудування засобів криптографічного захисту інформації

2.2.14 Вимоги до операційної системи для обмеженого або незмінного експлуатаційного середовища

• 
  Кожен екземпляр криптографічного модуля повинен керувати своїми SSP.
  
• 
  Експлуатаційне середовище повинне надавати можливість відділяти окремі програмні процеси один від одного, запобігаючи неконтрольованому доступу до CSP та неконтрольованій зміні SSP, незалежно від того, чи знаходяться ці дані в пам'яті процесу або зберігаються на постійному носії в межах експлуатаційного середовища. Це гарантує, що прямий доступ до CSP і SSP дозволений лише криптографічному модулю і довіреним частинам експлуатаційного середовища. Обмеження в конфігурації експлуатаційного середовища повинні бути задокументовані в політиці безпеки криптографічного модуля.
  
• 
  Процеси, породжені криптографічним модулем, повинні належати модулю, і не належати зовнішнім процесам / операторам.
  

• 
  Все криптографічне програмне забезпечення, SSP, інформація керування і статус повинні знаходиться під контролем операційної системи, яка реалізує або рольове керування доступом або, як мінімум, дискреційне керування доступом з надійним механізмом визначення нових груп і призначення обмежень, наприклад, через списки контролю доступу (ACL), а також з можливістю віднесення кожного користувача до більш ніж однієї групи. Операційна система повинна бути налаштована для захисту від несанкціонованого виконання, зміни та читання SSP, даних керування і статусу;
  
• 
  для захисту даних у вигляді відкритого тексту, криптографічного програмного забезпечення, SSP і даних автентифікації, механізми контролю доступу операційної системи:
  

• 
  повинні бути налаштовані визначати і вводити набір ролей або груп з пов'язаними з ними обмеженнями, які мають виключні права на виконання збереженого криптографічного програмного забезпечення;
  
• 
  повинні бути налаштовані визначати і вводити набір ролей або груп з пов'язаними з ними обмеженнями, які мають виключні права на зміну (тобто запис, переміщення і видалення) наступного програмного забезпечення криптографічного модуля, що зберігається в межах криптографічної границі: криптографічні програми, криптографічні дані (наприклад, криптографічні дані аудиту), SSP і дані у вигляді відкритого тексту;
  
• 
  повинні бути налаштовані визначати і вводити набір ролей або груп з пов'язаними з ними обмеженнями, які мають виключні права на читання криптографічних даних (наприклад, криптографічні дані аудиту), СSP і даних у вигляді відкритого тексту, і
  
• 
  повинні бути налаштовані визначати і вводити набір ролей або груп з пов'язаними з ними обмеженнями, які мають виключні права на введення SSP.
  

• 
  Призначені ролям або групам права та послуги повинні відповідати наступним положенням, як це визначено в політиці безпеки:
  

• 
  якщо роль технічного обслуговування не підтримується, операційна система повинна забороняти внесення змін усіма операторами і запущеними процесами в запущені криптографічні процеси (тобто завантажені і виконувані образи криптографічних програм). У цьому випадку, під запущеними процесами маються на увазі всі процеси, криптографічні чи ні, які не належать і не ініційовані операційною системою (тобто ініційовані оператором);
  
• 
  операційна система повинна забороняти доступ процесам користувача до читання або запису SSP, які належать іншим процесам або до системних SSP, а також
  
• 
  налаштування операційної системи, які відповідають вищевказаним вимогам, повинні бути зазначені в Настанові адміністратора. Настанова адміністратора повинна встановлювати, що операційна система налаштована так, як це визначено для того, щоб вміст модуля вважався захищеним.
  

• 
  операційної системи, яка повинна мати, як мінімум, наступні атрибути:
  

• 
  операційна система повинна надавати механізм аудиту із зазначенням дати та часу кожної події, яка підлягає аудиту. Криптографічний модуль не повинен включати SSP в будь-які записи аудиту;
  
• 
  криптографічний модуль повинен надавати наступні події для запису механізмом аудиту операційної системи:
  

• 
  зміни, доступи, видалення і додавання криптографічних даних і SSP;
  
• 
  спроби надати невірні входи для функцій криптослужбовця;
  
• 
  додавання або видалення оператора з роллю криптослужбовця (якщо ці ролі управляються криптографічним модулем);
  
• 
  використання пов'язаних з безпекою функцій криптослужбовця;
  
• 
  запити на доступ до даних автентифікації, пов'язаних з криптографічним модулем;
  
• 
  використання механізму автентифікації (наприклад, вхід в систему (login)), пов'язаного з криптографічним модулем і
  
• 
  явні запити на прийняття ролі криптослужбовця.
  

• 
  Механізм аудиту операційної системи повинен мати можливість проводити аудит наступних подій, пов’язаних з операційною системою:
  

• 
  всі звернення читання або запису оператором даних аудиту, що зберігаються в журналі аудиту;
  
• 
  звернення до файлів, які використовуються криптографічним модулем для зберігання криптографічних даних або SSP;
  
• 
  додавання або видалення оператора з роллю криптослужбовця (якщо ці ролі управляються експлуатаційним середовищем);
  
• 
  запити на використання механізмів управління даними автентифікації;
  
• 
  спроби використання функцій довіреного каналу і чи було задоволено вказаний запит, якщо довірений канал підтримується на цьому рівні безпеки, і
  
• 
  ідентифікація ініціатора та кінцевої цілі довіреного каналу, якщо довірений канал підтримується на цьому рівні безпеки.
  

• 
  Операційна система повинна бути налаштована забороняти операторам, крім тих, що мають визначені у політиці безпеки привілеї, змінювати програмне забезпечення криптографічного модуля і дані аудиту, що зберігаються в експлуатаційному середовищі криптографічного модуля.