Основые Критерии Защищенности Ас.Основные Компоненты Безопасности Tcsecни. Функциональные Услуги Безопасности По НД ТЗИ 2.5-004-99

Реалізація даної  послуги є необхідною умовою для  реалізації рівнів НИ-2 і НИ-3 послуги  ідентифікація і автентифікація.

Розподіл обов'язків

Дана послуга  дозволяє знизити ймовірність навмисних  або помилкових неавторизованих  дій користувача або адміністратора і величину потенційних збитків  від таких дій. Рівні даної  послуги ранжируються на підставі вибірковості керування можливостями користувачів і адміністраторів.

Система, що претендує  на включення даної послуги до рейтингу, повинна передусім забезпечувати  існування ролей для адміністратора і звичайного користувача (рівень НО-1).

Для наступного рівня даної послуги вимагається, щоб система підтримувала дві  або більше адміністративних ролей  зі специфічними наборами адміністративних обов'язків. Одна з цих ролей повинна  бути роллю адміністратора безпеки (ця роль може бути поділена на ролі адміністратора реєстрації (аудиту) і адміністратора каталогів або облікових карток користувачів). Роль адміністратора безпеки  повинна бути визначена так, щоб  обов'язки, що мають відношення до безпеки, могли бути виконані тільки в цій  ролі. Ролі не обов’язково мають  бути абсолютно взаємовиключаючими, оскільки деякі функції або команди  можуть знадобитись і  адміністратору, і користувачу, або різним адміністраторам  і т.ін.

Основною відмінністю  рівня НО-3 від рівня НО-2 є необхідність визначення ролей для звичайних  користувачів.

Цілісність комплексу  засобів захисту

Дана послуга  визначає міру спроможності КЗЗ захищати себе і гарантувати свою спроможність керувати захищеними об'єктами.

Жодна КС не може вважатися захищеною, якщо самі засоби захисту є об'єктом для несанкціонованого  впливу. У зв'язку з цим рівень НЦ-1 даної послуги є необхідною умовою для абсолютно всіх рівнів усіх інших послуг.

Для рівня НЦ-1 даної послуги необхідно, щоб  КЗЗ мав можливість перевіряти свою цілісність і в разі виявлення  її порушення переводити систему  в стан, з якого її може  вивести  тільки адміністратор.

Для рівня НЦ-2 необхідно, щоб КЗЗ підтримував  власний домен виконання, відмінний  від доменів виконання всіх інших  процесів, захищаючи себе від зовнішніх  впливів. Дана вимога є однією з вимог  до реалізації диспетчера доступу. Як правило, реалізація даної вимоги повинна  забезпечуватися можливостями апаратного забезпечення ОС.

 Для рівня  НЦ-3 необхідно, щоб КЗЗ забезпечував  керування захищеними ресурсами  таким чином, щоб не існувало  можливості доступу до ресурсів, минаючи КЗЗ. Дана вимога є  другою функціональною вимогою  до реалізації диспетчера доступу. 

Необхідною умовою для реалізації рівня НЦ-1 даної  послуги є реалізація рівнів НО-1 послуги розподіл обов'язків і  НР-1 послуги реєстрація, оскільки КЗЗ  повинен мати можливість ставити  до відома адміністратора про факти  порушення своєї цілісності.

Самотестування

Самотестування  дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність функціонування і цілісність певної множини функцій КС. Рівні даної  послуги ранжируються на підставі можливості виконання тестів за ініціативою  користувача, в процесі запуску  або штатної роботи.

Необхідною умовою для всіх рівнів даної послуги  є реалізація рівня НО-1 послуги  розподіл обов'язків.

Ідентифікація і автентифікація при обміні

Ця послуга  дозволяє одному КЗЗ ідентифікувати інший КЗЗ (встановити і перевірити його ідентичність) і забезпечити  іншому КЗЗ можливість ідентифікувати перший, перш ніж почати взаємодію. Рівні даної послуги ранжируються на підставі повноти реалізації.

Реалізація рівня  НВ-1 даної послуги дозволяє виключити  можливість несанкціонованого зовнішнього  підключення і є необхідною умовою для реалізації високих рівнів послуг конфіденційності і цілісності при  обміні.

Реалізація рівня  НВ-2 даної послуги дозволяє виключити  можливість несанкціонованого використання встановленого авторизованого підключення.

Реалізація рівня  НВ-3 даної послуги дозволяє виключити  можливість деяких видів внутрішнього шахрайства.

Автентифікація  відправника

Ця послуга  дозволяє забезпечити захист від  відмови від авторства і однозначно встановити належність певного об'єкта певному користувачу, тобто той  факт, що об'єкт був створений  або відправлений даним користувачем. Рівні даної послуги ранжируються на підставі можливості підтвердження  результатів перевірки незалежною третьою стороною.

Найширше для  реалізації даної послуги, як і послуги  автентифікації одержувача, використовується цифровий підпис, оскільки використання несиметричних криптоалгоритмів (на відміну від симетричних) дозволяє забезпечити захист від внутрішнього шахрайства і автентифікацію за взаємної недовіри сторін.

Необхідною умовою для реалізації всіх рівнів даної  послуги є реалізація рівня НИ-1 послуги ідентифікація і автентифікація.

Автентифікація  одержувача

Ця послуга  дає можливість забезпечити захист від відмови від одержання  і дозволяє однозначно встановити факт одержання певного об'єкта певним користувачем. Рівні даної послуги  ранжируються на підставі можливості підтвердження результатів перевірки  незалежною третьою стороною.

Необхідною умовою для реалізації всіх рівнів даної  послуги є реалізація рівня НИ-1 послуги ідентифікація і автентифікація.  

Список використаної літератури 

   1. http://www.scriru.com/14/27/52581423149.php

   2. http://protect.htmlweb.ru/orange1.htm

   3. http://www.securitylab.ru/informer/240650.php

   4. TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA

   5. НД ТЗІ  2.5-004-99