Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1610 / 491 | Длительность: 17:50:00
Лекция 3:

Объекты защиты информации

< Лекция 2 || Лекция 3: 123 || Лекция 4 >

3.3. Классификация СВТ

Гостехкомиссия России в 1990-х годах разделила понятия АС и средств вычислительной техники (СВТ). Выделение СВТ в отдельную категорию обусловлено тем, что СВТ представляют собой компоненты при построении АС, то есть если СВТ не интегрированы в АС и не решают какой-то прикладной задачи, они не содержат пользовательской информации. Помимо этого, АС является более широким понятием, включающим в себя персонал, помещения, технологии обработки информации, полномочия пользователей системы.

Пример: ПЭВМ с установленной на ней операционной системой формально является СВТ. Но если ее поставить в конкретную комнату, закрепить за ней пользователя, выполняющего какую-то работу, она становится автоматизированной системой.

СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем[25].

СВТ классифицируются в соответствии с Руководящим документом Гостехкомиссии России "СВТ. Защита от НСД к информации. Показатели защищенности от НСД"

Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.

Устанавливаются 7 классов защищённости СВТ от НСД к информации, при этом самый низкий класс - седьмой, самый высокий - первый. Каждый класс разбит на 4 группы:

I. 7 класс - СВТ, которые были представлены к оценке, однако не удовлетворяют требованиям более высоких классов.
II. 6 и 5 классы - дискреционная защита.
III. 4, 3 и 2 классы - мандатная защита.
IV. 1 класс - верифицированная защита.

Требования ужесточаются с уменьшением номера класса.

Классы являются иерархически упорядоченными: каждый последующий класс содержит требования всех предыдущих. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

В общем случае требования предъявляются к следующим показателям защищённости:

  1. Дискреционный принцип контроля доступа.
  2. Мандатный принцип контроля доступа.
  3. Очистка памяти.
  4. Изоляция модулей.
  5. Маркировка документов.

Перечень показателей по классам защищенности СВТ приведен в таблице 3.4. Принятые обозначения:

"-" - нет требований к данному классу;
"+" - новые или дополнительные требования,
"=" - требования совпадают с требованиями к СВТ предыдущего класса.

Таблица 3.4. Требования в зависимости от класса защищенности СВТ
Наименование показателя Класс защищенности
6 5 4 3 2 1
Дискреционный принцип контроля доступа + + + = + =
Мандатный принцип контроля доступа - - + = = =
Очистка памяти - + + + = =
Изоляция модулей - - + = + =
Маркировка документов - - + = = =
Защита ввода и вывода на отчуждаемый физический носитель информации - - + = = =
Сопоставление пользователя с устройством - - + = = =
Идентификация и аутентификация + = + = = =
Гарантии проектирования - + + + + +
Регистрация - + + + = =
Взаимодействие пользователя с КСЗ - - - + = =
Надежное восстановление - - - + = =
Целостность КСЗ - + + + = =
Контроль модификации - - - - + =
Контроль дистрибуции - - - - + =
Гарантии архитектуры - - - - - +
Тестирование + + + + + =
Руководство для пользователя + = = = = =
Руководство по КСЗ + + = + + =
Тестовая документация + + + + + =
Конструкторская (проектная) документация + + + + + +

Оценка класса защищенности СВТ проводится в соответствии с "Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации", "Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники" и другими документами.

Для всех классов СВТ необходима реализация дискреционного контроля доступа.

Дискреционный принцип разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователей или групп. Эта модель отличается простотой реализации, но ее недостатком является отсутствие механизмов слежения за безопасностью потоков информации. Это означает, что права на доступ к объекту проверяются только при первом обращении к объекту. При этом возникает опасность переноса информации из защищенного объекта в общедоступный. Более того, субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:

  • каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
  • система имеет одного выделенного субъекта - суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.

Мандатный принцип разграничения доступа (англ. Mandatory access control или MAC) предполагает назначение объекту грифа секретности, а субъекту - уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил "не читать выше" и "не записывать ниже". Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее). Это означает, что пользователь не может прочитать информацию из объекта, гриф секретности которого выше, чем его уровень допуска. Также пользователь не может перенести информацию из объекта с большим грифом секретности в объект с меньшим грифом секретности. Использование мандатной модели предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

В наиболее распространенных сегодня ОС Windows и UNIX используется дискреционное разграничение доступа. Это означает, что им присуща описанная выше проблема возможной утечки конфиденциальной информации. Пользователь, имеющий право работать с защищенным объектом может перенести содержащуюся в нем информацию в другой общедоступный объект. Причем это может произойти как преднамеренно, если это делает сам пользователь, так и непреднамеренно, например, через вредоносное или шпионское ПО, запущенное от его имени.

Важно отметить, что приведенные требования для каждого класса СВТ являются минимально необходимыми.

< Лекция 2 || Лекция 3: 123 || Лекция 4 >
Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?

Александр Тимошкин
Александр Тимошкин

В рамках курса часто упоминается сокращение "ТКЗИ". Если имеется в виду Техническая Защита Конфиденциальной Информации, то не правильнее ли использовать сокращение ТЗКИ, тем более что в разделе 11.1 Сущность, цели и задачи планирования, встречается фраза "Планирование ТЗКИ включает в себя"?

Сергей Лебедев
Сергей Лебедев
Россия, Тверь, 35, 1985