Группа С. Дискреционная защита

Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.

Класс С1. Системы на основе дискреционного разграничения досту­па. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.

Политика безопасности. ТСВ должна определять и управлять дос­тупом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матри­цы доступа). Механизм защиты должен позволять пользователям опреде­лять и контролировать распределение доступа к объектам по поимено­ванным пользователям, их группам или по тем и другим.

Подотчетность. Пользователи должны идентифицировать себя пе­ред ТСВ в случае выполнения ими любых действий, ею контролируемых, при этом должен быть использован хотя бы один из механизмов аутенти­фикации (например, пароль). Данные аутентификации должны быть за­щищены от доступа неавторизованного пользователя.

Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Ресурсы системы, контролируемые ТСВ, являются подмножеством множества всех ресурсов. Должны быть предоставлены АО и ПО для периодической проверки правильности работы ТСВ. Тести­рование ТСВ должно выполняться согласно документации для обеспече­ния гарантии того, что нет явных путей обхода системы защиты неавтори­зованным пользователем или иного расстройства системы защиты.

Документация должна включать:

• описание реализованных в ТСВ механизмов защиты, их взаимодейст­вия и руководство пользователя по их использованию;
• руководство для администратора системы на гарантирование системы защиты;
• документацию по тестам, включающую описание того, как механизмы безопасности должны тестироваться и как интерпретировать резуль­таты тестов;
• документацию по проекту, описывающую философию системы защиты и того, как эта философия реализована в ТСВ (если ТСВ состоит из нескольких модулей, то должен быть описан интерфейс между ними).

Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиден­циальности.

Класс С2. Системы, построенные на основе управляемого дискреци­онного разграничения доступа.

Системы, сертифицированные по данному классу, должны удовле­творять всем требованиям, изложенным в классе С1. Однако, системы класса С2 поддерживают более тонкую, чем в классе С1, политику дис­креционного разграничения доступа, делающую пользователя индивиду­ально ответственным за свои действия после процедуры аутентификации в системе, а также аудит событий, связанных с безопасностью системы.

Политика безопасности. ТСВ должна осуществлять контроль за распространением прав доступа. Механизм дискреционного контроля дос­тупа должен при каждом действии пользователя или его отсутствии обес­печивать защиту объектов от неавторизованного воздействия. При этом должен определяться доступ для каждого отдельного пользователя. На­делять пользователей правом доступа к объекту могут только авторизо­ванные для этого пользователи. Никакая информация (в том числе шиф­рованная) о предшествующих действиях субъекта не может быть получе­на субъектом, получившим после первого доступ к системе. Реализация этого требования обеспечивает очищение ресурсов после освобождения их процессами системы.

Подотчетность. ТСВ должна обеспечивать индивидуальную ответ­ственность пользователей за осуществляемые ими действия, обеспечи­вая возможность ассоциировать пользователя с любым событием аудита. При этом должен поддерживаться и защищаться журнал аудита, доступ к нему разрешаться только тем, кто специально для этого авторизован. Ау­диту подлежит следующий стандартный набор событий, среди которых:

• идентификация и аутентификация пользователя;

• размещение объектов в адресном пространстве процессов пользова­телей (например, чтение информации из файлов);

• уничтожение объектов;

• действия, осуществляемые администраторами системы.

При этом запись журнала аудита должна снабжаться необходимым набором атрибутов:

• дата и время события;

• идентификатор пользователя, инициировавшего событие;

• тип события (например, вход в систему, получение доступа к файлу на чтение и т.д.);

• результат: успех или неуспех выполнения события.

Если требуется, надо указывать дополнительные сведения, напри­мер имя объекта, к которому происходит обращение. Для удобства изуче­ния данных журнала аудита должны быть предусмотрены средства фильтрации записей по заданным признакам.

Гарантии. ТСВ должна изолировать подлежащие защите ресурсы так, чтобы выполнялись требования контроля доступа и аудита.

Тестирование должно включать поиск и просмотр очевидных брешей системы защиты, позволяющих нарушить изолированность ресурсов или допустить неавторизованный доступ к данным аутентификации или жур­нала аудита.

Документация должна дополнительно (по сравнению с классом С1) включать описание событий, заносимых в журнал аудита.