Требования к 4 классу защищенности СВТ

(2.4.1.) Дискреционный принцип контроля доступа

• КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).
• Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
• КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
• Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
• Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
• Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).
• Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
• КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.
• Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

(2.4.2.) Мандатный принцип контроля доступа

• Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
• КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
• КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
  • субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
  • субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.
• Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
• В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

(2.4.3.) Очистка памяти

• При первоначальном назначении или при перераспределении внешней памяти КСЗ должен затруднять субъекту доступ к остаточной информации. При перераспределении оперативной памяти КСЗ должен осуществлять ее очистку.

(2.4.4.) Изоляция модулей

• При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

(2.4.5.) Маркировка документов

• При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).

(2.4.6.) Защита ввода и вывода на отчуждаемый физический носитель информации

• КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи.
• Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

(2.4.7.) Сопоставление пользователя с устройством

• КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).
• Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.

(2.4.8.) Идентификация и аутентификация

• КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта - осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать входу в СВТ неидентифицированного пользователя или пользователя, чья подлинность при аутентификации не подтвердилась.
• КСЗ должен обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

(2.4.9.) Гарантии проектирования

Проектирование КСЗ должно начинаться с построения модели защиты, содержащей:

• непротиворечивые ПРД;
• непротиворечивые правила изменения ПРД;
• правила работы с устройствами ввода и вывода информации и каналами связи.

(2.4.10.) Регистрация

• КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:
  • использование идентификационного и аутентификационного механизма;
  • запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
  • создание и уничтожение объекта;
  • действия по изменению ПРД.
  • Для каждого из этих событий должна регистрироваться следующая информация:
    • дата и время;
    • субъект, осуществляющий регистрируемое действие;
    • тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);
    • успешно ли осуществилось событие (обслужен запрос на доступ или нет).
• КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.
• Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т.п.).

(2.4.11.) Целостность КСЗ

• В СВТ четвертого класса защищенности должен осуществляться периодический контроль за целостностью КСЗ.
• Программы КСЗ должны выполняться в отдельной части оперативной памяти.

(2.4.12.) Тестирование

В четвертом классе защищенности должны тестироваться:

• реализация ПРД (перехват запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД);
• невозможность присвоения субъектом себе новых прав;
• очистка оперативной и внешней памяти;
• работа механизма изоляции процессов в оперативной памяти;
• маркировка документов;
• защита вода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;
• идентификация и аутентификация, а также их средства защиты;
• запрет на доступ несанкционированного пользователя;
• работа механизма, осуществляющего контроль за целостностью СВТ;
• регистрация событий, описанных в п. 2.4.10, средства защиты регистрационной информации и возможность санкционированного ознакомления с этой информацией.

(2.4.13.) Руководство для пользователя

• Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

(2.4.14.) Руководство по КСЗ

Данный документ адресован администратору защиты и должен содержать:

• описание контролируемых функций;
• руководство по генерации КСЗ;
• описания старта СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации.

(2.4.15.) Тестовая документация

Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ (в соответствии с п. 2.4.12) и результатов тестирования.

(2.4.16.) Конструкторская (проектная) документация

Должна содержать:

• общее описание принципов работы СВТ;
• общую схему КСЗ;
• описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ;
• описание модели защиты;
• описание диспетчера доступа;
• описание механизма контроля целостности КСЗ;
• описание механизма очистки памяти;
• описание механизма изоляции программ в оперативной памяти;
• описание средств защиты ввода и вывода на отчуждаемый физический носитель информации и сопоставления пользователя с устройством;
• описание механизма идентификации и аутентификации;
• описание средств регистрации.

Ссылки

Порядок проведения сертификации