Выбор классов защищенности IT-компонентов. В нормативных документах выбор класса защиты компонентов выполняется исходя из максимального уровня критичности, обрабатываемой информации и минимального уровня авторизации пользователей для работы с информационными ресурсами системы. Min уровень авторизации доступа к секретным данным означает max граф (множество категорий) секретности информации, к которым допущен пользователь, имеющий min привилегии при работе с ресурсами системы. Разность max графа секретности (Kmax) и min уровня авторизации доступа пользователей в систему называют индексом риска (RiskIndex).
RiskIndex вычисляется следующим образом:
Для произвольных систем в случае, если Rmax –Rmin>0 RiskIndex= Rmax –Rmin
Для систем с одним уровнем доступа к информации в случае Rmax –Rmin=0 RiskIndex=0
Для вычисления RiskIndex классы ценной информации должны быть линейно-упорядочены по уровню критичности, при этом RiskIndex локализован в диапазоне [0,L], где L – число классов ценной информации.
Класс | Класообразующие признаки |
D | Системы, представленные для выполнения сертификаций, не удовлетворяющие требованиям других классов |
C1 | Дискреционная защита к системам. Требования: - дискреционная модель УД к объектам и ресурсам; - идентификация и проверка подлинности пользователей; - регистрация доступа пользователей в систему и выхода из системы. |
C2 | Контролируемая защита. Требования: - регистрация (аудит) всех событий, связанных с доступом к ресурсам или изменения режимов доступа в объеме, необходимом для распознавания атак и учета использования ресурсов; - изоляция объектов и субъектов доступа в процессе использования общих ресурсов памяти, должно обеспечиваться освобождение оперативной и внешней памяти, исключающее несанкционированный доступ по средством повторного их использования. |
B1 | Мандатная защита. Требования: - мандатная модель УД на уровне пользовательского интерфейса объектов и ресурсов; - физическая или логическая изоляция процессов, т.е. выполнение их в отдельных адресных пространствах; - экспорт и импорт данных через одноуровневые каналы и устройства; - метка безопасности каждого объекта определяется в соответствии с идентификатором канала или устройства. |
B2 | Структурированная защита. Требования: - мандатная политика УД должна контролировать все именованные объекты, т.е. объекты, доступные на интерфейсах прикладного программирования; - модель защиты строится на формализованной основе и предусматривает возможность описательной верификации высокоуровневой спецификации диспетчера доступа; - импорт и экспорт данных с использованием многоуровневых каналов и устройств. |
B3 | Доменная защита. Требования: - списки УД для запрещенных и разрешенных режимов доступа как расширение дискреционной модели УД. Соответствие одного списка другому должно контролироваться системой при внесении измерений в конфигурацию данных; - идентификатор всех типов скрытых каналов (ограничение пропускной способности); - средства выявления и регистрации скрытых каналов в процессе инициализации; - оперативная сигнализация о критических событиях и автоматическое блокирование доступа при обнаружении таких событий. |
A | Верифицируемая защита. Функциональные требования аналогичны В3. В части гарантии проектирования должны быть представлены: - доказательства того, что формальная модель защиты внутренне не противоречива и соответствует множеству аксиом политики безопасности; - средства анализа используемых инструментов. |
Предлагается выбирать системы с рейтингом С1, С2, В1, В2, В3, А:
|
|
|
|
- Если RiskIndex=0, то С2;
- Если RiskIndex=1, то В1;
- Если RiskIndex=2, то В2;
- Если RiskIndex=3, то В3;
- Если RiskIndex=4, то А.
Если число классов обрабатываемой информации превышает число классов защищенности, то создание системы с RiskIndex>4 считается невозможным. Такие системы необходимо разделять на подсистемы и для каждой снижать RiskIndex до предельного значения.