Критерии определения безопасности компьютерных систем

Материал из Википедии — свободной энциклопедии

Необходимо перенести содержимое этой статьи в статью Критерии оценки доверенных компьютерных систем. Вы можете помочь проекту, объединив статьи. Для обсуждения целесообразности перемещения, замените это примечание на {{amerge}} и добавьте соответствующую запись на странице ВП:КОБ.

Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. «Критерии» используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.

«Критерии», часто упоминающиеся как Оранжевая книга, занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности США в качестве орудия для Агентства нацинальной безопасности в 1983 году и потом обновлённые в 1985, «Критерии» были заменены Common Criteria, международным стандартом опубликованным в 2005 году.

Содержание 1 Основные цели и средства 1.1 Политики 1.2 Ответственность 1.3 Гарантии 1.4 Документирование 2 Разделы и классы 2.1 D — Минимальная защита 2.2 C — Дискреционная защита 2.3 B — Мандатная защита 2.4 A — Проверенная защита 3 Выбор класса под окружающие требования 4 См. также

[править] Основные цели и средства

[править] Политики

Политики безопасности должны быть подробными, четко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:

• Мандатная политика безопасности — обязательные правила управления доступом напрямую основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные фаторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
  • Маркирование — системы предназначенные для обязательной мандатной политики безопасности должны предоставлять и сохранять целостность меток управления доступом и хранить метки, если объект перемещён.
• Дискреционная политика безаопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.

[править] Ответственность

Индивидуальная ответственность в независимости от политики должна быть обязательной. Есть три требования по условиям ответственности:

• Идентификация — процесс используемый для распознавания индивидуального пользователя.
• Аутентификация — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
• Аудит — контролируемая информация должна избирательно храниться и защищаться в мере достаточной для отслеживания действий аутентифицированного пользователя затрагивающих безопасность.

[править] Гарантии

Компьютерная система должна содержать аппаратные и/или программные механизмы, которые могут независимо определять обеспечивается ли достаточная уверенность в том, что система исполняет указанные выше требования. В добавок, уверенность должна включать гарантию того, что безопасная чать системы работает только так, как запланировано. Для достижения этих целей необходимо два типа гарантий и соответствующих им элементов:

• Механизмы гарантий
  • Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.
  • Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жестко контролируемыми критериями функционирования. Сюда относятся тестирование безопасности, задание на проектирование и его проверка, управление настройками и соответствие параметров системы заявленным.
• Гарантии непрерывной защиты — надёжные механизмы, обеспечивающие непрерывную защиту основных средств от преступных и/или несанкционированных изменений.

[править] Документирование

В каждом классе есть дополнительный набор документов, который адресован разработчикам, пользователям и администраторам системы в соответствии с их полномочиями. Эта документация содержит:

• Руководство пользователя по особенностям безопасности.
• Руководство по безопасным средствам работы.
• Документация о тестировании.
• Проектная документация

[править] Разделы и классы

Критерии делятся на 4 раздела: D, C, D и A, из которых наивысшей безопасностью обладает раздел A. Каждый дивизион представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.

[править] D — Минимальная защита

Системы, безопасность которых была оценена, но оказалась неудовлетворяющей требованиям более высоких разделов.

[править] C — Дискреционная защита

• C1 — Дискреционное обеспечение секретности.
  • Разделение пользователей и данных
  • Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.

• C2 — Управление доступом
  • Более чётко оформленное дискреционное управление доступом.
  • Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.
  • Журнал контроля доступа к системе.
  • Изоляция ресурсов.

[править] B — Мандатная защита

• B1
  • Мандатное управление доступом к выбранными субъектам и объектам.
  • Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.

• B2 — Структурная защита
  • Чётко определённая и документированная модель правил безопасности.
  • Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
  • Скрытые каналы хранения.

• B3 — Защищённые области
  • Соответствие требованиям монитора обращений.
  • Структурирование для исключения кода не отвечающего требованиям обязательной политики безопасности.
  • Поддержка администратора системы безопасности.
  • Примером подобной системы является XTS-300, предшественница XTS-400.

[править] A — Проверенная защита

• A1 — Проверенный дизайн.
  • По функциям идентично B3.
  • Формализованный дизайн и проверенны техники, включающие высокоуровневую спецификацию.
  • Формализованные процедуры управления и распространения.
  • Примером подобной системы является SCOMP, предшественница XTS-400.

• Выше A1
  • Системная архитектура демонстрирующая, что требования самозащиты и полноценности для мониторов обращений были выполнены в соответствии с «Базой безопасных вычислений» (коллекцией программного и аппаратного обеспечения необходимых для обязательной политики безопасности в операционных системах ориентированых на безопасность).

[править] Выбор класса под окружающие требования

Army Regulation 380-19 являются примером руководства по определению того, система какого класса должна использоваться в конкретной ситуации.

[править] См. также

• Common Criteria
• ITSEC