"Оранжевая книга" (ТCSEC)

В январе 1981 года в соответствии с директивой министра обороны США N 5215.1 с целью определения пригодности предлагаемых различными разработчиками компьютерных систем был создан Центр компьютерной безопасности министерства обороны США.

Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр компьютерной безопасности (National Computer Security Center; NCSC).

Оценивание компьютерных систем осуществлялось и осуществляется на основании стандарта, известного как Критерии оценки пригодности компьютерных систем министерства обороны (Department of Defence Trusted Computer System Evaluation Criteria;TCSEC), установленного в 1983 году директивой министра обороны N5200.28-STD. TCSEC известен также под названием "Оранжевая книга" по цвету обложки книги. TCSEC определяет средства, которые должны быть включены в компьютерную систему для того, чтобы такая система была безопасной в отношении обработки критической информации.

Требования TCSEC, предъявляемые к компьютерной системе (продукту) в процессе оценивания, условно можно разделить на четыре типа - требования проведения последовательной политики безопасности (security policy), требования ведения учета использования продукта (accounts), требования доверия к продукту (assurance) и требования к документации на продукт.

Согласно TCSEC, для оценивания компьютерных систем выделено четыре основных группы безопасности, которые в свою очередь делятся на классы безопасности:

- группа Д - Minimal Protection (минимальная защита) - объединяет компьютерные системы, не удовлетворяющие требованиям безопасности высших классов. В данном случае группа и класс совпадают;

- группа С - Discretionary Protection (избирательная защита) - объединяет системы, обеспечивающие набор средств защиты, применяемых пользователем, включая средства общего контроля и учета субъектов и их действий. Эта группа имеет два класса:

1) класс С1 - Discretionary Security Protection (избирательная защита безопасности) - объединяет системы с разделением пользователей и данных;

2) класс С2 - Controlled Access Protection (защита контролируемого доступа) - объединяет системы, обеспечивающие более тонкие средства защиты по сравнению с системами класса С1, делающие пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и контроля за событиями, затрагивающими безопасность системы и изоляцию данных.

Примечание: Компьютерные системы, которые могут быть использованы для нужд министерства обороны США, должны как минимум иметь рейтинг безопасности С2.

- группа В - Mandatory Protection (полномочная защита) - имеет три класса:

1) класс В1 - Labeled Security Protection (меточная защита безопасности) - объединяет системы, удовлетворяющие всем требованиям класса С2, дополнительно реализующие заранее определенную модель безопасности, поддерживающие метки субъектов и объектов, полный контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при тестировании недостатки должны быть устранены;

2) класс В2 - Structured Protection (структурированная защита) - объединяет системы, в которых реализована четко определенная и задокументированная формализованная модель обеспечения безопасности, а меточный механизм разделения и контроля доступа, реализованный в системах класса В1, распространен на всех пользователей, все данные и все виды доступа. По сравнению с классом В1 ужесточены требования по идентификации пользователей, контролю за исполнением команд управления, усилена поддержка администратора и операторов системы. Должны быть проанализированы и перекрыты все возможности обхода защиты. Системы класса В2 считаются "относительно неуязвимыми" для несанкционированного доступа;

3) класс В3 - Security Domains (области безопасности) - объединяет системы, имеющие специальные комплексы безопасности. В системах этого класса должен быть механизм регистрации всех видов доступа любого субъекта к любому объекту. Должна быть полностью исключена возможность несанкционированного доступа. Система безопасности должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог в любой момент протестировать механизм безопасности. Системы этого класса должны иметь средства поддержки администратора безопасности; механизм контроля должен быть распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность; должны быть средства восстановления системы. Системы этого класса считаются устойчивыми к несанкционированному доступу.

- группа А - Verified Protection (проверяемая защита) - объединяет системы, характерные тем, что для проверки реализованных в системе средств защиты обрабатываемой или хранимой информации применяются формальные методы. Обязательным требованием является полная документированность всех аспектов проектирования, разработки и исполнения систем. Выделен единственный класс:

1) класс А1 - Verified Desing (проверяемая разработка) - объединяющий системы, функционально эквивалентные системам класса В3 и не требующие каких-либо дополнительных средств. Отличительной чертой систем этого класса является анализ формальных спецификаций проекта системы и технологии исполнения, дающий в результате высокую степень гарантированности корректного исполнения системы. Кроме этого, системы должны иметь мощные средства управления конфигурацией и средства поддержки администратора безопасности.

Основное содержание требований по классам безопасности TCSEC приведено в таблице 1.

Таблица 1. Классы безопасности в "Оранжевой книге"

Требования

К л а с с ы

С1

C2

B1

B2

B3

A1

1 Требования к политике безопасности

1.1 Произвольное управление доступом

+

+

=

=

+

=

1.2 Повторное использование объектов

-

+

=

=

=

=

1.3 Метки безопасности

-

-

+

+

=

=

1.4 Целостность меток безопасности

-

-

+

+

=

=

1.5 Принудительное управление доступом

-

-

+

+

=

=

2 Требования к подотчетности

2.1 Идентификация и аутентификация

+

+

+

=

=

=

2.2 Предоставление надежного пути

-

-

-

+

+

=

2.3 Аудит

-

+

+

+

+

=

3 Требования к гарантированности

3.1 Операционная гарантированность

3.1.1 Архитектура системы

+

+

+

+

+

=

3.1.2 Целостность системы

+

=

=

=

=

=

3.1.3 Анализ тайных каналов передачи информации

-

-

-

+

+

+

3.1.4 Надежное администрирование

-

-

-

+

+

=

3.1.5 Надежное восстановление

-

-

-

-

+

=

3.2 Технологическая гарантированность

3.2.1 Тестирование

+

+

+

+

+

+

3.2.2 Верификация спецификаций архитектуры

-

-

+

+

+

+

3.2.3 Конфигурационное управление

-

-

-

+

=

+

3.2.4 Надежное распространение

-

-

-

-

-

+

4 Требования к документации

4.1 Руководство пользователя по средствам безопасности

+

=

=

=

=

=

4.2 Руководство администратора по средствам безопасности

+

+

+

+

+

+

4.2 Тестовая документация

+

=

=

+

=

+

4.4 Описание архитектуры

+

=

+

+

+

+

Страницы: 1 2 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе