19 мон ГЮІ 2015. 1. 9 Вимоги та їх реалізація при побудування засобів криптографічного захисту інформації
 Скачать 227.06 Kb.
|
|
Позначення: « - » - немає вимог до даного класу; « + » - нові або додаткові вимоги « = » - вимоги співпадають з вимогами до ЗОТ попереднього класу. 3.2.1 Вимоги до показників захищеності сьомого класу Сьомий клас привласнюють ЗОТ, до яких пред'являлися вимоги по захисту від НСД до інформації, але при оцінці захищеність ЗОТ виявилася нижчою за рівень вимог шостого класу. 3.2.2 Вимоги до показників захищеності шостого класу 1. Дискреційний принцип контролю доступу. КЗЗ повинен контролювати доступ найменованих суб'єктів (користувачів) до найменованих об'єктів (файлів, програм, томам і так далі). Для кожної пари (суб'єкт - об'єкт) в ЗОТ повинне бути задане явне і недвозначне перерахування допустимих типів доступу (читати, писати і так далі), тобто тих типів доступу, які є санкціонованими для даного суб'єкта (індивіда або групи індивідів) до даного ресурсу ЗОТ (об'єкту). КЗЗ повинен містити механізм, що запроваджує в життя дискреційні правила розмежування доступу. Контроль доступу повинен бути застосовний до кожного об'єкту і кожного суб'єкта (індивідові або групі рівноправних індивідів). Механізм, що реалізовує дискреційний принцип контролю доступу, повинен передбачати можливості санкціонованої зміни правил розмежування доступу, зокрема можливість санкціонованої зміни списку користувачів ЗОТ і списку об'єктів, що захищаються. Право змінювати правила розмежування доступу повинно надаватися виділеним суб'єктам (адміністрації, службі безпеці і так далі). 2. Ідентифікація і автентифікація. КЗЗ повинен вимагати від користувачів ідентифікувати себе при запитах на доступ. КЗЗ повинен піддавати перевірці достовірність ідентифікації - здійснювати автентифікацію. КЗЗ повинен мати в своєму розпорядженні необхідні дані для ідентифікації і автентифікації. КЗЗ повинен перешкоджати доступу до захищених ресурсів неідентифікованих користувачів і користувачів, достовірність ідентифікації яких при автентифікації не підтвердилася. 3. Тестування. У ЗОТ шостого класу повинні тестуватися: реалізація дискреційних правил розмежування доступу (перехоплення явних і прихованих запитів, правильне розпізнавання санкціонованих і несанкціонованих запитів на доступ, засоби захисту механізму розмежування доступу, санкціоновані зміни правил розмежування доступу); успішне здійснення ідентифікації і автентифікації, а також їх засобів захисту. 4. Керівництво для користувача. Документація на ЗОТ повинна включати коротке керівництво для користувача з описом способів використання КЗЗ і його інтерфейсу з користувачем. 5. Керівництво по КЗЗ. Даний документ адресований адміністраторові захисту і повинен містити: опис контрольованих функцій; керівництво по генерації КЗЗ; опис старту ЗОТ і процедур перевірки правильності старту. 6. Тестова документація. Повинні бути надані опис тестів і випробувань, яким піддавалися ЗОТ і результатів тестування. 7. Конструкторська (проектна) документація. Повинна містити загальний опис принципів роботи ЗОТ, загальну схему КЗЗ, опис інтерфейсів КЗЗ з користувачем і інтерфейсів частин КЗЗ між собою, опис механізмів ідентифікації і автентифікації. 3.2.3 Вимоги до показників п'ятого класу захищеності 1. Дискреційний принцип контролю доступу. Дані вимоги включають аналогічні вимоги шостого класу. Додатково повинні бути передбачені засоби управління, що обмежують розповсюдження прав на доступ. 2. Очищення пам'яті. При первинному призначенні або при перерозподілі зовнішньої пам'яті КЗЗ повинен запобігати доступу суб'єктові до залишкової інформації. 3. Ідентифікація і автентифікація. Дані вимоги повністю співпадають з аналогічними вимогами шостого класу. 4. Гарантії проектування. На початковому етапі проектування ЗОТ повинна бути побудована модель захисту. Модель повинна включати правила розмежування доступу до об'єктів і несуперечливі правила зміни правил розмежування доступу. 5. Реєстрація. КЗЗ повинен бути в змозі здійснювати реєстрацію наступних подій: використання ідентифікаційного і автентифікаційного механізму; запит на доступ до ресурсу, що захищається (відкриття файлу, запуск програми і так далі); створення і знищення об'єкту; дії із зміни правил розмежування доступу. Для кожної з цих подій повинна реєструватися наступна інформація: дата і час; суб'єкт, що здійснює реєстровану дію; тип події (якщо реєструється запит на доступ, то слід відзначати об'єкт і тип доступу); чи успішно здійснилася подія (обслужений запит на доступ чи ні). КЗЗ повинен містити засоби вибіркового ознайомлення з реєстраційною інформацією. 6. Цілісність КЗЗ. У ЗОТ п'ятого класу захищеності повинні бути передбачені засоби періодичного контролю за цілісністю програмної і інформаційної частини КЗЗ. 7. Тестування. У ЗОТ п'ятого класу захищеності повинні тестуватися: реалізація правил розмежування доступу (перехоплення явних і прихованих запитів на доступ, правильне розпізнавання санкціонованих і несанкціонованих запитів, засоби захисту механізму розмежування доступу, санкціоновані зміни правил розмежування доступу); успішне здійснення ідентифікації і автентифікації, а також їх засоби захисту; очищення пам'яті; реєстрація подій, засоби захисту реєстраційної інформації і можливість санкціонованого ознайомлення з нею; робота механізму, що здійснює контроль за цілісністю КЗЗ. 8. Керівництво користувача. Дана вимога співпадає з аналогічною вимогою шостого класу. 9. Керівництво по КЗЗ. Даний документ адресований адміністраторові захисту і повинен містити: опис контрольованих функцій; керівництво по генерації КЗЗ; описи старту ЗОТ, процедур перевірки правильності старту, процедур роботи із засобами реєстрації. 10. Тестова документація. Повинні бути надані опис тестів і випробувань, яким піддавалося ЗОТ, і результатів тестування. 11. Конструкторська і проектна документація. Повинна містити: опис принципів роботи ЗОТ; загальну схему КЗЗ; опис інтерфейсів КЗЗ з користувачем і інтерфейсів модулів КЗЗ; модель захисту; опис механізмів контролю цілісності КЗЗ, очищення пам'яті, ідентифікації і автентифікації. 3.2.4 Вимоги до показників четвертого класу захищеності 1. Дискреційний принцип контролю доступу. Дані вимоги включають аналогічні вимоги п'ятого класу. Додатково КЗЗ повинен містити механізм, що запроваджує в життя дискреційні правила розмежування доступу, як для явних дій користувача, так і для прихованих, забезпечуючи тим самим захист об'єктів від НСД (тобто від доступу, не допустимого з погляду заданого правила розмежування доступу). Під «явними» тут маються на увазі дії, здійснювані з використанням системних засобів - системних макрокоманд, інструкцій мов високого рівня і так далі, а під «прихованими» - інші дії, зокрема з використанням власних програм роботи з пристроями. Дискреційні правила розмежування доступу для систем даного класу є доповненням мандатних правил розмежування доступу. 2. Мандатний принцип контролю доступу. Для реалізації цього принципу повинні зіставлятися класифікаційні мітки кожного суб'єкта і кожного об'єкту, що відображають їх місце у відповідній ієрархії. За допомогою цих міток суб'єктам і об'єктам повинні призначатися класифікаційні рівні (рівні уразливості, категорії секретності і тому подібне), що є комбінаціями ієрархічних і неієрархічних категорій. Дані мітки повинні служити основою мандатного принципу розмежування доступу. КЗЗ при введенні нових даних в систему повинен запрошувати і отримувати від санкціонованого користувача класифікаційні мітки цих даних. При санкціонованому занесенні в список користувачів нового суб'єкта повинне здійснюватися зіставлення йому класифікаційних міток. Зовнішні класифікаційні мітки (суб'єктів, об'єктів) повинні точно відповідати внутрішнім міткам (усередині КЗЗ). КЗЗ повинен реалізовувати мандатний принцип контролю доступу стосовно всіх об'єктів при явному і прихованому доступі з боку будь-якого з суб'єктів: суб'єкт може читати об'єкт, тільки якщо ієрархічна класифікація в класифікаційному рівні суб'єкта не менша, ніж ієрархічна класифікація в класифікаційному рівні об'єкту, і неієрархічні категорії в класифікаційному рівні суб'єкта включають всі ієрархічні категорії в класифікаційному рівні об'єкту; суб'єкт здійснює запис в об'єкт, тільки якщо класифікаційний рівень суб'єкта в ієрархічній класифікації не більший, ніж класифікаційний рівень об'єкту в ієрархічній класифікації, і всі ієрархічні категорії в класифікаційному рівні суб'єкта включаються в неієрархічні категорії в класифікаційному рівні об'єкту. Реалізація мандатних правил розмежування доступу повинна передбачати можливості супроводу: зміни класифікаційних рівнів суб'єктів і об'єктів спеціально виділеними суб'єктами. У ЗОТ повинен бути реалізований диспетчер доступу, тобто засіб, що здійснює перехоплення всіх звернень суб'єктів до об'єктів, а також розмежування доступу відповідно до заданого принципу розмежування доступу. При цьому рішення про санкційованість запиту на доступ повинно прийматися тільки при одночасному дозволі його і дискреційними, і мандатними правилами розмежування доступу. Таким чином, повинні контролюватися не тільки одиничний акт доступу, але і потоки інформації. 3. Очищення пам'яті. При первинному призначенні або при перерозподілі зовнішньої пам'яті КЗЗ повинен утрудняти суб'єктові доступ до залишкової інформації. При перерозподілі оперативної пам'яті КЗЗ повинен здійснювати її очищення. 4. Ізоляція модулів. За наявності в ЗОТ мультипрограмування в КЗЗ повинен існувати програмно-технічний механізм, що ізолює програмні модулі одного процесу (одного суб'єкта), від програмних модулів інших процесів (інших суб'єктів) - тобто в оперативній пам'яті ЕОМ програми різних користувачів повинні бути захищені один від одного. 5. Маркування документів. При виведенні інформації, що захищається, на документ на початку і кінці проставляють штамп № 1 і заповнюють його реквізити відповідно до спеціальної інструкції. 6. Захист введення і виводу на відчужуваний фізичний носій інформації. КЗЗ повинен розрізняти кожен пристрій введення-виводу і кожен канал зв'язку як довільно використовувані або ідентифіковані («помічені»). При введенні з «поміченого» пристрою (виводу на «помічений» пристрій) КЗЗ повинен забезпечувати відповідність міткою об'єкту (класифікаційним рівнем), що вводиться (що виводиться), і міткою пристрою. Така ж відповідність повинна забезпечуватися при роботі з «поміченим» каналом зв'язку. Зміни в призначенні і розмітці пристроїв і каналів повинні здійснюватися тільки під контролем КЗЗ. 7. Зіставлення користувача з пристроєм. КЗЗ повинен забезпечувати виведення інформації на запитаний користувачем пристрій як для довільно використовуваних пристроїв, так і для ідентифікованих (при збігу маркування). Ідентифікований КЗЗ повинен включати механізм, за допомогою якого санкціонований користувач надійно зіставляється виділеному пристрою. 8. Ідентифікація і автентифікація. КЗЗ повинен вимагати від користувачів ідентифікувати себе при запитах на доступ, повинен перевіряти достовірність ідентифікатора суб'єкта - здійснювати автентифікацію. КЗЗ повинен мати в своєму розпорядженні необхідні дані для ідентифікації і автентифікації і перешкоджати входу в ЗОТ неідентифікованого користувача або користувача, чия достовірність при автентифікації не підтвердилася. КЗЗ повинен володіти здатністю надійно пов'язувати отриману ідентифікацію зі всіма діями даного користувача. 9. Гарантії проектування. Проектування КЗЗ повинне починатися з побудови моделі захисту, що містить: несуперечливі правила розмежування доступу; несуперечливі правила зміни правил розмежування доступу; правила роботи з пристроями введення і виведення інформації і каналами зв'язку. 10. Реєстрація. Дані вимоги включають аналогічні вимоги п'ятого класу захищеності. Додатково повинна бути передбачена реєстрація всіх спроб доступу, всіх дій оператора і виділених користувачів (адміністраторів захисту і тому подібне). 11. Цілісність КЗЗ. У ЗОТ четвертого класу захищеності повинен здійснюватися періодичний контроль за цілісністю КЗЗ. Програми КЗЗ повинні виконуватися в окремій частині оперативної пам'яті. 12. Тестування. У четвертому класі захищеності повинні тестуватися: реалізація правил розмежування доступу (перехоплення запитів на доступ, правильне розпізнавання санкціонованих і несанкціонованих запитів відповідно до дискреційних і мандатних правил, вірне зіставлення міток суб'єктів і об'єктів, запит міток інформації, що знов вводиться, засоби захисту механізму розмежування доступу, санкціоновану зміну правил розмежування доступу); неможливість привласнення суб'єктом собі нових прав; очищення оперативної і зовнішньої пам'яті; робота механізму ізоляції процесів в оперативній пам'яті; маркування документів; захист вода і виведення інформації на відчужуваний фізичний носій і зіставлення користувача з пристроєм; ідентифікація і автентифікація, а також їх засоби захисту; заборона на доступ несанкціонованого користувача; робота механізму, що здійснює контроль за цілісністю ЗОТ; реєстрація подій, засоби захисту реєстраційної інформації і можливість санкціонованого ознайомлення з цією інформацією. 13. Керівництво для користувача. Дана вимога співпадає з аналогічною вимогою шостого і п'ятого класів. 14. Керівництво по КЗЗ. Дані вимоги повністю співпадають з аналогічними вимогами п'ятого класу. 15. Тестова документація. Повинні бути представлені опис тестів і випробувань, яким піддавалося ЗОТ і результатів тестування. 16. Конструкторська (проектна) документація. Повинна містити: загальний опис принципів роботи ЗОТ; загальну схему КЗЗ; опис зовнішніх інтерфейсів КЗЗ і інтерфейсів модулів КЗЗ; опис моделі захисту; опис диспетчера доступу; опис механізму контролю цілісності КЗЗ; опис механізму очищення пам'яті; опис механізму ізоляції програм в оперативній пам'яті; опис засобів захисту введення і виводу на відчужуваний фізичний носій інформації і зіставлення користувача з пристроєм; опис механізму ідентифікації і автентифікації; опис засобів реєстрації. 3.2.5 Вимоги до показників третього класу захищеності 1. Дискреційний принцип контролю доступу. Дані вимоги повністю співпадають з вимогами п'ятого і четвертого класів. 2. Мандатний принцип контролю доступу. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 3. Очищення пам'яті. Для ЗОТ третього класу захищеності КЗЗ повинен здійснювати очищення оперативної і зовнішньої пам'яті. Очищення повинне проводитися шляхом запису маскуючої інформації в пам'ять при її звільненні (перерозподілі). 4. Ізоляція модулів. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 5. Маркування документів. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 6. Захист введення і виводу на відчужуваний фізичний носій інформації. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 7. Зіставлення користувача з пристроєм. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 8. Ідентифікація і автентифікація. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 9. Гарантії проектування. На початковому етапі проектування КЗЗ повинна будуватися модель захисту, що задає принцип розмежування доступу і механізм управління доступом. Ця модель повинна містити: несуперечливі правила зміни правил розмежування доступу; правила роботи з пристроями введення і виводу; формальну модель механізму управління доступом. Повинна пропонуватися високорівнева специфікація частини КЗЗ, що реалізовує механізм управління доступом і його інтерфейсів. Ця специфікація повинна бути верифікована на відповідність заданих принципів розмежування доступу. 10. Реєстрація. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 11. Взаємодія користувача з КЗЗ. Для забезпечення можливості вивчення, аналізу, верифікації і модифікації КЗЗ повинен бути добре структурований, його структура повинна бути модульною і чітко визначеною. Інтерфейс користувача і КЗЗ повинен бути визначений (вхід в систему, запити користувачів і КЗЗ і тому подібне). Повинна бути забезпечена надійність такого інтерфейсу. Кожен інтерфейс користувача і КЗЗ повинен бути логічно ізольований від інших таких же інтерфейсів. 12. Надійне відновлення Процедури відновлення після збоїв і відмов устаткування повинні забезпечувати повне відновлення властивостей КЗЗ. 13. Цілісність КЗЗ. Необхідно здійснювати періодичний контроль за цілісністю КЗЗ. Програми повинні виконуватися в окремій частині оперативної пам'яті. Ця вимога повинна піддаватися верифікації. 14. Тестування. ЗОТ повинні піддаватися такому ж тестуванню, що і ЗОТ четвертого класу. Додатково повинні тестуватися: очищення пам'яті; робота механізму надійного відновлення. 15. Керівництво для користувача. Дані вимоги повністю співпадають з аналогічною вимогою четвертого класу. 16. Керівництво по КЗЗ. Документ адресований адміністраторові захисту і повинен містити: опис контрольованих функцій; керівництво по генерації КЗЗ; опис старту ЗОТ, процедур перевірки правильності старту, процедур роботи із засобами реєстрації; керівництво по засобах надійного відновлення. 17. Тестова документація У документації повинні бути представлені опис тестів і випробувань, яким піддавалося ЗОТ, а також результатів тестування. 18. Конструкторська (проектна) документація. Потрібна така ж документація, що і для ЗОТ четвертого класу. Додатково необхідні: високорівнева специфікація КЗЗ і його інтерфейсів; верифікація відповідності високорівневій специфікації КЗЗ моделі захисту. |