ГОСТ Р 50739—95

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

 

 

 

 

 

 

 

 

 

 

 

СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

ЗАЩИТА

ОТ НЕСАНКЦИОНИРОВАННОГО

ДОСТУПА К ИНФОРМАЦИИ

ОБЩИЕ ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

 

 

 

 

 

 

Издание официальное

                           

 

 

 

 

 

 

 

 

 

 

 

ГОССТАНДАРТ РОССИИ

Москва

 

 

 

 

 

 

 

 

 

 

 

 

 

Предисловие

1 РАЗРАБОТАН И ВНЕСЕН Научно-исследовательским инс­титутом "Квант" Главного управления радиопромышленности Комитета по оборонным отраслям промышленности

2  ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 09.02.95 № 49

3 ВВЕДЕН ВПЕРВЫЕ

© Издательство стандартов, 1995

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве офици­ального  издания без разрешения Госстандарта России.


 

Содержание


1 Область применения

2 Обозначения и сокращения

3 Общие положения

4 Технические требования

5 Группы требований

5.1 Требования к разграничению доступа

5.2 Требования к учету

5.3 Требования к гарантиям

6 Требования к документации



ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Средства вычислительной техники

ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

 Общие технические требования

Computers technique. Information protection against unauthorised access to information. General technical requirements

Дата введения 1996—01—01

1 ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий стандарт устанавливает единые функциональные требования к защите средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защи­щенности от НСД к информации.

Под СВТ в данном стандарте понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Применение с комплекте СВТ средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.

Требования настоящего стандарта являются обязательными.

2 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

В настоящем стандарте применены следующие сокращения:

- СВТ — средства вычислительной техники;

- НСД — несанкционированный доступ;

- КСЗ — комплекс средств защиты;

- ПРД — правила разграничения доступа.

3 ОБЩИЕ ПОЛОЖЕНИЯ

3.1 Требования к защите реализуются в СВТ в виде совокупности программно-технических средств защиты.

Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

3.2  В связи с тем, что показатели защищенности СВТ описываются требованиями, варьируемыми по уровню и глубине в зависимости от класса защищенности СВТ, в настоящем стандарте для любого показателя приводится набор требований, соответствующий высшему классу защищенности от НСД.

3.3 Стандарт следует использовать при разработке технических заданий, при формулировании и проверке требований к защите информации.

4 ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

Защищенность от НСД к информации при ее обработке СВТ характеризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициированные ими, будут иметь доступ к чтению, записи, созданию или уничтожению информа­ции.

Защищенность обеспечивается тремя группами требований к средствам защиты, реализуемым в СВТ:

а) требования к разграничению доступа, предусматривающие то, что СВТ должны поддерживать непротиворечивые, однозначно определенные правила разграничения доступа;

б) требования к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событии, имеющих отношение к защищенности информации;

в) требования к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету.

5 ГРУППЫ ТРЕБОВАНИЙ

5.1 Требования к разграничению доступа

5.1.1 Требования к разграничению доступа определяют следу­ющие показатели защищенности, которые должны поддерживаться СВТ:

а) дискретизационный принцип контроля доступа;

б) мандатный принцип контроля доступа;

в) идентификация и аутентификация;

г) очистка памяти;

д) изоляция модулей;

с) защита ввода и вывода на отчуждаемый физический носитель информации;

ж) сопоставление пользователя с устройством.

5.1.2 Для реализации дискретизационного принципа контроля доступа КСЗ должен контролировать доступ именованных субъектов (пользователей) к именованным объектам (например, фай­лам, программам, томам).                     

Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).                                     

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).                                   ]

Механизм, реализующий дискретизационный принцип контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в том числе санкциониро­ванное изменение списка пользователей СВТ и списка защища­емых объектов.                              

Право изменять ПРД должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).

Должны быть предусмотрены средства управления, ограничи­вающие распространение прав на доступ.     

КСЗ должен содержать механизм, претворяющий в жизнь дискретизационные ПРД, как для явных действий пользователя, так и для скрытых. Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств, а под "скрытыми" — иные действия, в том числе с использованием собственных программ работы с устройствами.

5.1.3 Для реализации мандатного принципа контроля доступа каждому субъекту и каждому объекту присваивают классифика­ционные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комби­нациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой' мандатного принципа разграничения доступа.                 

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификаци­онные метки этих данных. При санкционированном внесении в список пользователей нового субъекта ему должны быть назначены классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).                           

КСЗ должен реализовать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

5.2.3 КСЗ должен обеспечивать вывод защищаемой информации на документ вместе с ее классификационной меткой.

5.3 Требования к гарантиям

5.3.1 Требования к гарантиям определяют следующие показа­тели защищенности, которые должны поддерживаться СВТ:

а) гарантии проектирования;

б) надежное восстановление;

в) целостность КСЗ;

г) контроль модификации;

д) контроль дистрибуции;

с) гарантии архитектуры;

ж) взаимодействие пользователя с КСЗ;

з) тестирование.

5.3.2 На начальном этапе проектирования КСЗ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:

а) непротиворечивые ПРД;

б) непротиворечивые правила изменения ПРД;

в) правила работы с устройствами ввода и вывода;

г) формальную модель механизма управления доступом.

Спецификация части КСЗ, реализующего механизм управления доступом и его интерфейсов, должна быть высокоуровневой. Эта спецификация должна быть верифицирована на соответствие заданным принципам разграничения доступа.

Для высоких классов защищенности СВТ должно быть предусмотрено, чтобы высокоуровневые спецификации КСЗ были отображены последовательно в спецификации одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации КСЗ на языке программирования высокого уровня. При этом методами верификации должно быть доказано соответствие каждого такого отображения спецификациям высокого (верхнего для данного отображения) уровня, а также соответствие объектного кода тексту КСЗ на языке высокого уровня. Этот процесс может включать в себя как одно отображение (высокоуровневая спецификация — язык программирования), так и последовательность отображений в промежуточные спецификации с понижением уровня вплоть до языка программирования. В результате верификации соответствия каждого уровня предыдущему должно достигаться соответствие реализации высокоуровневой спецификации КСЗ модели защиты.

5.3.3 Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.

5.1.7 КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или как идентифицированные ("помеченные"). При вводе с "помеченного" устройства (выводе на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого; (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно быть при работе с "помеченным" каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

5.1.8 КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки),

КСЗ должен включать в себя механизм, с помощью которого санкционированный пользователь надежно сопоставляется с выделенным ему идентифицированным устройством.

5.2 Требования к учету

5.2.1 Требования к учету определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

-регистрация;

-маркировка документов.

5.2.2 КСЗ должен осуществлять регистрацию следующих событий:

а) использование идентификационного и аутентификационного механизма;

б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);

в) создание и уничтожение объекта;

г) действия, связанные с изменением ПРД. Для каждого из этих событий должна быть зарегистрирована следующая информация:

- дата и время;

- субъект, осуществляющий регистрируемое действие;

- тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);

- успешно ли осуществилось событие (обслужен запрос на доступ или нет).

КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.

Для высоких классов защищенности СВТ должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных субъектов (например, администраторов защиты).

5.2.3 КСЗ должен обеспечивать вывод защищаемой информации на документ вместе с ее классификационной меткой.

5.3 Требования к гарантиям

5.3.1 Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

а) гарантии проектирования;

б) надежное восстановление;

в) целостность КСЗ;

г) контроль модификации;

д) контроль дистрибуции;

е) гарантии архитектуры;

ж) взаимодействие пользователя с КСЗ;

з) тестирование.

5.3.2 На начальном этапе проектирования КСЗ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:

а) непротиворечивые ПРД;

б) непротиворечивые правила изменения ПРД;

в) правила работы с устройствами ввода - вывода;

г) формальную модель механизма управления доступом.

Спецификация части КСЗ, реализующего механизм управления доступом и его интерфейсов, должна быть высокоуровневой. Эта спецификация, должна быть верифицирована на соответствие заданным принципам разграничения доступа.

Для высоких классов защищенности СВТ должно быть предусмотрено, чтобы высокоуровневые спецификации КСЗ были отображены последовательно в спецификации одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации КСЗ на языке программирования высокого уровня. При этом методами верификации должно быть доказано соответ­ствие каждого такого отображения спецификациям высокого (верхнего для данного отображения) уровня, а также соответствие объектного кода тексту КСЗ на языке высокого уровня. Этот процесс может включать в себя как одно отображение (высокоуровневая спецификация — язык программирования), так и последовательность отображений в промежуточные спецификации с понижением уровня вплоть до языка программирования. В результате верификации соответствия каждого уровня предыдущему должно достигаться соответствие реализации высокоуровневой спецификации КСЗ модели защиты.

5.3.3 Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.

5.1.7 КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или как идентифицированные ("помеченные"). При вводе с ''помеченного" устройства (выводе на "помеченное" устройством КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно быть при работе с "помеченным" каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КС.

5.1.8 КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки),

КСЗ должен включать в себя механизм, с помощью .которого санкционированный пользователь надежно сопоставляется с выделенным ему идентифицированным устройством.

5.2 Требования к учету

5.2.1 Требования к учету определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

- регистрация;

- маркировка документов.

5.2.2 КСЗ должен осуществлять регистрацию следующих событий:

а) использование идентификационного и аутентификационного механизма;

б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);

в) создание и уничтожение объекта;

г) действия, связанные с изменением ПРД. Для каждого из этих событий должна быть зарегистрирована следующая информация:

- дата и время;

- субъект, осуществляющий регистрируемое действие;

- тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);

- успешно ли осуществилось событие (обслужен запрос на доступ или нет).

КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.

Для высоких классов защищенности СВТ должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных субъектов (например, администраторов защиты).

и) работа механизма, осуществляющего контроль за целостностью КСЗ;

к) работа механизма, осуществляющего контроль дистрибуции.

 

6 ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ

6.1 Приведенные в разделе 4 показатели определяют качество защиты СВТ от НСД к информации. Однако для подтверждения этого качества при приемке СВТ, их сертификации и испытаниях других видов необходимо подробное и всестороннее описание КСЗ, т.е. необходима документация, включающая в себя:

а) руководство пользователя;

б) руководство по КСЗ;

в) тестовую документацию;

г) конструкторскую (проектную) документацию.

6.1.1 Руководство пользователя должно включать в себя краткое описание способов использования КСЗ и его интерфейсов с пользователем.

6.1.2 Руководство по КСЗ адресовано администратору защиты и должно содержать:

а) описание контролируемых функций;

б) руководство по генерации КСЗ;

в) описание старта СВТ и процедур проверки правильности старта;

г) описание процедур работы со средствами регистрации;

д) руководство по средствам надежного восстановления;

с) руководство по средствам контроля модификации и дистрибуции.

6.1.3 Тестовая документация должна содержать описание тестов и испытаний, которым подвергались СВТ, а также результатов тестирования.

6.1.4 Конструкторская (проектная) документация должна содержать:

а) общее описание принципов работы СВТ;

б) общую схему КСЗ;

в) описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ;

г) описание модели защиты;

д) описание диспетчера доступа;

с) описание механизма контроля" целостности КСЗ;

ж) описание механизма очистки памяти;

з) описание механизма изоляции программ в оперативной памяти;

и) описание средств защиты ввода и вывода на отчуждаемый физический носитель информации и сопоставления пользователя с устройством;

к) описание механизма идентификации и аутентификации;

л) описание средств регистрации;

м) высокоуровневую спецификацию КСЗ и его интерфейсов;

н) верификацию соответствия высокоуровневой спецификации КСЗ модели защиты;

о) описание гарантий проектирования (по 5.3.2) и эквивалентность дискретизационных и мандатных ПРД.

 

 

УДК 681.32:006.354  ОКС 35.020       П85   ОКСТУ 4000

Ключевые слова: средства вычислительной техники, защита от несанкционированного доступа к информации, комплекс средств защиты, требования к средствам защиты.

 

 

Редактор Л.В. Афанасенко

Технический редактор O.I!. Власова

Корректор А.В. Прокофьева

Компьютерная верстка С.В. Рябова•

Сдано в набор 01.03.95. Подписано в печать 07.03.95. Усл,печ.л. 1,0. Усл.кр.-отт. 1,0. Уч.-Изд-л. 0,63. Тираж 584 экз. С2187. Зак. 586.

Ордена "Знак Почета" Издательство стандартов] 107076, Москва, Колодезный пер., 14.Набрано в Издательстве стандартов на ПЭВМ.Калужская типография стандартов, ул. Московская, 356.