Профиль защиты ОС Линукс

2.6.2 Цели, вытекающие из политик безопасности

      Каждой  определенной политике безопасности соответствует совокупность целей безопасности. В таблице 1.2 отображается соответствие между политиками, описанными в таблице 2.2.2.1, и целями. Далее, для каждой политики приводится объяснение данному соответствию.

      P.ACCESS_BANNER. Эта политика приводит к необходимости цели отображать консультативные предупреждения (O.DISPLAY_BANNER).

      P.ACCOUNT. Осуществление этой политики требует, чтобы пользователи были идентифицированы (O.USER_IDENTIFICATION), чтобы их действия были под постоянным контролем (O.AUDIT_GENERATION) и чтобы результирующие записи их действий были доступны для обзора (O.AUDIT_REVIEW).

      P.AUTHORIZATION. Эта политика требует, чтобы пользователи в каждой из различных ролей (см. P.ROLES) обладали совокупностью возможностей, определенных ролью, которая ограничивает доступ к ресурсам (O.ACCESS). Так, доступ к данным ФБО реализуется администраторами (O.SELF_PROTECTION), а доступ к данным пользователя реализуется пользователями (O.PROTECT). Осуществление этой политики требует, чтобы пользователь был идентифицирован (O.USER_IDENTIFICATION).

      P.AUTHORIZED_USERS. Для осуществления этой политики необходимо знать, кто является пользователем (O.USER_IDENTIFICATION), и необходима проверка подлинности заявленного идентификатора (O.USER _AUTHENTICATION).

      P.CLEARANCE. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS) и каждому пользователю назначены уровни разрешений (O.USER_IDENTIFICATION). Уровни разрешений используются при осуществлении политик безопасности, основанных на метках (O.MANDATORY_ACCESS, O.MANDATORY_INTEGRITY, O.ACCESS).

      P.I_AND_A. Эта политика требует, чтобы пользователи заявляли свой идентификатор, и он был верифицирован (O.USER_AUTHENTICATION).

      P.LABELED_OUTPUT. Начало и конец любого читаемого, просматриваемого вывода на твердую копию должны быть отмечены метками чувствительности, которые должным образом представляют чувствительность вывода. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS).

      P.NEED_TO_KNOW. Осуществление этой политики требует защиты ресурсов (O.PROTECT) согласно правилам политики дискреционного управления доступом (O.DISCRETIONARY _ACCESS), которая управляет доступом (O.ACCESS), основанным на идентификаторах пользователей (O.USER_IDENTIFICATION), установленных владельцем объекта (O.DIS-CRETIONARY_USER _CONTROL).

      P.REMOTE_ADMIN_ACCESS. Чтобы управлять системой (O.MANAGE) дистанционно, у администраторов должен быть защищенный коммуникационный маршрут (O.ENCRYPTED_CHANNEL). Возможность использовать этот маршрут (O.ENCRYPTION_SERVICES) предоставлена только уполномоченным (O.USER_AUTHENTICATION) администраторам (O.USER _IDENTIFICA-TION) как определено в руководстве администратора (O.TRAINED_ADMIN). Администраторам также необходимы средства определения того, что они действительно взаимодействуют с ФБО (O.TRUSTED_PATH). При дистанционном доступе администратора необходима защита данных ФБО, переданных к и от ОО (O.TSF_CRYPTOGRA-PHIC_INTEGRITY).

      P.RESOURCE_LABELS. Любой ресурс должен быть ассоциирован со своей меткой, определяющей уровень чувствительности данных, содержащихся в нем.

      P.ROLES. Эта политика требует, чтобы существовали отдельные роли, как представлено в  руководстве пользователя (O.TRAINED_USERS) и в руководстве администратора (O.MANAGE, O.TRAINED_ADMIN).

      P.SYSTEM_INTEGRITY.Данная политика требует, чтобы ОО восстанавливался (O.RECOVERY) или периодически самостоятельно, или с помощью администраторов, (O.TRAINED_ADMIN) для того  чтобы поддерживать свою безопасность (O.TRUSTED_SYSTEM_OPERATION). Это обеспечивает защищенность ФБО  (O.SELF_PROTECTION). Такая проверка правильности также осуществляется на криптографическом модуле (O.TSF_CRYP-TOGRAPHIC _INTEGRITY).

      P.INDEPENDENT_TESTING. Эта политика требует, чтобы независимое тестирование (O.TESTING) было выполнено вместе с анализом уязвимостей (O.VULNERABILITY _ANALYSIS), для того чтобы демонстрировать адекватность проекта системы (O.PENETRATION_TEST).

      P.TRACE. Должна быть возможность анализа сгенерированных событий аудита (O.AUDIT_REVIEW).

      P.TRUSTED_RECOVERY. Эта политика требует, чтобы ОО был способен восстановить свое безопасное состояние (O.RECOVERY).

      P.USER_LABELS. Эта политика требует, чтобы каждый пользователь (O.USER_IDENTIFICATION) был ассоциирован с меткой (O.MARKINGS).

      P.VULNERABILITY_SEARCH. Система должна подвергаться анализу на уязвимости. Эта политика требует, чтобы производился анализ на уязвимости (O.VULNERABILITY_ANALYSIS).

2.6.3 Обоснование требований

      Каждая  из целей безопасности, указанных  в разделах 2.6.1 и 2.6.2, удовлетворяется совокупностью требований безопасности. В таблице 1.3 представлена взаимосвязь между целями, описанными в таблице 2.3.1, и требованиями.

      O.ACCESS. Система позволяет получить доступ к себе и к своим ресурсам только [FPT_RVM.1] в соответствии с политиками управления доступом и целостностью [FDP_ACC.2, FDP_ACF.1, FDP_IFC.2, FDP_IFF.2, FDP_IFF.3]. При осуществлении этих политик происходит сравнение атрибутов пользователей [FIA_UAU.1, FIA_UID.1] и объектов [FDP_ETC.2]. Должны быть предупреждения по умолчанию перед предоставлением доступа к системе [FTA_TAB.1], а также повторная аутентификация пользователя [FTA_SSL.2,  FTA_SSL.1]. Только администраторы [FIA_AFL.1] могут получать доступ к административным ресурсам и данным[FMT_MOF.1, FMT_MSA.1, FMT_MTD.1]. Доступ длится до тех пор, пока его не отменили [FMT_REV.1] или пока атрибуты, используемые для определения доступа, не изменяются [FMT_SAE.1].

      O.ACCESS_HISTORY. Информация о предыдущих сеансах отображается для пользователя.

      O.AUDIT_GENERATION.  Значимые для безопасности действия должны быть определены, возможны для аудита [FAU_GEN.1] и способны ассоциироваться с индивидуальными пользователями [FIA_USB.1]. Записи аудита должны быть сгенерированы в соответствии с атрибутами [FAU_SEL.1], выбранными администратором [FMT_MOF.1]. Ассоциированная метка времени должна быть надежной [FPT_STM.1]. Система аудита должна обнаруживать возможные нарушения безопасности [FAU_SAA.1] и предупреждать администратора[FAU_ARP.1]. Должна генерироваться запись аудита при каждом изменении состояния устройств экспорта данных [FDP_ETC.2]. Механизм аудита описан в терминах его предназначения [ADV_FSP.2] c его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Также определена политика аудита [ADV_SPM.1].

      O. AUDIT_PROTECTION. Журнал аудита должен быть защищен так, чтобы только уполномоченные пользователи могли получать к нему доступ [FAU_SAR.2]. Для этого должны быть доступны административные функции [FMT_MOF.1, FMT_MTD.1]. Журнал аудита должен быть совершенным [FAU_STG.1]. Политика аудита [ADV_SPM.1] включает описание защиты данных аудита.

      O. AUDIT_REVIEW. Уполномоченный администратор должен быть способен просматривать содержимое [FAU_SAR.1] записей аудита и предупреждения о нарушениях [FAU_ARP.1]. При генерации записи должны сортироваться [FPT_STM.1] таким образом, чтобы по записям могли быть воссозданы события. Политика аудита [ADV_SPM.1] включает описание доступных средств [ADV_HLD.2], необходимых для того, чтобы делать обзор данных аудита [ADV_FSP.2].

      O.CONFIG_MGMT. Версии ОО должны отслеживаться [ACM_SCP.2], для того чтобы предотвратить некорректные изменения в их представлении в процессе разработки. Автоматизированная система [ACM_AUT.1] должна сопровождать ОО и ассоциированную с ним документацию [ACM_CAP.4] и отслеживать любые недостатки в безопасности, которые обнаружены в процессе разработки. ОО разрабатывается в соответствии с моделью жизненного цикла [ALC_LCD.1]. Меры безопасности, используемые в процессе разработки и сопровождения ОО [ALC_DVS.1], будут документированы наряду с инструментальными средствами, используемыми в процессе разработки [ALC_TAT.1], и процедурами для коррекции недостатков, обнаруженных в процессе сопровождения [ALC_FLR.2].

      O.DISCRETIONARY_ACCESS. Дискреционное управление доступом должно иметь определенную область применения [FDP_ACC.2]. Правила политики DAC должны быть определены [FDP_ACF.1]. Атрибуты безопасности объектов [FMT_MTD.1] и субъектов [FIA_USB.1], используемые для осуществления политики DAC [FPT_RVM.1], должны быть определены. Это управление доступом применяется для объектов, экспортируемых в ОДФ [FDP_ETC.2] и импортированных из-за пределов ОДФ [EXT-FDP_ITC.1, FDP_ITC.2] или к и от удаленных ОО [FDP_ITT.1]. Уполномоченные пользователи могут управлять доступом тех лиц, которые имеют доступ к объектам [FMT_MSA.1], и возможность отменять этот доступ [FMT_REV.1]. Защита указанных объектов должна быть непрерывна, начиная с момента создания объекта [FMT_MSA.3]. Механизм дискреционного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика дискреционного управления доступом [ADV_SPM.1].

      O.DISCRETIONARY_USER_CONTROL. Владельцы объектов и администраторы могут изменять атрибуты объекта, используемые для осуществления дискреционной политики управления доступом [FDP_ACF.1].

      O.DISPLAY_BANNERS. Прежде чем пользователи будут идентифицированы [FIA_UID.1] и аутентифицированы [FIA_UAU.1] в системе, для них предоставляется сообщение, описывающее правильное использование системы [FTA_TAB.1]. Это сообщение может также отображаться в других случаях, когда пользователи аутентифицируются [FTA_SSL.1, FTA_SSL.2].

      O.ENCRYPTED_CHANNEL. Операции шифрования [FCS_COP.1] поддерживают безопасную передачу данных ФБО между физически раздельными частями ОО [FPT_ITT.1]. Такой же вид канала может использоваться для реализации коммуникационного маршрута между пользователями и ОО [FTP_TRP.1].

      O.ENCRYPTION_SERVICES. Криптографические операции [FCS _COP.1, EXT-FCS_COP.2] и сервисы управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4, EXT-FCS_CKM.5] используются для того, чтобы обеспечить сервисы шифрования. Ключи ассоциированы с пользователями [FIA_USB.1] и управляются администратором по криптографии [FMT_MTD.1]. Криптографический модуль, поддерживающий эти сервисы, периодически тестируется [EXT-FPT_CTST.1], для того чтобы убедиться, что он работает правильно. Данные ФБО должны быть защищены в транзите [FPT_ITT.1, FPT_ITT.3]. Криптографический модуль описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Описание архитектуры [ADV_IMP.2] включает, кроме представления различных модулей, представление криптографического модуля, который должен быть разработан так, чтобы его функционирование осуществлялось в домене, отделенном от других модулей [ADV_INT.1]. Любая политика шифрования должна быть описана [ADV_SPM.1].

      O.INSTALL. Процедуры безопасной поставки [ADO_DEL.2] и инсталляции [ADO_IGS.1] ОО должны быть документированы.

      O.MANDATORY_INTEGRITY. Политика мандатного управления целостностью [FDP_IFC.2] реализует правила [FPT_RVM.1], основанные на атрибутах пользователей [FIA_USB.1] и объектов, управляемых ОО, как определено правилами [FDP_IFF.2], установленными администратором [FMT_MSA.1]. Эта политика также охватывает объекты, экспортируемые [FDP_ETC.2] и импортируемые [EXT-FDP_ITC.1, FDP_ITC.2] от/к ОО, а также объекты, которыми обмениваются между собой отдельные части ОО [FDP_ITT.1]. Доступ отменяется при изменении атрибутов для удаленного доступа [FMT_REV.1]. Метка данных пользователя рассматривается как данные ФБО и, следовательно, должна быть защищена, когда передаются ассоциированные с ней данные пользователя [FPT_ITT.3]. Механизм мандатного управления целостностью описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика мандатного управления целостностью [ADV_SPM.1].

      O.MANAGE. Процедуры администратора для безопасной поставки [ADO_DEL.2], установки [ADO_IGS.1] и администрирования [AGD_ADM.1] ОО должны быть документированы. Должны быть возможности осуществления аудита значимых для безопасности событий [FAU_GEN.1, FAU_GEN.2], средства для обзора всех записей аудита [FAU_SAR.1] или выборочных записей [FAU_SAR.3] и средства управления заполнением журнала аудита [FAU_STG.4]. Должны быть в наличии средства для предупреждения администраторов о возможных нарушениях безопасности [FAU_ARP.1] и способ установления правил для определения того, что составляет нарушение безопасности [FAU_SAA.1]. Должны быть средства самотестирования ОО [FPT_TST.1] и криптографического модуля [EXT-FPT_CTST.1]. Должны быть средства управления криптографическими сервисами [FCS_COP.1, EXT-FCS_COP.2] и управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, EXT-FCS_CKM.5]. Должны быть средства, связанные с управлением данных, импортируемых в ОО [FDP_ITC.2] или экспортируемых из ОО [FDP_ETC.2]. Должны быть средства управления функциями безопасности [FMT_MOF.1], данными ФБО [FMT_MTD.1] и атрибутами безопасности [FMT_MSA.1, FMT_MSA.2, FMT_MSA.3], а также средства, связанные с истечением срока действия атрибутов безопасности [FMT_SAE.1].

      O.MANDATORY_ACCESS.  Политика мандатного управления доступом [FDP_IFC.2] реализует правила [FPT_RVM.1], основанные на атрибутах пользователей [FIA_USB.1] и объектов, управляемых ОО, как это определено правилами [FDP_IFF.2, FDP_IFF.3], установленными администратором [FMT_MSA.1]. Эта политика также охватывает объекты, экспортируемые [FDP_ETC.2] и импортируемые [EXT-FDP_ITC.1, FDP_ITC.2] из/в ОО, а также объекты, которыми обмениваются между собой отдельные части ОО [FDP_ITT.1]. Доступ отменяется, когда атрибуты изменяются при удаленном доступе [FMT_REV.1]. Механизм мандатного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика мандатного управления доступом [ADV_SPM.1].

      O.MARKINGS.  Метки используются политиками мандатного управления доступом и мандатного управления целостностью [FDP_IFF.2] в пределах ОО, а также для объектов, экспортируемых [FDP_ETC.2] и импортируемых [EXT-FDP_ITC.1, FDP_ITC.2] из/в ОО. Метки ассоциированы [FIA_USB.1] с пользователями [FIA_ATD.1] и управляются [FMT_MTD.1] администраторами [FMT_MSA.1, FMT_MSA.2]. Также должна быть непротиворечивая интерпретация маркировки, ассоциированная с данными ФБО, совместно используемыми различными ОО [FPT_TDC.1]. Изменения в ассоциированных маркировках могут приводить к отмене доступа к объекту [FMT_REV.1].

      O.PENETRATION_TEST. ОО должен подвергнуться независимому тестированию [ATE_IND.2], основанному на анализе уязвимостей. Этот анализ обеспечивает поиск скрытых каналов в криптографическом модуле [EXT-AVA_CCA.1] и любых уязвимостей, которые могли бы быть вызваны неясной документацией [AVA_MSU.1]. Данный анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Тестирование должно также подтверждать каждое утверждение стойкости функций [AVA_SOF.1].