Требования к 3 классу защищенности СВТ

(2.5.1.) Дискреционный принцип контроля доступа

• КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).
• Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
• КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
• Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
• Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
• Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).
• Дополнительно должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
• Дополнительно КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.
• Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

(2.5.2.) Мандатный принцип контроля доступа

• Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
• КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
• КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
  • субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
  • субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.
• Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
• В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

(2.5.3.) Очистка памяти

• Для СВТ третьего класса защищенности КСЗ должен осуществлять очистку оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей информации в память при ее освобождении (перераспределении).

(2.5.4.) Изоляция модулей

• При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

(2.5.5.) Маркировка документов

• При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).

(2.5.6.) Защита ввода и вывода на отчуждаемый физический носитель информации

• КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи.
• Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

(2.5.7.) Сопоставление пользователя с устройством

• КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).
• Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.

(2.5.8.) Идентификация и аутентификация

• КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта - осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать входу в СВТ неидентифицированного пользователя или пользователя, чья подлинность при аутентификации не подтвердилась.
• КСЗ должен обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

(2.5.9.) Гарантии проектирования

• На начальном этапе проектирования КСЗ должна строиться модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:
  • непротиворечивые правила изменения ПРД;
  • правила работы с устройствами ввода и вывода;
  • формальную модель механизма управления доступом.
• Должна предлагаться высокоуровневая спецификация части КСЗ, реализующего механизм управления доступом и его интерфейсов. Эта спецификация должна быть верифицирована на соответствие заданных принципов разграничения доступа.

(2.5.10.) Регистрация

• КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:
  • использование идентификационного и аутентификационного механизма;
  • запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
  • создание и уничтожение объекта;
  • действия по изменению ПРД.
  • Для каждого из этих событий должна регистрироваться следующая информация:
    • дата и время;
    • субъект, осуществляющий регистрируемое действие;
    • тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);
    • успешно ли осуществилось событие (обслужен запрос на доступ или нет).
• КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.
• Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т.п.).

(2.5.11.) Взаимодействие пользователя с КСЗ

• Для обеспечения возможности изучения, анализа, верификации и модификации КСЗ должен быть хорошо структурирован, его структура должна быть модульной и четко определенной. Интерфейс пользователя и КСЗ должен быть определен (вход в систему, запросы пользователей и КСЗ и т.п.). Должна быть обеспечена надежность такого интерфейса. Каждый интерфейс пользователя и КСЗ должен быть логически изолирован от других таких же интерфейсов.

(2.5.12.) Надежное восстановление

• Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.

(2.5.13.) Целостность КСЗ

• Необходимо осуществлять периодический контроль за целостностью КСЗ.
• Программы должны выполняться в отдельной части оперативной памяти. Это требование должно подвергаться верификации.

(2.5.14.) Тестирование

В третьем классе СВТ должны тестироваться:

• реализация ПРД (перехват запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД);
• невозможность присвоения субъектом себе новых прав;
• очистка оперативной и внешней памяти;
• работа механизма изоляции процессов в оперативной памяти;
• маркировка документов;
• защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;
• идентификация и аутентификация, а также их средства защиты;
• запрет на доступ несанкционированного пользователя;
• работа механизма, осуществляющего контроль за целостностью СВТ;
• регистрация событий, описанных в п. 2.5.10, средства защиты регистрационной информации и возможность санкционированного ознакомления с этой информацией.

Дополнительно должны тестироваться:

• очистка памяти (п. 2.5.3);
• работа механизма надежного восстановления.

(2.5.15.) Руководство для пользователя

• Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

(2.5.16.) Руководство по КСЗ

Документ адресован администратору защиты и должен содержать:

• описание контролируемых функций;
• руководство по генерации КСЗ;
• описание старта СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации;
• руководство по средствам надежного восстановления.

(2.5.17.) Тестовая документация

• В документации должно быть представлено описание тестов и испытаний, которым подвергалось СВТ (п. 2.5.14), а также результатов тестирования.

(2.5.18.) Конструкторская (проектная) документация

Должна содержать:

• общее описание принципов работы СВТ;
• общую схему КСЗ;
• описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ;
• описание модели защиты;
• описание диспетчера доступа;
• описание механизма контроля целостности КСЗ;
• описание механизма очистки памяти;
• описание механизма изоляции программ в оперативной памяти;
• описание средств защиты ввода и вывода на отчуждаемый физический носитель информации и сопоставления пользователя с устройством;
• описание механизма идентификации и аутентификации;
• описание средств регистрации.

Дополнительно необходимы:

• высокоуровневая спецификация КСЗ и его интерфейсов;
• верификация соответствия высокоуровневой спецификации КСЗ модели защиты.

Ссылки

Порядок проведения сертификации