Оцінювання безпеки ІСУЗЕД

Для оцінки реального стану безпеки інформаційної системи застосовуються різні критерії. Аналіз вітчизняного і зарубіжного досвіду показав певну спорідненість підходу до визначення стану безпеки в різних країнах. Її суть така. Для того щоб користувач міг оцінити безпеку, запроваджено деяку систему показників і задано ієрархію класів безпеки. Кожному класу відповідає певна сукупність обов’язкових функцій. Ступінь реалізації вибраних критеріїв показує поточний стан безпеки. Подальші дії зводяться до порівняння реальних загроз із реальним станом безпеки. Якщо реальний стан повною мірою перекриває загрози, система безпеки вважається надійною і не потребує додаткових заходів. Таку систему можна віднести до класу систем з повним перекриттям загроз і каналів витікання інформації. У протилежному разі система безпеки потребує додаткових засобів захисту.

Питаннями стандартизації і розробки нормативних вимог на захист інформації в США займається Національний центр комп’ютерної безпеки Міністерства оборони США (NCSC). Цей центр у 1983 р. видав критерії оцінки безпеки комп’ютерних систем (ТСSEC). Досить часто цей документ називають «оранжевою книгою». Затверджена як урядовий стандарт, вона вміщує основні вимоги і специфікує класи для оцінки рівня безпеки комп’ютерних систем. У цій книзі наведено такі рівні безпеки систем:

- вищий клас – А;

- проміжний клас – В;

- нижчий рівень безпеки – С;

- клас систем, що не пройшли випробування, – D.

До класу D віднесено такі системи, які не пройшли випробування на більш високий рівень захищеності, а також системи, які використовують для захисту лише окремі заходи або функції (підсистеми) безпеки.

Клас С1: вибірковий захист. Засоби безпеки систем класу С1 повинні задовольняти вимоги вибіркового керування доступом, забезпечуючи розділення користувачів і даних. Для кожного об’єкта і суб’єкта задається перелік допустимих типів доступу (читання, запис, друкування і т.ін.) суб’єкта до об’єкта. У системах цього класу обов’язковою є ідентифікація і аутентифікація суб’єкта доступу, а також підтримка з боку обладнання.

Клас С2: керований доступ. До вимог класу С2 додаються вимоги унікальної ідентифікації суб’єкта доступу, захисту за замовчуванням і реєстрації подій. Унікальна ідентифікація означає, що будь-який користувач системи повинен мати унікальне ім’я. Захист за замовчуванням передбачає призначення повноважень доступу користувачам за принципом «усе, що не дозволено, заборонено», тобто всі ті ресурси, що явно не дозволені користувачеві, розглядаються як недоступні. У системах цього класу обов’язковим є ведення системного журналу, в якому повинні відмічатися події, пов’язані з безпекою системи.

У системах класу В має бути цілком контрольований доступ. Кожний суб’єкт і об’єкт системи забезпечуються мітками (або рівнями) конфіденційності й рішення щодо доступу суб’єкта до об’єкта приймається за заздалегідь визначеним правилом на базі зіставлення інформації обох міток.

Клас В1: міточний захист. Мітки безпеки мають бути присвоєні всім суб’єктам системи, які можуть містити конфіденційну інформацію. Доступ до об’єктів дозволяється в тому разі, якщо мітка суб’єкта задовольняє певний критерій відносно мітки об’єкта.

Клас В2: структурований захист. У цьому класі додатково до вимог класу В1 додаються вимоги наявності добре визначеної і задокументованої формальної моделі політики безпеки, яка потребує дії вибіркового і повноважного керування доступом до всіх об’єктів системи. Вимоги керування інформаційними потоками вводяться згідно з політикою безпеки – набором законів, правил і практичного досвіду, на основі яких будуються управління, захист і розподіл конфіденційної інформації.

Клас В3: області безпеки. У системах цього класу визначаються області безпеки, які будуються за ієрархічною структурою і захищені одна від одної за допомогою спеціальних механізмів. Усі взаємодії суб’єктів із об’єктами жорстко контролюються спеціальним монітором. Система контролю повідомляє адміністратора безпеки і користувача про порушення безпеки.

Клас А1: верифікація. Системи цього класу відрізняються від класу В3 тим, що для перевірки специфікацій застосовуються методи формальної верифікації – аналізу специфікацій системи на предмет неповноти або суперечності, що може призвести до появи проривів у безпеці.

Аналіз класів захищеності показує, що чим він вищий, тим більш жорсткі вимоги висуваються до системи.