Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1912 / 713 | Длительность: 17:50:00
Лекция 3:

Объекты защиты информации

< Лекция 2 || Лекция 3: 123 || Лекция 4 >

3.3. Классификация СВТ

Гостехкомиссия России в 1990-х годах разделила понятия АС и средств вычислительной техники (СВТ). Выделение СВТ в отдельную категорию обусловлено тем, что СВТ представляют собой компоненты при построении АС, то есть если СВТ не интегрированы в АС и не решают какой-то прикладной задачи, они не содержат пользовательской информации. Помимо этого, АС является более широким понятием, включающим в себя персонал, помещения, технологии обработки информации, полномочия пользователей системы.

Пример: ПЭВМ с установленной на ней операционной системой формально является СВТ. Но если ее поставить в конкретную комнату, закрепить за ней пользователя, выполняющего какую-то работу, она становится автоматизированной системой.

СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем[25].

СВТ классифицируются в соответствии с Руководящим документом Гостехкомиссии России "СВТ. Защита от НСД к информации. Показатели защищенности от НСД"

Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.

Устанавливаются 7 классов защищённости СВТ от НСД к информации, при этом самый низкий класс - седьмой, самый высокий - первый. Каждый класс разбит на 4 группы:

I. 7 класс - СВТ, которые были представлены к оценке, однако не удовлетворяют требованиям более высоких классов.
II. 6 и 5 классы - дискреционная защита.
III. 4, 3 и 2 классы - мандатная защита.
IV. 1 класс - верифицированная защита.

Требования ужесточаются с уменьшением номера класса.

Классы являются иерархически упорядоченными: каждый последующий класс содержит требования всех предыдущих. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

В общем случае требования предъявляются к следующим показателям защищённости:

  1. Дискреционный принцип контроля доступа.
  2. Мандатный принцип контроля доступа.
  3. Очистка памяти.
  4. Изоляция модулей.
  5. Маркировка документов.

Перечень показателей по классам защищенности СВТ приведен в таблице 3.4. Принятые обозначения:

"-" - нет требований к данному классу;
"+" - новые или дополнительные требования,
"=" - требования совпадают с требованиями к СВТ предыдущего класса.

Таблица 3.4. Требования в зависимости от класса защищенности СВТ
Наименование показателя Класс защищенности
6 5 4 3 2 1
Дискреционный принцип контроля доступа + + + = + =
Мандатный принцип контроля доступа - - + = = =
Очистка памяти - + + + = =
Изоляция модулей - - + = + =
Маркировка документов - - + = = =
Защита ввода и вывода на отчуждаемый физический носитель информации - - + = = =
Сопоставление пользователя с устройством - - + = = =
Идентификация и аутентификация + = + = = =
Гарантии проектирования - + + + + +
Регистрация - + + + = =
Взаимодействие пользователя с КСЗ - - - + = =
Надежное восстановление - - - + = =
Целостность КСЗ - + + + = =
Контроль модификации - - - - + =
Контроль дистрибуции - - - - + =
Гарантии архитектуры - - - - - +
Тестирование + + + + + =
Руководство для пользователя + = = = = =
Руководство по КСЗ + + = + + =
Тестовая документация + + + + + =
Конструкторская (проектная) документация + + + + + +

Оценка класса защищенности СВТ проводится в соответствии с "Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации", "Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники" и другими документами.

Для всех классов СВТ необходима реализация дискреционного контроля доступа.

Дискреционный принцип разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователей или групп. Эта модель отличается простотой реализации, но ее недостатком является отсутствие механизмов слежения за безопасностью потоков информации. Это означает, что права на доступ к объекту проверяются только при первом обращении к объекту. При этом возникает опасность переноса информации из защищенного объекта в общедоступный. Более того, субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:

  • каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
  • система имеет одного выделенного субъекта - суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.

Мандатный принцип разграничения доступа (англ. Mandatory access control или MAC) предполагает назначение объекту грифа секретности, а субъекту - уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил "не читать выше" и "не записывать ниже". Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее). Это означает, что пользователь не может прочитать информацию из объекта, гриф секретности которого выше, чем его уровень допуска. Также пользователь не может перенести информацию из объекта с большим грифом секретности в объект с меньшим грифом секретности. Использование мандатной модели предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

В наиболее распространенных сегодня ОС Windows и UNIX используется дискреционное разграничение доступа. Это означает, что им присуща описанная выше проблема возможной утечки конфиденциальной информации. Пользователь, имеющий право работать с защищенным объектом может перенести содержащуюся в нем информацию в другой общедоступный объект. Причем это может произойти как преднамеренно, если это делает сам пользователь, так и непреднамеренно, например, через вредоносное или шпионское ПО, запущенное от его имени.

Важно отметить, что приведенные требования для каждого класса СВТ являются минимально необходимыми.

< Лекция 2 || Лекция 3: 123 || Лекция 4 >
Александр Шестов
Александр Шестов

Поддерживаю сообщение Александра Тимошкина. Сокращение не правильное, его даже проверка орфографии подчеркивает.

Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?