При разработке профиля защиты необходимо анали­зировать связи и зависимости, существующие между функциональными требованиями и требованиями к про­цессу разработки, а также между отдельными требова­ниями внутри этих разделов. По завершении разработки профиль защиты подвергается проверке, целью которой является подтверждение его полноты, корректности, не­противоречивости и реализуемости.

2.8.4. Функциональные требования к ИТ-продукту

«Федеральные критерии» предлагают набор функ­циональных требований, реализация которых позволяет противостоять наиболее распространенным угрозам безопасности, относящихся к широкому спектру ИТ-продуктов и областей их применения. Данные требова­ния разработаны с учетом возможности расширения и адаптации к конкретным условиям эксплуатации ИТ-продуктов и могут совершенствоваться параллельно процессу развития информационных технологий. Требо­вания, изложенные в «Федеральных критериях», разра­ботаны на основе обобщения существовавших на мо­мент их создания стандартов информационной безопас­ности - «Оранжевой книги» и «Европейских критериев» (п. 2.5 и 2.6).

Функциональные требования, приведенные в «Феде­ральных критериях», определяют состав и функциональ­ные возможности ТСВ. Как говорилось в п.2.2, ТСВ объединяет все компоненты ИТ-продукта (аппаратные. программные и специальные средства), реализующие функции защиты. Таким образом, функциональные Тре­бования, направленные на обеспечение безопасности. относятся либо к внутренним элементам ТСВ, либо к его внешним функциям, доступным через специальные .ин­терфейсы.

Для того чтобы расширить спектр потенциального применения профиля защиты, в «Федеральных критери­ях» при описании функциональных требований предпола­гается что ТСВ является единственной частью ИТ-продукта. которая нуждается в защите и обладает такой характеристикой, как уровень защищенности. По этой при­чине предполагается достаточным установить множество требований, касающихся только безопасности ТСВ.

Функциональные требования профиля защиты зада­ются в виде общих положений и косвенным образом оп­ределяют множество угроз, которым может успешно противостоять удовлетворяющий им ИТ-продукт.

2.8.4.1. Таксономия функциональных требований

Функциональные требования «Федеральных крите­риев» разделены на восемь классов и определяют все ас­пекты функционирования ТСВ. Таксономия классов функциональных требований приведена на рис. 2.5. Все классы имеют непосредственное отношение к обеспече­нию безопасности функционирования ТСВ. Реализация политики безопасности должна быть поддержана сред­ствами, обеспечивающими надежность функционирова­ния как самого ТСВ, так и механизмов осуществления политики безопасности.

Рис. 2.5 Таксономия функциональных требований «Федеральных критериев»

Эти средства также входят в со­став ТСВ, хотя, с точки зрения противодействия угро­зам, вносят только косвенный вклад в общую защиту И Т-продукта.

Поскольку «Федеральные критерии» по сравнению с «Оранжевой книгой» являются стандартом нового поко­ления и, кроме того, никогда не рассматривались в оте­чественных публикациях, остановимся на функциональ­ных требованиях более подробно.

Требования к реализации политики безопасности описывают функции ТСВ, реализующие политику безо­пасности, и состоят из четырех групп требований: к по­литике аудита, к политике управления доступом, к поли­тике обеспечения работоспособности и к управлению безопасностью. Эти требования носят весьма общий ха­рактер, что позволяет рассматривать их в качестве про­тотипа, обеспечивающего поддержку широкого спектра. политик и моделей безопасности (см. главу 4, II тома).

Политика аудита включают разделы, относящиеся к идентификации и аутентификации, процедуре регистра­ции пользователя в системе, обеспечению прямого взаи­модействия с ТСВ, а также регистрацию и учет событий. Основная задача политики управления аудитом — обес­печить возможность однозначной идентификации субъ­екта, ответственного за те или иные действия в системе.

Идентификация и аутентификация позволяют уста­новить однозначное соответствие между пользователями и представляющими их в ВС субъектами, а также под­твердить подлинность этого соответствия.

Регистрация пользователя в системе означает созда­ние субъекта взаимодействия, с идентификатором кото­рого будут ассоциироваться все последующие действия пользователя. К процедуре регистрации также относится учет места, времени и других параметров подключения к системе и ее блокирование во время отсутствия пользо­вателя.

Обеспечение прямого взаимодействия с ТСВ гарантирует, что пользователь взаимодействует с компонен­тами ТСВ напрямую, т.e. информация, которая передает­ся в ТСВ и обратно, не подвергается перехвату или ис­кажению. Поддержка прямого взаимодействия с ТСВ особенно важна для управления безопасностью (напри­мер: при администрировании прав доступа и полномо­чий пользователей).

Регистрация и учет событий в системе позволяет рас­познавать потенциально опасные ситуации и сигнализировать о случаях нарушения безопасности. Регистрация событий включает распознавание, учет и анализ дейст­вий пользователя, представляющих интерес с точки зре­ния безопасности.

Политики управления доступом содержит следующие разделы: произвольное управление доступом, норматив-нос управление доступом и контроль скрытых каналов утечки информации. Политика управления доступом яв­ляется основным механизмом защиты так как непосред­ственно обеспечивает конфиденциальность и целост­ность обрабатываемой информации.

Произвольное управление доступом позволяет осуще­ствлять назначение прав доступа с точностью до иденти­фицируемых субъектов и объектов, а также поддерживае­мых типов доступа и, кроме того, обеспечивает контроль за распространением прав доступа среди субъектов.

Нормативное управление доступом, в отличие от произвольного, основано на контроле информационных потоков между субъектами и объектами и их атрибутах безопасности, что позволяет регламентировать порядок использования информации в системе и противостоять атакам типа «троянского коня».

Контроль скрытых каналов утечки информации включает технические и административные меры, на­правленные на ликвидацию таких каналов посредством минимизации объема совместно используемых ресурсов и введения активных «шумовых помех».

Политика обеспечения работоспособности системы включает контроль за распределением ресурсов и обес­печение отказоустойчивости. Обеспечение работоспо­собности позволяет гарантировать доступность ресурсов и сервиса системы, а также корректное восстановление системы после сбоев.

Контроль за распределением ресурсов осуществляет­ся посредством введения ограничений (квот) на их По­требление или приоритетной системы распределения ре­сурсов.

Обеспечение отказоустойчивости входит в сферу бе­зопасности наравне с другими требованиями, так как противостоит угрозам работоспособности.

Управление безопасностью регламентирует следую­щие аспекты функционирования системы: