Ақпарыттық қауіпсіздік стандарттары мен спецификациясы

1.3.           «Қызыл сары кітапқа» сәйкес қауіпсіздік кластары

Қауіпсіздік кластары.

               АҚШ-тың Қорғаныс министірлігі сенімді қауіпсіздік деңгейіндегі ақпараттық жүйені жаңартуға жол ашты.

           «Қызыл сары кітапта» сенімділіктің төрт деңгейі анықталған: D, С, В және А.

             D деңгейі қанағаттандырылмаған жүйеге арналған С деңгейіне А деңгеіне өту кезінде жүйелерге қатаң талаптар қойыла бастайды. С және В деңгейінің бөлімдері сенімділік деңгейінің өсуі бойынша кластарға (С1,C2.B1,B2,B3) бөлінеді.

             Қауіпсіздіктің барлық алты класы бар (C1,C2,B1,B2,B3,A1). Сертификация кезінде жүйені белгілі бір кластарға жатқызу үшін, оның қауіпсіздік саясаты мен кепілдеме деңгейі маңызды талаптарды қанағаттандыру қажет.

  2.  С1 класы:

      Есептеу базасының талап ету мақсаты таңдалып алынған қолданушыға тандалынған объект арқылы басқару қолжетімділігі;

      Кейбір қызметтерді орындамас бқрын, есептеу базасының сенімді тексеріс жасау барысында өолданушылар өздерін идентификациялау қажет. Аудентификацияға кейбір қорғаныс механизмдері қолданылады. Мысылы: пароль. Аудентификациялық ақпарат санкцигнирленбеген қол жетімділіктен қорғалуы қажет;

      Сенімді есептеу базасы сыртқы қызмет мәліметтерінен, командаларынан және жұмыс қадамының орындалуын қамтамасыз етеді.

      Негізгі аппараттық немесе программалық құралдар болуы тиіс, мұнда функционалдардың аппараттар мен микропрограммалық сенімді компоненттердің есептеу барысында дұрыстығын тексеру қажет;

      Қорғаныс механизмінде тестіленілген сабақ кестесінің және жүйенің  тәртіп мағлұматтары болуы тиіс. Тестілеу жүйесі көрсетуі тиіс, қолданушылар арасындағы көрсетілген әдістер мен есептеу базасының сенімді қорғау тәсілдерін жүзеге асыра алады.

      Сенімді есептеу базасында өндірушілердің даму жоспары қорғалуы тиіс.

Класс C2 (C1 қосымша):

      Қолжетімділік өндірушіге міндетті түрде жеткізілуі тиіс. Барлық объектілер қол жетімділік қорытындысы болуы тиіс.

      Белгіленіп алынған сақтау объектісінен, есептеу базасының сенімділігін қолданушы өтімді қолдануы қажет.

      Әр бір қолданушы жүйеде уникалды түрде идентификациялануы тиіс. Әр бір регистрациялық (тіркелінген) қызмет нақты қолданушылармен сәйкестендірілуі тиіс.

      Сенімді есептеу базасы құрылуы қажет, қорғаныс журнал тіркеу ақпаратынан және оған тиесілі қол жетімді объект пен тексеру базасынан.

      Тестілеу механизм ресурстары мен тіркеу ақпараттық қорғау жетіспеушіліктерінен тұрады.

Класс В1 (қосымша С2):

      Сенімді есептеу базасы басқару қауіпсіздігінің белгісі, әр субъекті мен сақтау объектісіне сәйкестендірілген;

      Сенімді есептеу базасы басқару қол жетімділігінің барлық субъектілері мен сақтау объектілерінің дамуын қадағалайды.

      Сенімді есептеу базасы изоляциялық процестердің бөліну дрестерін қамтамасыз етуі тиіс.

      Мамандандырылған, сенімді есептеу базасының дамуы мен архитектурасын және шығуы мен анализ объектілік коды мен тестіленуін қамтамасыз етеді.

      Сенімді есептеу базасы қауіпсіздік саясатын, оның ішінде формальды немесе формальды емес моделдерден тұрады.

Класс В2 (В1 қосымша):

      Барлық ресурстар жүйесінің белгісін жақсартады, (мысалы: ПЗУ), тік немесе жанама сенім субъектісі;

      Сенімді есептеу базасы сенімді коммунмкациялық өндірушілерден және идентификациялық, аудентификациялық операциялар жүйесінің орындалуын қамтамасыз етеді.

      Ұйымның құпиялы каналдары жады есі мен алмасуы қажет;

      Сенімді есептеу базасы ішкі ұүралдардың жақсы таңдалуына және оған тиселі емес модулдерден тұрады.

      Архитектура жүйесі ұйымның құпия каналдарын жады есі мен алмастыруға және әрі жоғары бағалау командаларын қадағалап, түгел тексерістен өткізілуі тиіс.

      Сенімді есептеу базасы, өзіне тиесілі жобалардың енуі мен тұрақтылығын қамтамасыз етуі тиіс.

      Қауіпсіздік саясатының моделі формальды болуы тиіс. Сенімді есептеу базасы жоғары деңгейлі спецификациялы болуы тиіс, нақты әрі толық түрде интерфейстерін анықтайды.

      Процесті өңдеуде және сенімді есептеу базасында басқару конфигурацияның жүйесіне жетекшілік етеді, жазбаша спецификациялық жоғары деңгейі өзгерісін қадағалайды, архитектуралық мәліметтер, жүзеге асырылуы мәліметтері, шығу тиістілері, объектілік код арқылы жұмыс түрлері, текстілі мәліметтер мен мағлұматтар.

      Тестілі тапсырмалар құпия командаларда ақпараттарды алмасу қызметтерінен тұрады:

Класс В3 (В2 қосымша):

      Басқару қол жетімділігі міндетті түрде басқару қол жетімділігінде көрсетілген кеңейтілген режимдерді қолданады. Мүмкіндік регистрациясының пайда болуын немесе жинақталған мәліметтер, қауіпсіздік саясаты жүйесінде кедергілерге ұшырауы мүмкін, ал жүйе олардың кедергі әдістерінің қиылсқан жерін анықтайды.

      Сенімді есептеу базасы келесі жолдар мен шешіледі, яғни толық және жанама қауіпсіздік механизмінің семантикасын қолдана отырып, жобалайды және құрастырады.

      Процедуралық анализ уақытша құпия каналдарын орындалуынан тұрады.

      Қауіпсіздік администраторының рөлі сәйкестендірілген, қауіпсіздік администарторын қолдануға тек нақты қызмет көрсетілімі алынған кезде қолданылады.

      Процедуралар мен механизмдер қолданлуы тиіс, жойылған мәліметтерді қалпына келтірген кезде немесе қорғаныс жұмысының кедергіге ұшыраған сәтте қолданылады.

      Сенімді септеу базасы, өзіне тиселі жобаларды қамтамасыз етеді.

Класс А1 (В3 қосымша):

      Тестілеу сенімді есептеу базасының формалдық спецификациясының жоғары деңгейін қадағалап, өндіруі қажет.

      Формальды спецификациялық жоғары деңгейлі болуы тиіс. Заманауи әдіс формалды спецификация мен верификациялық жүйені қолданады.

      Конфигурациялық механизм басқару жүйесі бүкіл өмір циклін және барлық жүйе компаненттерін, оған тиесілі қауіпсіздік әрекеттерін қамтамасыз етеді.

                  Формалды спецификацияның жоғары деңгейі мен шығару текстері өзара болуы тиісті.

2. «Қызыл сары кітап» Х.800 нұсқаулығы

«Қызыл  Сары кітапта» берілген класификацияларға қысқаша шолып кетсек:

      С деңгейі – ерікті басқару қол жетімділігі;

      В деңгейі – міндетті басқару қол жетімділігі;

      А деңгейі – верфицикалық қауіпсіздік.

           Критерилерде көптеген маңызды ескертулер айтуға болады. (мысалға: толық қысқа мәселелер, жүйелерді қарастырған кезде). Бұған қарамай ақпараттық қауіпсіздік саласында «Қызыл сары кітап » ешбір сапалы сын көрсетілмеді.

           Ақпарттық базаға ешбір күмәнсіз қиындық тудырмайтын, жалпыға түсінікті базис түсінігі пайда болды.

         Атап айтсақ, «Қызыл сары кітап » үлкен көлемді потенциалды ойлар айтылған. Біріншіден бүкіл өмір цикл жүйесін қамтамасыз ететін таңдау спецификациясынан эксплутациялық фазаға дейін ұйымдастырылған. Заманауи технологиялық программаларда ақпаратпен қамтамасыз етпейді, шығару спецификацияларының семантикалық программаларда ақпараттардың жоғалуына әкеледі. Маңызды мәліметтерді келесі басқару қол жетімділіктерде қарстырамыз.

          Ақпараттық қауіпсіздіктің жүйеді пайда болуы. Х.800 рекомендациясы. Жарық қауіпсіздігінің сервисі.

          Логикалық құрылымға қарағанда, тереңірек қаралған, біз Х.800 технологиялық спецификациясы «Қызыл сары кітапта » кейінірек пайда болған, бірақ ақпараттық қауіпсіздіктің жүйесінде толық және тереңірек қарастырылған.

          Рекомендация Х. 800 – мәліметті жан-жақты түрде қарастырады. Біз жарық функциясының қауіпсіздік спецификациясына тоқталамыз және қажетті даму қауіпсіздік механизмдеріне. Келесі қауіпсіздік сервистерінің орындалулары мен олардың келесі түрлерінен тұрады.

           Аудентификация. Бұл сервис жеке қолданушының қарым-қатынасы мен жеке мәліметтер тамырын тексереді. Аудентификация қолданушының қарым-қатынасы басқару байланыстарын қолдануға, тіпті сеанс уақытында  да қолданылады. Бұл келесі қауіптерді жоюдан тұрады, яғни маскард және қайталану сеансты байланыстырады. Аудентификация бір жақты және екі жақты болады. (Әр клиент өзінің даралығын серверге көрсетеді).

           Басқару қол жетімділігі. Қол жетімді жүйедегі санкционирленбеген ресурстарды қорғауға арналған.

          Құпиялық мәлімет. Санкционирленбеген ақпараттарды алудан қорғайды, жеке құпиялық тарфиканы қолдана отырып(бұл ақпарат қауіпсіздік жарық ақпараттық анализінде қолданылады).

            Мәлімет толықтылығы – қолданушы қолданатын қарым-қанынас байланыстарында барлық мәліметтердің немесе жеке жолдардың толықтылығы бұзылған жағдайда қалыпқа келтіруге, байланыстар арқылы немесе байланысыз жүзеге асады.

Төмендегі 1-кестеде OSI жеті деңгейлік моделінің эталондық деңгей қауіпсіздік функциясының бөлінуі келтірілген.

Кесте-1

«+» қауіпсіздік функциясына сәйкес деңгей;

« - » қауіпсіздік функциясына сәйкес келмейтің деңгей;

          Көріп отырғанымыздай, қаіпсіздік басқару жүйесі орталық жүйеге қарағаннан ақпараттық жүйе туралы жан-жақты біледі.

              Стандарт ISO/IEC 15408 «Ақпараттық жүйенің  қауіпсіздікінің критериі ». Біз қайта бағалау стандартына тоқталамыз, «Ақпараттық жүйенің бағалау қауіпсіздік критериі» (1999жылы 1 желтоқсанда шығарылған), заманауи ең маңыздысы болып табылады. Бұл халықаралық стандарт бірнеше мемлекеттердің онжылдық мамандандырылған жұмыс қорынтындысына айналады, ал өзіне ұлттық және халықаралық масштаб көлемінде қазіргі уақыт мәліметтерінен белсенді үлгі алады.

              Тарихи мәліметтерде бұл стандартты «Жалпы критери мен» деп аталған. Біз тіпті ( ЖК ) қысқартылу түрінде қолданамыз.

             «Жалпы критерилер» негізінен метестандарт түрінде беріледі, ақпараттық жүйенің бағалау қауіпсіздігінің анықтайтын құрал-саймандардан және орындалу тәртібінен тұрады. «Қызыл сары кітапқа» қарағанда, ЖК таңдалынып алынған қауіпсіздік кластарынан тұрмайды. Қауіпсіздік міндеткерліктерін қоспай-ақ, мұндай кластарды нақты ұйымдар немесе нақты ақпарат жүйесін орындауға болады.

           Ақпарат жүйе маманының қөз-қарасы мен қарағанда ЖК кітапхана тіркесі, ол «программалар» - қауіпсіздік бойынша тапсырмалардың мазмұнын және қауіпсіздік типтік профилін жазуға көмектеседі.

           Мамандар біледі, қаншалықты сапалы кітапхананың программаларды орындауға қол жетімділігін және олардың сапасын кітапханасыз «нөлден» басталатын программалар жазылмайды, олардың бағалау қауіпсіздігі көрсетілген қиындық деңгейінен шығып қалған және «Жалпы критерилер» керекті құрал-саймандарды жеткізіп береді.

             Бастысын атап өтсек, мұнда кітапхана функцияларының параметрлері талап етіледі. «Қызыл сары кітап» негізінде ЖК негізгі екі талаптар қауіпсіздігінен тұрады:

      Функционалдық, белсенді қорғаныс аспектісі, көрсетілген қауіпсіздік функциясы мен механизм орындалуы арқылы жүзеге асады.

      Талап ету сенімділігі, пассивті аспектіге байланысты, көрсетілім технологиясы мен эксплутацияға және процесс өктемділігіне арналған.

                  Талап ету қауіпсіздігіне бағалау объектісі мен аппараттық – программалық өніммен ақпарат жүйе белгісі бір орындалуын тексереді. Маңыздысы, ЖК қауіпсіздігі статикалық түрде емес, бағалау объектісінің өмір циклмен қаралады. Келесі этаптардан тұрады:

      Проектілеу мен өңдеу;