Объект информатизации. Классификация объектов защиты
Классификация СВТ
Гостехкомиссия России, ныне ставшая ФСТЭК, разделила понятия АС и средств вычислительной техники (СВТ). Выделение СВТ в отдельную категорию обусловлено тем, что СВТ представляют собой компоненты при построении АС, то есть если СВТ не интегрированы в АС и не решают какой-то прикладной задачи, они не содержат пользовательской информации. Помимо этого, АС является более широким понятием, включающим в себя персонал, помещения, технологии обработки информации, полномочия пользователей системы.
Пример: ПЭВМ с установленной на ней операционной системой формально является СВТ. Но если ее поставить в конкретную комнату, закрепить за ней пользователя, выполняющего какую-то работу, - АС. Следует отметить, что средства защиты информации также относятся к СВТ.
СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем[8.3].
СВТ классифицируются в соответствии с Руководящим документом Гостехкомиссиии России "СВТ. Защита от НСД к информации. Показатели защищенности от НСД"
Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.
Устанавливаются 7 классов защищённости СВТ от НСД к информации, при этом самый низкий класс – седьмой, самый высокий – первый. Каждый класс разбит на 4 группы:
- I. 7 класс – СВТ, которые были представлены к оценке, однако не удовлетворяют требованиям более высоких классов.
- II. 6 и 5 классы – дискреционная защита.
- III. 4, 3 и 2 классы – мандатная защита.
- IV. 1 класс – верифицированная защита.
Требования ужесточаются с уменьшением номера класса.
Классы являются иерархически упорядоченными: каждый последующий класс содержит требования всех предыдущих. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
В общем случае требования предъявляются к следующим показателям защищённости:
- Дискреционный принцип контроля доступа.
- Мандатный принцип контроля доступа.
- Очистка памяти.
- Изоляция модулей.
- Маркировка документов.
Перечень показателей по классам защищенности СВТ приведен в таблице 8.4. Принятые обозначения:
"-" – нет требований к данному классу;
"+" – новые или дополнительные требования,
"=" – требования совпадают с требованиями к СВТ предыдущего класса.
Для всех классов СВТ необходима реализация дискреционного контроля доступа.
Дискреционный принцип разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователей или групп. Эта модель отличается простотой реализации, но ее недостатком является отсутствие механизмов слежения за безопасностью потоков информации. Это означает, что права на доступ к объекту проверяются только при первом обращении к объекту. При этом возникает опасность переноса информации из защищенного объекта в общедоступный. Более того, субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:
- каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
- система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).
Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.
Мандатный принцип разграничения доступа (англ. Mandatory access control или MAC) предполагает назначение объекту грифа секретности, а субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил "не читать выше" и "не записывать ниже". Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее). Это означает, что пользователь не может прочитать информацию из объекта, гриф секретности которого выше, чем его уровень допуска. Также пользователь не может перенести информацию из объекта с большим грифом секретности в объект с меньшим грифом секретности. Использование мандатной модели предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.
В наиболее распространенных сегодня ОС Windows и UNIX используется дискреционное разграничение доступа. Это означает, что им присуща описанная выше проблема возможной утечки конфиденциальной информации. Пользователь, имеющий право работать с защищенным объектом может перенести содержащуюся в нем информацию в другой общедоступный объект. Причем это может произойти как преднамеренно, если это делает сам пользователь, так и непреднамеренно, например, через вредоносное или шпионское ПО, запущенной от его имени.
Важно отметить, что приведенные требования для каждого класса СВТ являются минимально необходимыми.