• политика безопасности;
• подотчетность;
• гарантии;
• документация.
Центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (ТСВ).
Группа D. Минимальная защита
Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.
Группа С. Дискреционная защита
Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.
Класс С1. Системы на основе дискреционного разграничения доступа. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.
Политика безопасности. ТСВ должна определять и управлять доступом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матрицы доступа). Механизм защиты должен позволять пользователям определять и контролировать распределение доступа к объектам по поименованным пользователям, их группам или по тем и другим.
Подотчетность. Пользователи должны идентифицировать себя перед ТСВ в случае выполнения ими любых действий, ею контролируемых, при этом должен быть использован хотя бы один из механизмов аутентификации (например, пароль). Данные аутентификации должны быть защищены от доступа неавторизованного пользователя.
Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Ресурсы системы, контролируемые ТСВ, являются подмножеством множества всех ресурсов. Должны быть предоставлены АО и ПО для периодической проверки правильности работы ТСВ. Тестирование ТСВ должно выполняться согласно документации для обеспечения гарантии того, что нет явных путей обхода системы защиты неавторизованным пользователем или иного расстройства системы защиты.
Документация должна включать:
описание реализованных в ТСВ механизмов защиты, их взаимодействия и руководство пользователя по их использованию;
руководство для администратора системы на гарантирование системы защиты;
документацию по тестам, включающую описание того, как механизмы безопасности должны тестироваться и как интерпретировать результаты тестов;
документацию по проекту, описывающую философию системы защиты и того, как эта философия реализована в ТСВ (если ТСВ состоит из нескольких модулей, то должен быть описан интерфейс между ними).
Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.
Класс С2. Системы, построенные на основе управляемого дискреционного разграничения доступа.
Системы, сертифицированные по данному классу, должны удовлетворять всем требованиям, изложенным в классе С1. Однако, системы класса С2 поддерживают более тонкую, чем в классе С1, политику дискреционного разграничения доступа, делающую пользователя индивидуально ответственным за свои действия после процедуры аутентификации в системе, а также аудит событий, связанных с безопасностью системы.
Политика безопасности. ТСВ должна осуществлять контроль за распространением прав доступа. Механизм дискреционного контроля доступа должен при каждом действии пользователя или его отсутствии обеспечивать защиту объектов от неавторизованного воздействия. При этом должен определяться доступ для каждого отдельного пользователя. Наделять пользователей правом доступа к объекту могут только авторизованные для этого пользователи. Никакая информация (в том числе шифрованная) о предшествующих действиях субъекта не может быть получена субъектом, получившим после первого доступ к системе. Реализация этого требования обеспечивает очищение ресурсов после освобождения их процессами системы.
Подотчетность. ТСВ должна обеспечивать индивидуальную ответственность пользователей за осуществляемые ими действия, обеспечивая возможность ассоциировать пользователя с любым событием аудита. При этом должен поддерживаться и защищаться журнал аудита, доступ к нему разрешаться только тем, кто специально для этого авторизован. Аудиту подлежит следующий стандартный набор событий, среди которых:
идентификация и аутентификация пользователя;
размещение объектов в адресном пространстве процессов пользователей (например, чтение информации из файлов);
уничтожение объектов;
действия, осуществляемые администраторами системы.
При этом запись журнала аудита должна снабжаться необходимым набором атрибутов:
дата и время события;
идентификатор пользователя, инициировавшего событие;
тип события (например, вход в систему, получение доступа к файлу на чтение и т.д.);
результат: успех или неуспех выполнения события.
Если требуется, надо указывать дополнительные сведения, например имя объекта, к которому происходит обращение. Для удобства изучения данных журнала аудита должны быть предусмотрены средства фильтрации записей по заданным признакам.
Гарантии. ТСВ должна изолировать подлежащие защите ресурсы так, чтобы выполнялись требования контроля доступа и аудита.
Тестирование должно включать поиск и просмотр очевидных брешей системы защиты, позволяющих нарушить изолированность ресурсов или допустить неавторизованный доступ к данным аутентификации или журнала аудита.
Документация должна дополнительно (по сравнению с классом С1) включать описание событий, заносимых в журнал аудита.
Группа В. Мандатное управление доступом
Основные требования этой группы - мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.
Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополнительные требования.
Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы. Метки секретности должны представлять уровень доступа субъекта и уровень секретности объекта, которым они соответствуют. Именно эти метки должны служить основой для принятия решения ТСВ при запросе субъекта доступа к объекту. При передаче информации по каналам ввода/вывода ТСВ должна снабжаться соответствующими метками секретности. ТСВ должна также соответствующе маркировать метками секретности весь читаемый вывод. Доступ на чтение от субъекта к объекту может быть разрешен, только если уровень допуска субъекта не ниже уровня секретности объекта, а неиерархические категории первого включают все неиерархические категории второго. Доступ на запись от субъекта к объекту, контролируемый ТСВ, может быть разрешен, только если уровень допуска субъекта не выше уровня секретности объекта, а все неиерархические категории первого входят в неиерархические категории второго.
Подотчетность. Аудиту подлежат любые изменения меток секретности читаемого вывода.
Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.
Целью тестирования является:
поиск всех каналов проникновения внешних субъектов с целью получения несанкционированного доступа к информации;
получение гарантии того, что никакой неавторизованный для этого специально пользователь не может ввести ТСВ в состояние, в котором она не способна отвечать на запросы других субъектов.
ТСВ должна быть построена на основе неформальной или формальной политики безопасности, которая должна поддерживаться на протяжении всего жизненного цикла системы.
Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Интерфейс ТСВ должен быть хорошо определен и ее проект и конечный результат должны быть подвергнуты полной проверке и тестированию. Механизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.
Политика безопасности. ТСВ должна уведомлять каждого работающего в системе пользователя о любых изменениях его уровня секретности, а последний должен иметь возможность запрашивать у системы полную информацию о своей метке секретности. ТСВ должна поддерживать минимальные и максимальные метки секретности любого присоединенного физического устройства, которые должны определять непосредственное физическое окружение этого устройства.
Подотчетность. ТСВ должна обеспечить защищенный канал между собой и пользователем, осуществляющим вход в систему и аутентификацию. Инициатором осуществления соединения через такой защищенный канал может выступать только пользователь.