Wikiadmin: 1 версия импортирована

2019-10-29T11:01:44Z

1 версия импортирована

wikisec>Swan: /* (2.5.18.) Конструкторская (проектная) документация */

2009-10-06T11:59:29Z

(2.5.18.) Конструкторская (проектная) документация

Новая страница

== (2.5.1.) Дискреционный принцип контроля доступа ==
* КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).
* Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
* КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
* Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
* Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
* Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).
* Дополнительно должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
* Дополнительно КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.
* Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

== (2.5.2.) Мандатный принцип контроля доступа ==
* Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
* КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
* КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
** субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
** субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.
* Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
* В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

== (2.5.3.) Очистка памяти ==
* Для СВТ третьего класса защищенности КСЗ должен осуществлять очистку оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей информации в память при ее освобождении (перераспределении).

== (2.5.4.) Изоляция модулей ==
* При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

== (2.5.5.) Маркировка документов ==
* При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).

== (2.5.6.) Защита ввода и вывода на отчуждаемый физический носитель информации ==
* КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи.
* Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

== (2.5.7.) Сопоставление пользователя с устройством ==
* КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).
* Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.

== (2.5.8.) Идентификация и аутентификация ==
* КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта - осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать входу в СВТ неидентифицированного пользователя или пользователя, чья подлинность при аутентификации не подтвердилась.
* КСЗ должен обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

== (2.5.9.) Гарантии проектирования ==
* На начальном этапе проектирования КСЗ должна строиться модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:
** непротиворечивые правила изменения ПРД;
** правила работы с устройствами ввода и вывода;
** формальную модель механизма управления доступом.
* Должна предлагаться высокоуровневая спецификация части КСЗ, реализующего механизм управления доступом и его интерфейсов. Эта спецификация должна быть верифицирована на соответствие заданных принципов разграничения доступа.

== (2.5.10.) Регистрация ==
* КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:
** использование идентификационного и аутентификационного механизма;
** запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
** создание и уничтожение объекта;
** действия по изменению ПРД.
** Для каждого из этих событий должна регистрироваться следующая информация:
*** дата и время;
*** субъект, осуществляющий регистрируемое действие;
*** тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);
*** успешно ли осуществилось событие (обслужен запрос на доступ или нет).
* КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.
* Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т.п.).

== (2.5.11.) Взаимодействие пользователя с КСЗ ==
* Для обеспечения возможности изучения, анализа, верификации и модификации КСЗ должен быть хорошо структурирован, его структура должна быть модульной и четко определенной. Интерфейс пользователя и КСЗ должен быть определен (вход в систему, запросы пользователей и КСЗ и т.п.). Должна быть обеспечена надежность такого интерфейса. Каждый интерфейс пользователя и КСЗ должен быть логически изолирован от других таких же интерфейсов.

== (2.5.12.) Надежное восстановление ==
* Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.

== (2.5.13.) Целостность КСЗ ==
* Необходимо осуществлять периодический контроль за целостностью КСЗ.
* Программы должны выполняться в отдельной части оперативной памяти. Это требование должно подвергаться верификации.

== (2.5.14.) Тестирование ==
В третьем классе СВТ должны тестироваться:
* реализация ПРД (перехват запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД);
* невозможность присвоения субъектом себе новых прав;
* очистка оперативной и внешней памяти;
* работа механизма изоляции процессов в оперативной памяти;
* маркировка документов;
* защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;
* идентификация и аутентификация, а также их средства защиты;
* запрет на доступ несанкционированного пользователя;
* работа механизма, осуществляющего контроль за целостностью СВТ;
* регистрация событий, описанных в п. 2.5.10, средства защиты регистрационной информации и возможность санкционированного ознакомления с этой информацией.

Дополнительно должны тестироваться:
* очистка памяти (п. 2.5.3);
* работа механизма надежного восстановления.

== (2.5.15.) Руководство для пользователя ==
* Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

== (2.5.16.) Руководство по КСЗ ==
Документ адресован администратору защиты и должен содержать:
* описание контролируемых функций;
* руководство по генерации КСЗ;
* описание старта СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации;
* руководство по средствам надежного восстановления.

== (2.5.17.) Тестовая документация ==
* В документации должно быть представлено описание тестов и испытаний, которым подвергалось СВТ (п. 2.5.14), а также результатов тестирования.

== (2.5.18.) Конструкторская (проектная) документация ==
Должна содержать:
* общее описание принципов работы СВТ;
* общую схему КСЗ;
* описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ;
* описание модели защиты;
* описание диспетчера доступа;
* описание механизма контроля целостности КСЗ;
* описание механизма очистки памяти;
* описание механизма изоляции программ в оперативной памяти;
* описание средств защиты ввода и вывода на отчуждаемый физический носитель информации и сопоставления пользователя с устройством;
* описание механизма идентификации и аутентификации;
* описание средств регистрации.

Дополнительно необходимы:
* высокоуровневая спецификация КСЗ и его интерфейсов;
* верификация соответствия высокоуровневой спецификации КСЗ модели защиты.

== Ссылки ==
[[Порядок проведения сертификации]]

[[Категория: Определения]]
[[Категория: Требования]]
[[Категория: Сертификация]]

← Предыдущая	Версия 11:01, 29 октября 2019
(нет различий)

Требования к 3 классу защищенности СВТ - История изменений

Wikiadmin: 1 версия импортирована

wikisec>Swan: /* (2.5.18.) Конструкторская (проектная) документация */