НОРМАТИВНИЙ ДОКУМЕНТ
СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
Київ 1999
НОРМАТИВНИЙ ДОКУМЕНТ
СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Затверджено
наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
від “ 28 ” квітня 1999 р. № 22
Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу
НД ТЗІ 2.5-004-99
ДСТСЗІ СБ України
Київ
Передмова
1 РОЗРОБЛЕНО товариством з обмеженою відповідальністю «Інститут комп'ютерних технологій»
2 ВНЕСЕНО Головним управлінням технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
3 ВВЕДЕНО ВПЕРШЕ
Цей документ не може бути повністю або частково відтворений, тиражований і розповсюджений без дозволу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
Зміст
1 Галузь використання 1
2 Нормативні посилання 1
3 Визначення 2
4 Позначення і скорочення 2
5 Побудова і структура критеріїв захищеності інформації 3
6 Критерії конфіденційності 6
6.1 Довірча конфіденційність 6
6.2 Адміністративна конфіденційність 7
6.3 Повторне використання об'єктів 8
6.4 Аналіз прихованих каналів 9
6.5 Конфіденційність при обміні 10
7 Критерії цілісності 12
7.1 Довірча цілісність 12
7.2 Адміністративна цілісність 13
7.3 Відкат 14
7.4 Цілісність при обміні 15
8 Критерії доступності 16
8.1 Використання ресурсів 16
8.2 Стійкість до відмов 17
8.3 Гаряча заміна 18
8.4 Відновлення після збоїв 19
9 Критерії спостереженості 20
9.1 Реєстрація 20
9.2 Ідентифікація і автентифікація 21
9.3 Достовірний канал 22
9.4 Розподіл обов'язків 23
9.5 Цілісність комплексу засобів захисту 24
9.6 Самотестування 25
9.7 Ідентифікація і автентифікація при обміні 26
9.8 Автентифікація відправника 27
9.9 Автентифікація отримувача 28
10 Критерії гарантій 29
10.1 Архітектура 29
10.2 Середовище розробки 30
10.3 Послідовність розробки 31
10.4 Середовище функціонування 33
10.5 Документація 33
10.6 Випробування комплексу засобів захисту 34
Додаток А Функціональні послуги 35
А.1 Критерії конфіденційності 35
А.1.1 Довірча конфіденційність 35
А.1.2 Адміністративна конфіденційність 37
А.1.3 Повторне використання об'єктів 37
А.1.4 Аналіз прихованих каналів 37
А.1.5 Конфіденційність при обміні 38
А.2 Критерії цілісності 39
А.2.1 Довірча цілісність 39
А.2.2 Адміністративна цілісність 39
А.2.3 Відкат 40
А.2.4 Цілісність при обміні 40
А.3 Критерії доступності 41
А.3.1 Використання ресурсів 41
А.3.2 Стійкість до відмов 41
А.3.3 Гаряча заміна 41
А.3.4 Відновлення після збоїв 42
А.2 Критерії спостереженості 42
А.2.1 Реєстрація 42
А.2.2 Ідентифікація і автентифікація 43
А.2.3 Достовірний канал 44
А.2.4 Розподіл обов'язків 44
А.2.5 Цілісність комплексу засобів захисту 44
А.2.6 Самотестування 45
А.2.7 Ідентифікація і автентифікація при обміні 45
А.2.8 Автентифікація відправника 45
А.2.9 Автентифікація одержувача 46
Додаток Б Гарантії і процес оцінки 47
Б.1 Архітектура 47
Б.2 Середовище розробки 48
Б.3 Послідовність розробки 50
Б.4 Середовище функціонування 51
Б.5 Документація 52
Б.6 Випробування комплексу засобів захисту 52
НД ТЗІ 2.5-004-99
КРИТЕРІЇ ОЦІНКИ ЗАХИЩЕНОСТІ ІНФОРМАЦІЇ В КОМП’ЮТЕРНИХ СИСТЕМАХ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ
Чинний від 1999-07-01
1 Галузь використання
Цей нормативний документ (далі — Критерії) — установлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу.
Критерії є методологічною базою для визначення вимог з захисту інформації в комп'ютерних системах від несанкціонованого доступу; створення захищених комп'ютерних систем і засобів захисту від несанкціонованого доступу; оцінки захищеності інформації в комп'ютерних системах і їх придатності для обробки критичної інформації (інформації, що вимагає захисту).
Критерії надають:
1. Порівняльну шкалу для оцінки надійності механізмів захисту інформації від несанкціонованого доступу, реалізованих в комп'ютерних системах.
2. Базу (орієнтири) для розробки комп'ютерних систем, в яких мають бути реалізовані функції захисту інформації.
Критерії можуть застосовуватися до всього спектра комп'ютерних систем, включаючи однорідні системи, багатопроцесорні системи, бази даних, вбудовані системи, розподілені системи, мережі, об'єктно-орієнтовані системи та ін.
Цей документ призначено для постачальників (розробників), споживачів (замовників, користувачів) комп'ютерних систем, які використовуються для обробки (в тому числі збирання, зберігання, передачі і т. ін.) критичної інформації, а також для органів, що здійснюють функції оцінювання захищеності такої інформації та контролю за її обробкою.
Цей документ відображає сучасний стан проблеми і підходів до її розв'язання. З розвитком нових тенденцій в галузі і за умови достатньої обгрунтованості документ є відкритим для включення до його складу Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України нових послуг.
2 Нормативні посилання
У цьому НД ТЗІ наведено посилання на такі нормативні документи:
ДСТУ 3230-95. Управління якістю і забезпечення якості. Терміни і визначення.
ДСТУ 2853-94. Програмні засоби ЭОМ. Підготовка і проведення випробувань.
ДСТУ 2851-94. Програмні засоби ЭОМ. Документування результатів випробувань.
НД ТЗІ 1.1-004-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.
3 Визначення
В цьому нормативному документі використовуються терміни і визначення, що відповідають встановленим нормативним документом ТЗІ 1.1-003-99 “Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу“.
4 Позначення і скорочення
В цьому нормативному документі використовуються такі позначення і скорочення:
Загальні терміни:
АС — автоматизована система;
КС — комп'ютерна система;
КЗЗ — комплекс засобів захисту;
НСД — несанкціонований доступ;
ОС — обчислювальна система;
ПЗ — програмне забезпечення;
ПЗП — постійний запам’ятовуючий пристрій;
ПРД — правила розмежування доступу;
Позначення послуг:
КД — довірча конфіденційність;
КА — адміністративна конфіденційність;
КО — повторне використання об'єктів;
КК — аналіз прихованих каналів;
КВ — конфіденційність при обміні;
ЦД — довірча цілісність;
ЦА — адміністративна цілісність;
ЦО — відкат;
ЦВ — цілісність при обміні;
ДР — використання ресурсів;
ДВ — стійкість до відмов;
ДЗ — гаряча заміна;
ДВ — відновлення після збоїв;
НР — реєстрація;
НИ — ідентифікація і автентифікація;
НК — достовірний канал;
НО — розподіл обов'язків;
НЦ — цілісність КЗЗ;
НТ — самотестування;
НВ — автентифікація при обміні;
НА — автентифікація відправника;
НП — автентифікація одержувача.
5 Побудова і структура критеріїв захищеності інформації
В процесі оцінки спроможності комп'ютерної системи забезпечувати захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:
вимоги до функцій захисту (послуг безпеки);
вимоги до гарантій.
В контексті Критеріїв комп'ютерна система розглядається як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз. Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n — унікальне для кожного виду послуг.
Функціональні критерії розбиті на чотири групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із чотирьох основних типів.
Конфіденційність. Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги треба шукати в розділі “Критерії конфіденційності”. В цьому розділі описані такі послуги (в дужках наведені умовні позначення для кожної послуги): довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).
Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують вимоги щодо обмеження можливості модифікації інформації, то відповідні послуги треба шукати в розділі “Критерії цілісності”. В цьому розділі описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і цілісність при обміні.
Доступність. Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то відповідні послуги треба шукати в розділі “Критерії доступності”. В цьому розділі описані такі послуги: використання ресурсів, стійкість до відмов, горяча заміна, відновлення після збоїв.
Спостереженість. Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні послуги треба шукати у розділі “Критерії спостереженості”. В цьому розділі описані такі послуги: реєстрація, ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (невідмова від одержання).
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації. В цих Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.
Структуру Критеріїв показано на рисунку 1.
Всі описані послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як необхідні умови для даної послуги (або її рівня). За винятком послуги аналіз прихованих каналів залежність між функціональними послугами і гарантіями відсутня. Рівень послуги цілісність комплексу засобів захисту НЦ-1 є необхідною умовою абсолютно для всіх рівнів всіх інших послуг.
Порядок оцінки комп'ютерної системи на предмет відповідності цим Критеріям визначається відповідними нормативними документами. Експертна комісія, яка проводить оцінку комп'ютерної системи, визначає, які послуги і на якому рівні реалізовані в даній комп'ютерній системі, і як дотримані вимоги гарантій. Результатом оцінки є рейтинг, що являє собою упорядкований ряд (перелічення) буквено-числових комбінацій, що позначають рівні реалізованих послуг, в поєднанні з рівнем гарантій. Комбінації упорядковуються в порядку опису послуг в критеріях. Для того, щоб до рейтингу комп'ютерної системи міг бути включений певний рівень послуги чи гарантій, повинні бути виконані всі вимоги, перелічені в критеріях для даного рівня послуги або гарантій.
6 Критерії конфіденційності
Для того, щоб КС могла бути оцінена на предмет відповідності критеріям конфіденційності, КЗЗ оцінюваної КС повинен надавати послуги з захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні.
6.1 Довірча конфіденційність
Ця послуга дозволяє користувачу керувати потоками інформації від захищених об'єктів, що належать його домену, до інших користувачів. Рівні даної послуги ранжируються на підставі повноти захисту і вибірковості керування.
КД-1. Мінімальна довірча конфіденційність
КД-2. Базова довірча конфіденційність
КД-3. Повна довірча конфіденційність
КД-4. Абсолютна довірча конфіденційність
Політика довірчої конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
Політика довірчої конфіденційності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
процесу і захищеного об'єкта
користувача і захищеного об'єкта
користувача, процесу і захищеного об'єкта
Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта
КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити
конкретні процеси і/або групи процесів, які мають право одержувати інформацію від об'єкта
конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта
конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта
конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта
КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити
—
конкретних користувачів і/або групи користувачів, які мають право ініціювати процес
конкретних користувачів (і групи користувачів), які мають, а також тих, що не мають права ініціювати процес
Права доступу до кожного захищеного об'єкта повинні встановлюватись в момент його створення або ініціалізації. Як частина політики довірчої конфіденційності повинні бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту
НЕОБХІДНІ УМОВИ: НИ-1
НЕОБХІДНІ УМОВИ: КО-1, НИ-1
6.2 Адміністративна конфіденційність
Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від захищених об'єктів до користувачів. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості управління.
КА-1. Мінімальна адміністративна конфіденційність
КА-2. Базова адміністративна конфіденційність
КА-3. Повна адміністративна конфіденційність
КА-4. Абсолютна адміністративна конфіденційність
Політика адміністративної конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
Політика адміністративної конфіденційності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
процесу і захищеного об'єкта
користувача і захищеного об'єкта
користувача, процесу і захищеного об'єкта
Запити на зміну прав доступу повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження
КЗЗ повинен надавати можливість адміністратору або користувачу, що має відповідні повноваження, для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити
конкретні процеси і/або групи процесів, які мають право одержувати інформацію від об'єкта
конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта
конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта
конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта
КЗЗ повинен надавати можливість адміністратору або користувачу, що має відповідні повноваження, для кожного процесу через керування належністю користувачів і процесів до відповідних доменів визначити
—
конкретних користувачів і/або групи користувачів, які мають право ініціювати процес
конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права ініціювати процес
Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики адміністративної конфіденційності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту
НЕОБХІДНІ УМОВИ: НО-1, НИ-1
НЕОБХІДНІ УМОВИ: КО-1, НО-1, НИ-1
6.3 Повторне використання об'єктів
Ця послуга дозволяє забезпечити коректність повторного використання розділюваних об'єктів, гарантуючи, що в разі, якщо розділюваний об'єкт виділяється новому користувачу або процесу, то він не містить інформації, яка залишилась від попереднього користувача або процесу.
КО-1. Повторне використання об'єктів
Політика повторного використання об'єктів, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, встановлені для попереднього користувача або процесу права доступу до даного об'єкта повинні бути скасовані
Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, вся інформація, що міститься в даному об'єкті, повинна стати недосяжною
НЕОБХІДНІ УМОВИ: НЕМАЄ
6.4 Аналіз прихованих каналів
Аналіз прихованих каналів виконується з метою виявлення і усунення потоків інформації, які існують, але не контролюються іншими послугами. Рівні даної послуги ран жируються на підставі того, чи виконується тільки виявлення, контроль або перекриття прихованих каналів.
КК-1. Виявлення прихованих каналів
КК-2. Контроль прихованих каналів
КК-3. Перекриття прихованих каналів
Повинен бути виконаний аналіз прихованих каналів
Всі приховані канали, які існують в апаратному і програмному забезпеченні, а також в програмах ПЗП, повинні бути документовані
Має бути документована максимальна пропускна здатність кожного знайденого прихованого каналу, одержана на підставі теоретичної оцінки або вимірів
Для прихованих каналів, які можуть використовуватися спільно, повинна бути документована сукупна пропускна здатність
Всі (затверджена підмножина) знайдені під час аналізу приховані канали повинні бути усунені
—
КЗЗ повинен забезпечувати реєстрацію використання затвердженої підмножини знайдених прихованих каналів
НЕОБХІДНІ УМОВИ: КО-1, Г-3
НЕОБХІДНІ УМОВИ: КО-1, НР-1, Г-3
НЕОБХІДНІ УМОВИ: КО-1, Г-3
6.5 Конфіденційність при обміні
Ця послуга дозволяє забезпечити захист об'єктів від несанкціонованого ознайомлення з інформацією, що міститься в них, під час їх експорту/імпорту через незахищене середовище. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування.
КВ-1. Мінімальна конфіденційність при обміні
КВ-2. Базова конфіденційність при обміні
КВ-3. Повна конфіденційність при обміні
КВ-4. Абсолютна конфіденційність при обміні
Політика конфіденційності при обміні, що реалізується КЗЗ, повинна визначати множину об'єктів і інтерфейсних процесів, до яких вона відноситься
Політика конфіденційності при обміні, що реалізується КЗЗ, повинна відноситись до всіх об'єктів і існуючих інтерфейсних процесів
Політика конфіденційності при обміні, що реалізується КЗЗ, повинна визначати рівень захищеності, який забезпечується механізмами, що використовуються, і спроможність користувачів і/або процесів керувати рівнем захищеності
КЗЗ повинен забезпечувати захист від безпосереднього ознайомлення з інформацією, що міститься в об'єкті, який передається
—
Запити на призначення або зміну рівня захищеності повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або користувачів, яким надані відповідні повноваження
—
Запити на експорт захищеного об'єкта повинні оброблятися передавальним КЗЗ на підставі атрибутів доступу інтерфейсного процесу
—
і приймальника об'єкта
—
Запити на імпорт захищеного об'єкта повинні оброблятися приймальним КЗЗ на підставі атрибутів доступу інтерфейсного процесу
—
і джерела об'єкта
—
Представлення захищеного об'єкта має бути функцією атрибутів доступу інтерфейсного процесу, самого об'єкта, а також його джерела і приймальника
Політика конфіденційності при обміні повинна включати опис інформації , яку можливо отримати шляхом сумісного аналізу ряду одержаних об'єктів
Повинен бути виконаний аналіз прихованих каналів обміну. Всі знайдені приховані канали обміну і максимальна пропускна здатність кожного із них мають бути документовані. Повинна бути забезпечена реєстрація використання затвердженої підмножини знайдених прихованих каналів, їх часткове перекриття або усунення
НЕОБХІДНІ УМОВИ: НЕМАЄ
НО-1
НО-1, НВ-1
НО-1, НВ-1, НР-1, Г-3
7 Критерії цілісності
Для того, щоб КС могла бути оцінена на предмет відповідності критеріям цілісності, КЗЗ оцінюваної КС повинен надавати послуги з захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні.
7.1 Довірча цілісність
Ця послуга дозволяє користувачу керувати потоками інформації від інших користувачів до захищених об'єктів, що належать його домену. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування.
ЦД-1. Мінімальна довірча цілісність
ЦД-2. Базова довірча цілісність
ЦД-3. Повна довірча цілісність
ЦД-4. Абсолютна довірча цілісність
Політика довірчої цілісності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
Політика довірчої цілісності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
користувача і захищеного об'єкта
процесу і захищеного об'єкта
процесу, користувача і захищеного об'єкта
Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта
КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити
конкретних користувачів і/або групи користувачів, які мають право модифікувати об'єкт
конкретні процеси і/або групи процесів, які мають право модифікувати об'єкт
конкретні процеси (і групи процесів), які мають, а також тих, що не мають права модифікувати об'єкт
конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, що не мають права модифікувати об'єкт
КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити
—
конкретних користувачів і/або групи користувачів, які мають право ініціювати процес
конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права ініціювати процес
Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики довірчої цілісності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту і імпорту
НЕОБХІДНІ УМОВИ: НИ-1
НЕОБХІДНІ УМОВИ: КО-1, НИ-1
7.2 Адміністративна цілісність
Ця послуга дозволяє адміністратору або спеціально авторизованому користувачу керувати потоками інформації від користувачів до захищених об'єктів. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування.
ЦА-1. Мінімальна адміністративна цілісність
ЦА-2. Базова адміністративна цілісність
ЦА-3. Повна адміністративна цілісність
ЦА-4. Абсолютна адміністративна цілісність
Політика адміністративної цілісності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
Політика адміністративної цілісності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
користувача і захищеного об'єкта
процесу і захищеного об'єкта
процесу, користувача і захищеного об'єкта
Запити на зміну прав доступу повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження
КЗЗ повинен надавати можливість адміністратору або користувачу, який має відповідні повноваження, для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити
конкретних користувачів і/або групи користувачів, які мають право модифікувати об'єкт
конкретні процеси і/або групи процесів, які мають право модифікувати об'єкт
конкретні процеси (і групи процесів), які мають, а також тих, які не мають права модифікувати об'єкт
конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права модифікувати об'єкт
КЗЗ повинен надавати можливість адміністратору або користувачу, який має відповідні повноваження, для кожного процесу шляхом керування належністю користувачів і процесів до відповідних доменів визначити
—
конкретних користувачів і/або групи користувачів, які мають право ініціювати процес
конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права ініціювати процес
Права доступу до кожного захищеного об'єкта повинні встановлюватися в момент його створення або ініціалізації. Як частина політики адміністративної цілісності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту і імпорту
НЕОБХІДНІ УМОВИ: НО-1, НИ-1
НЕОБХІДНІ УМОВИ: КО-1, НО-1, НИ-1
7.3 Відкат
Ця послуга забезпечує можливість відмінити операцію або послідовність операцій і повернути (відкатити) захищений об'єкт до попереднього стану. Рівні даної послуги ран жируються на підставі множини операцій, для яких забезпечується відкат.
ЦО-1. Обмежений відкат
ЦО-2. Повний відкат
Політика відкату, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
Повинні існувати автоматизовані засоби, які дозволяють авторизованому користувачу або процесу відкатити або відмінити
певний набір (множину) операцій, виконаних над захищеним об'єктом за певний проміжок часу
всі операції, виконані над захищеним об'єктом за певний проміжок часу
НЕОБХІДНІ УМОВИ: НИ-1
7.4 Цілісність при обміні
Ця послуга дозволяє забезпечити захист об'єктів від несанкціонованої модифікації інформації, що міститься в них, під час їх експорту/імпорту через незахищене середовище. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування.
ЦВ-1: Мінімальна цілісність при обміні
ЦВ-2: Базова цілісність при обміні
ЦВ-3: Повна цілісність при обміні
Політика цілісності при обміні, що реалізується КЗЗ, повинна визначати множину об'єктів КС і інтерфейсних процесів, до яких вона відноситься, рівень захищеності, що забезпечується використовуваними механізмами, і спроможність користувачів і/або процесів керувати рівнем захищеності
КЗЗ повинен забезпечувати можливість виявлення порушення цілісності інформації, що міститься в об'єкті, який передається
а також фактів його видалення або дублювання
—
Запити на експорт захищеного об'єкта повинні оброблятися передавальним КЗЗ на підставі атрибутів доступу інтерфейсного процесу
—
і приймальника об'єкта
—
Запити на імпорт захищеного об'єкта повинні оброблятися приймальним КЗЗ на підставі атрибутів доступу інтерфейсного процесу
—
і джерела об'єкта
—
Запити на присвоєння або зміну рівня захищеності повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або користувачів, яким надані відповідні повноваження
—
Представлення захищеного об'єкта має бути функцією атрибутів доступу інтерфейсного процесу, самого об'єкта, а також його джерела і приймальника
НЕОБХІДНІ УМОВИ: НЕМАЄ
НО-1
НО-1, НВ-1
8 Критерії доступності
Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС повинен надавати послуги щодо забезпечення можливості використання КС в цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв.
8.1 Використання ресурсів
Ця послуга дозволяє користувачам керувати використанням послуг і ресурсів. Рівні даної послуги ран жируються на підставі повноти захисту і вибірковості керування доступністю послуг КС.
ДР-1. Квоти
ДР-2. Недопущення захоплення ресурсів
ДР-3. Пріоритетність використання ресурсів
Політика використання ресурсів, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
Політика використання ресурсів, що реалізується КЗЗ, повинна відноситися до всіх об'єктів КС
Політика використання ресурсів повинна визначати обмеження, які можна накладати, на кількість даних об'єктів (обсяг ресурсів), що виділяються
окремому користувачу
окремому користувачу і довільним групам користувачів
Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження
—
Повинна існувати можливість встановлювати обмеження таким чином, щоб КЗЗ мав можливість запобігти діям, які можуть призвести до неможливості доступу інших користувачів до функцій КЗЗ або захищених об'єктів. КЗЗ повинен контролювати такі дії, здійснювані з боку
окремого користувача
окремого користувача і довільних груп користувачів
НЕОБХІДНІ УМОВИ: НО-1
8.2 Стійкість до відмов
Стійкість до відмов гарантує доступність КС (можливість використання інформації, окремих функцій або КС в цілому) після відмови її компонента. Рівні даної послуги ран жируються на підставі спроможності КЗЗ забезпечити можливість функціонування КС в залежності від кількості відмов і послуг, доступних після відмови.
ДС-1. Стійкість при обмежених відмовах
ДС-2. Стійкість з погіршенням характеристик обслуговування
ДС-3. Стійкість без погіршення характеристик обслуговування
Розробник повинен провести аналіз відмов компонентів КС
Політика стійкості до відмов, що реалізується КЗЗ, повинна визначати множину компонентів КС, до яких вона відноситься, і типи їх відмов, після яких КС в змозі продовжувати функціонування
Політика стійкості до відмов, що реалізується КЗЗ, повинна відноситися до всіх компонентів КС
Повинні бути чітко вказані рівні відмов, при перевищенні яких відмови призводять до зниження характеристик обслуговування або недоступності послуги
Відмова одного захищеного компонента не повинна призводити до недоступності всіх послуг, а має в гіршому випадку проявлятися в зниженні характеристик обслуговування
Відмова одного захищеного компонента не повинна призводити до недоступності всіх послуг або до зниження характеристик обслуговування
КЗЗ повинен бути спроможний повідомити адміністратора про відмову будь-якого захищеного компонента
НЕОБХІДНІ УМОВИ: НО-1
8.3 Гаряча заміна
Ця послуга дозволяє гарантувати доступність КС (можливість використання інформації, окремих функцій або КС в цілому) в процесі заміни окремих компонентів. Рівні даної послуги ран жируються на підставі повноти реалізації.
ДЗ-1. Модернізація
ДЗ-2. Обмежена гаряча заміна
ДЗ-3. Гаряча заміна будь-якого компонента
Політика гарячої заміни, що реалізується КЗЗ, повинна визначати політику проведення модернізації КС
Політика гарячої заміни, що реалізується КЗЗ, повинна визначати множину компонентів КС, які можуть бути замінені без переривання обслуговування
Політика гарячої заміни, що реалізується КЗЗ, повинна забезпечувати можливість заміни будь-якого компонента без переривання обслуговування
Адміністратор або користувачі, яким надані відповідні повноваження, повинні мати можливість провести модернізацію (upgrade) КС. Модернізація КС не повинна призводити до необхідності ще раз проводити інсталяцію КС або до переривання виконання КЗЗ функцій захисту
Адміністратор або користувачі, яким надані відповідні повноваження, повинні мати можливість замінити будь-який захищений компонент
НЕОБХІДНІ УМОВИ: НО-1
НЕОБХІДНІ УМОВИ: НО-1, ДС-1
8.4 Відновлення після збоїв
Ця послуга забезпечує повернення КС у відомий захищений стан після відмови або переривання обслуговування. Рівні даної послуги ран жируються на підставі міри автоматизації процесу відновлення.
ДВ-1. Ручне відновлення
ДВ-2. Автоматизоване відновлення
ДВ-3. Вибіркове відновлення
Політика відновлення, що реалізується КЗЗ, повинна визначати множину типів відмов КС і переривань обслуговування, після яких можливе повернення у відомий захищений стан без порушення політики безпеки. Повинні бути чітко вказані рівні відмов, у разі перевищення яких необхідна повторна інсталяція КС
Після відмови КС або переривання обслуговування КЗЗ повинен перевести КС до стану, із якого повернути її до нормального функціонування може тільки адміністратор або користувачі, яким надані відповідні повноваження
Після відмови КС або переривання обслуговування КЗЗ має бути здатним визначити, чи можуть бути використані автоматизовані процедури для повернення КС до нормального функціонування безпечним чином. Якщо такі процедури можуть бути використані, то КЗЗ має бути здатним виконати їх і повернути КС до нормального функціонування
Після будь-якої відмови КС або переривання обслуговування, що не призводить до необхідності заново інсталювати КС, КЗЗ повинен бути здатним виконати необхідні процедури і безпечним чином повернути КС до нормального функціонування або, в гіршому випадку, функціонування в режимі з погіршеними характеристиками обслуговування
—
Якщо автоматизовані процедури не можуть бути використані, то КЗЗ повинен перевести КС до стану, з якого повернути її до нормального функціонування може тільки адміністратор або користувачі, яким надані відповідні повноваження
Повинні існувати ручні процедури, за допомогою яких можна безпечним чином
повернути КС до нормального функціонування
повернути КС з режиму з погіршеними характеристиками обслуговування в режим нормального функціонування
НЕОБХІДНІ УМОВИ: НО-1
9 Критерії спостереженості
Для того, щоб КС могла бути оцінена на предмет відповідності критеріям спостереженості, КЗЗ оцінюваної КС повинен надавати послуги з забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача
9.1 Реєстрація
Реєстрація дозволяє контролювати небезпечні для КС дії. Рівні даної послуги ран жируються залежно від повноти і вибірковості контролю, складності засобів аналізу даних журналів реєстрації і спроможності вияву потенційних порушень.
НР-1. Зовнішній аналіз
НР-2. Захищений журнал
НР-3. Сигналізація про небезпеку
НР-4. Детальна реєстрація
НР-5. Аналіз в реальному часі
Політика реєстрації, що реалізується КЗЗ, повинна визначати перелік подій, що реєструються
КЗЗ повинен бути здатним здійснювати реєстрацію подій, що мають безпосереднє відношення до безпеки
КЗЗ повинен бути здатним здійснювати реєстрацію подій, що мають безпосереднє або непряме відношення до безпеки
Журнал реєстрації повинен містити інформацію про дату, час, місце, тип і успішність чи неуспішність кожної зареєстрованої події. Журнал реєстрації повинен містити інформацію, достатню для встановлення користувача, процесу і/або об'єкта, що мали відношення до кожної зареєстрованої події
КЗЗ має бути здатним передавати журнал реєстрації в інші системи з використанням певних механізмів захисту
КЗЗ повинен забезпечувати захист журналу реєстрації від несанкціонованого доступу, модифікації або руйнування.
Адміністратори і користувачі, яким надані відповідні повноваження, повинні мати в своєму розпорядженні засоби перегляду і аналізу журналу реєстрації
—
КЗЗ має бути здатним контролювати одиничні або повторювані реєстраційні події, які можуть свідчити про прямі (істотні) порушення політики безпеки КС. КЗЗ має бути здатним негайно інформувати адміністратора про перевищення порогів безпеки і, якщо реєстраційні небезпечні події повторюються, здійснити неруйнівні дії щодо припинення повторення цих подій
—
КЗЗ має бути здатним виявляти і аналізувати несанкціоновані дії в реальному часі
НИ-1
НЕОБХІДНІ УМОВИ: НИ-1, НО-1
9.2 Ідентифікація і автентифікація
Ідентифікація і автентифікація дозволяють КЗЗ визначити і перевірити особистість користувача, що намагається одержати доступ до КС. Рівні даної послуги ран жируються залежно від числа задіяних механізмів автентифікації.
НИ-1. Зовнішня ідентифікація і автентифікація
НИ-2. Одиночна ідентифікація і автентифікація
НИ-3. Множинна ідентифікація і автентифікація
Політика ідентифікації і автентифікації, що реалізується КЗЗ, повинна визначати атрибути, якими характеризується користувач, і послуги, для використання яких необхідні ці атрибути. Кожний користувач повинен однозначно ідентифікуватися КЗЗ
Перш ніж дозволити будь-якому користувачу виконувати будь-які інші, контрольовані КЗЗ дії, КЗЗ повинен
з використанням захищеного механізму одержати від деякого зовнішнього джерела автентифікований ідентифікатор цього користувача
автентифікувати цього користувача з використанням захищеного механізму
автентифікувати цього користувача з використанням захищених механізмів двох або більше типів
—
КЗЗ повинен забезпечувати захист даних автентифікації від несанкціонованого доступу, модифікації або руйнування
НЕОБХІДНІ УМОВИ: НЕМАЄ
НЕОБХІДНІ УМОВИ: НК-1
9.3 Достовірний канал
Ця послуга дозволяє гарантувати користувачу можливість безпосередньої взаємодії з КЗЗ. Рівні даної послуги ран жируються залежно від гнучкості надання можливості КЗЗ або користувачу ініціювати захищений обмін.
НК-1. Однонаправлений достовірний канал
НК-2. Двонаправлений достовірний канал
Політика достовірного каналу, що реалізується КЗЗ, повинна визначати механізми встановлення достовірного зв'язку між користувачем і КЗЗ
Достовірний канал повинен використовуватися для початкової ідентифікації і автентифікації. Зв'язок з використанням даного каналу повинен ініціюватися виключно користувачем
Достовірний канал повинен використовуватися для початкової ідентифікації і автентифікації та у випадках, коли необхідний прямий зв'язок користувач/КЗЗ або КЗЗ/користувач. Зв'язок з використанням даного каналу повинен ініціюватися користувачем або КЗЗ
—
Обмін з використанням достовірного каналу, що ініціює КЗЗ, повинен бути однозначно ідентифікований як такий і має відбутися тільки після позитивного підтвердження готовності до обміну з боку користувача
НЕОБХІДНІ УМОВИ: НЕМАЄ
9.4 Розподіл обов'язків
Ця послуга дозволяє зменшити потенційні збитки від навмисних або помилкових дій користувача і обмежити авторитарність керування. Рівні даної послуги ран жируються ...