• Структура требований безопасности
  
• Основные положения концепции защиты СВТ и АС от НСД информации
  
• Показатели защищенности средств вычислительной техники от НСД
  
• Классы защищенности АС

В 1992 г. Гостехкомиссия (ГТК) при Президенте Российской Федерации разработала и опубликовала пять руководящих документов, посвященных вопросам защиты информации в автоматизированных системах ее обработки. Основой этих документов является концепция защиты средств вычислительной техники ( СВТ ) и АС от несанкционированного доступа к информации, содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем. С точки зрения разработчиков данных документов, основная задача средств безопасности - это обеспечение защиты от несанкционированного доступа к информации. Определенный уклон в сторону поддержания секретности информации объясняется тем, что данные документы были разработаны в расчете на применение в информационных системах силовых структур РФ.

Структура требований безопасности

Руководящие документы ГТК состоят из пяти частей.

1. Защита от несанкционированного доступа к информации. Термины и определения

2. Концепция защиты СВТ и АС от НСД к информации

3. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

4. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации

5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники

Наибольший интерес представляют вторая, третья и четвертая части.

Во второй части излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД. Руководящие документы ГТК предлагают две группы требований к безопасности - показатели защищенности СВТ от НСД и критерии защищенности АС обработки данных. Первая группа позволяет оценить степень защищенности отдельно поставляемых потребителю компонентов АС и рассматривается в четвертой части, а вторая рассчитана на более сложные комплексы, включающие несколько единиц СВТ, и представлена в третьей части руководящих документов. Рассмотрим подробно содержание второй части.

Основные положения концепции защиты СВТ и АС от НСД к информации

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, используемых для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:

• выработка требований по защите СВТ и АС от НСД к информации
• создание защищенных СВТ и АС, т.е. защищенных от НСД к информации
• сертификация защищенных СВТ и АС

Как уже было сказано выше, концепция предусматривает существование двух относительно самостоятельных направлений в проблеме защиты информации от НСД: направления, связанного с СВТ, и направления, связанного с АС. Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. В случае СВТ можно говорить лишь о защищенности ( защите ) СВТ от НСД к информации, для обработки, хранения и передачи которой СВТ предназначено. Примером СВТ можно считать специализированную плату расширения с соответствующим аппаратным и программным интерфейсом, реализующую функции аутентификации пользователя по его биометрическим характеристикам. Или к СВТ можно отнести программу прозрачного шифрования данных, сохраняемых на жестком диске.

При создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации. Типичным примером АС является многопользовательская, многозадачная ОС.

Для определения принципов защиты информации в руководящих документах ГТК дается понятие НСД к информации: НСД - доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. В данном определении под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

Понятие НСД является чрезвычайно важным, так как оно определяет, от чего сертифицированные по руководящим документам ГТК системы защиты АС и СВТ должны защищать информацию. Например, к НСД не отнесены разрушительные последствия стихийных бедствий, хотя они и представляют угрозу информации, в частности ее целостности и доступности

К основным способам НСД относятся:

• непосредственное обращение к объектам доступа ( например, через получение программой, управляемой пользователем, доступа на чтение или запись в файл )
• создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты ( например, используя люки, оставленные разработчиками системы защиты )
• модификация средств защиты, позволяющая осуществить НСД ( например, путем внедрения в систему защиты программных закладок или модулей, выполняющих функции "троянского коня" )
• внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД ( например, путем загрузки на компьютер в обход штатной ОС иной ОС, не имеющей функций защиты )

Далее в руководящих документах ГТК представлены семь принципов защиты информации:

• защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к инфбрмаци
• защита СВТ обеспечивается комплексом программно-технических средств
• защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер
• защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ
• программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС ( надежность, быстродействие, возможность изменения конфигурации АС )
• неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты
• защита АС должна предусматривать контроль эффективности средств защиты от НСД, который либо может быть периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами

Несмотря на то, что угрозы информации могут реализовываться широким спектром способов, так или иначе изначальным источником всех угроз является человек или нарушитель. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ и являющийся специалистом высшей квалификации, знающим все о АС и, в частности, о системе и средствах ее защиты.

В руководящих документах ГТК дается классификация нарушителя по уровню возможностей, предоставляемых ему штатными средствами АС и СВТ. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Выделяется четыре уровня этих возможностей:

• Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач ( программ ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации ( в качестве примера АС, предоставляющей нарушителю описанный круг возможностей, можно привести систему обработш формализованных почтовых сообщений )
• Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации ( например, в данном случае предполагается, что нарушитель можету выступать в роли "обычного" пользователя ОС )
• Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования ( например, к данному классу относится нарушитель, внедривший в систему безопасности АС программную закладку )
• Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации ( например, известны случаи, когда в АС внедрялись "временные бомбы", выводящие систему из строя по истечении срока гарантийного ремонта )

Кроме перечисленных выше понятий во второй части руководящих документов ГГК рассматриваются:

• основные направления обеспечения защиты от НСД, в частности основные функции средств разграничения доступа ( СРД ) и обеспечивающих СРД средств
• основные характеристики технических средств защиты от НСД
• порядок организации работ по защите

Показатели защищенности средств вычислительной техники от НСД

Во второй части руководящих документов ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Показатели защищенности содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам ( с учетом архитектуры компьютера ). Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты ( КСЗ ).

По аналогии с критерием TCSEC, который будет рассмотрен далее, установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Показатели защищенности и требования к классам приведены в таблице 5.1

Показатели защищенности	Класс защищенности
	6	5	4	3	2	1
Дискреционный принцип контроля доступа	+	+	+	=	+	=
Мандатный принцип контроля доступа	-	-	+	=	=	=
Очистка памяти	-	+	+	+	=	=
Изоляция модулей	-	-	+	=	+	=
Маркировка документов	-	-	+	=	=	=
Защита ввода и вывода на отчужденный физический носитель информации	-	-	+	=	=	=
Сопоставление пользователя с устройством	-	-	+	=	=	=
Идентификация и аутентификация	+	=	+	=	=	=
Гарантии проектирования	-	+	+	+	+	+
Регистрация	-	+	+	+	=	=
Взаимодействие пользователя с КСЗ	-	-	-	+	=	=
Надежное восстановление	-	-	-	+	=	=
Целостность КСЗ	-	+	+	+	=	=
Контроль модификации	-	-	-	-	+	=
Контроль дистрибуции	-	-	-	-	+	=
Гарантии архитектуры	-	-	-	-	-	+
Тестирование	+	+	+	+	+	=
Руководство пользователя	+	=	=	=	=	=
Руководство по КСЗ	+	+	=	+	+	=
Текстовая документация	+	+	+	+	+	=
Проектная документация	+	+	+	+	+	+
“-” – нет требований к данному классу “+” – новые или дополнительные требования “=” – требования совпадают с требованиями к СВТ предыдущего класса

Таблица 5.1

Важно отметить, что требования являются классическим примером применения необходимых условий оценки качества защиты, т.е. если какой-либо механизм присутствует, то это является основанием для отнесения СВТ к некоторому классу.

Интересно, что защищенные СВТ содержат разделение только по двум классам политик безопасности: дискреционной и мандатной.

Невлияние субъектов друг на друга описывается требованием "изоляция модулей" ( требуется с 4-го класса ). Гарантии выполнения политики безопасности коррелированы с требованием "целостность КСЗ" ( требуется с 5-го класса ) и "гарантии проектирования" ( требуется также с 5-го класса ).

В третьей части руководящих документов ГТК дается классификация АС и требований по защите информации в АС различных классов. При этом определяются:

1. Основные этапы классификации АС:
   • разработка и анализ исходных данных
   • выявление основных признаков АС, необходимых для классификации
   • сравнение выявленных признаков АС с классифицируемыми
   • присвоение АС соответствующего класса защиты информации от НСД

2. Необходимые исходные данные для классификации конкретной АС:
   • перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности
   • перечень лиц, имеющих доступ к штатным средствам АС с указанием их уровня полномочий
   • матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС
   • режим обработки данных в АС

3. Признаки, по которым производится группировка АС в различные классы:
   • наличие в АС информации различного уровня конфиденциальности
   • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации
   • режим обработки данных в АС: коллективный или индивидуальный

Документы ГТК устанавливают девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты. В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N - номер группы ( от 1 до 3 ). Следующий класс обозначается NБ и т.д.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержитдва класса-ЗБ и ЗА.

Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов-1Д, 1Г, 1В, 1Б и 1А.

В таблице 5.2 приведены требования к подсистемам защиты для каждого класса защищенности.

Подсистемы защиты и требования к ним	Классы защищенности
	3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1 Идентификация. Проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+	+	+	+	+
к терминалам, ЭВМ, узлам мети ЭВМ, каналам связи, внешним устройствам ЭВМ				+		+	+	+	+
к программам				+		+	+	+	+
к томам, каталогам, файлам, записям, полям записей				+		+	+	+	+
1.2 Управления потоками информации				+		+	+	+	+
2. Подсистема регистрации и учета
2.1 Регистрация и учет:
входа, выходы субъектов доступа в/из системы	+	+	+	+	+	+	+	+	+
выдача печатных выходных докуентов		+		+		+	+	+	+
запуска и завершения программ и процессов		+		+		+	+	+	+
доступа программ субъектов к защищаемым файлам		+		+		+	+	+	+
доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, прграммам, каталогам, записям		+		+		+	+	+	+
изменения полномочий субъектов доступа							+	+	+
создаваемых защищаемых объектов доступа				+			+	+	+
2.2 Учет носителей информации	+	+	+	+	+	+	+	+	+
2.3 Очистка, освобождаемых областей оперативной памяти		+		+		+	+	+	+
Сигнализация попыток нарушения защиты							+	+	+
3. Криптографическая подсистема
3.1 Шифрования конфиденсальной информации				+				+	+
3.2 Шифрование информации, принадлежащей различным субъектам доступа на разных ключах									+
3.3 Использование аттестованных криптографических средств				+				+	+
4. Подсистема обеспечения целостности
4.1 Обеспечение целостности программых средств и обрабатываемой информации	+	+	+	+	+	+	+	+	+
4.2 Физическая охрана средств вычислительной техники и ностителей информации	+	+	+	+	+	+	+	+	+
4.3 Наличие администратора защиты информации в АС				+			+	+	+
4.4 Периодическое тестирование СЗИ НСД	+	+	+	+	+	+	+	+	+
4.5 Наличие средств восстановления СЗИ НСД	+	+	+	+	+	+	+	+	+
4.6 Использование сертифицированных средств защиты		+		+			+	+	+

Таблица 5.2

Рассмотренные выше документы ГТК необходимо воспринимать как первую стадию формирования отечественных стандартов в области информационной безопасности. На разработку этих документов наибольшее влияние оказал критерий TCSEC ( "Оранжевая книга" ), который будет рассмотрен ниже, однако это влияние в основном отражается в ориентированности этих документов на защищенные системы силовых структур и в использовании единой универсальной шкалы оценки степени защищенности.

К недостаткам руководящих документов ГТК относятся: ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие "политика безопасности" трактуется исключительно как поддержание режима секретности и отсутствие НСД. Из-за этого средства защиты ориентируются только на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется четких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения. Несмотря на указанные недостатки, документы ГТК заполнили "правовой вакуум" в области стандартов информационной безопасности в России и оперативно решили проблему проектирования и оценки качества защищенных АС.