2.2.2. Использование и основные характеристики безопасности объекта оценки
ОО представляет собой программное средство (комплекс программ), реализующее (реализующий) функции защиты от несанкционированного доступа к информации, обрабатываемой на средствах вычислительной техники, находящихся под управлением данного программного средства (комплекса программ).
ОО должен обеспечивать нейтрализацию следующих угроз безопасности информации:
несанкционированный доступ к объектам доступа со стороны субъектов доступа, для которых запрашиваемый доступ не разрешен;
ограничение нарушителем доступа пользователей ОС к ресурсам средства вычислительной техники, на котором установлена ОС за счет длительного удержания вычислительного ресурса в загруженном состоянии путем осуществления нарушителем многократных запросов, требующих большого количества времени на их обработку;
недоступность вычислительных ресурсов (процессорное время, оперативная память) для критичных служб ОС и функционирующего прикладного программного обеспечения (приложений) вследствие нерационального распределения ресурсов между потоками служб и приложений (без учета степени их критичности);
несанкционированное или непреднамеренное удаление информации со средства вычислительной техники, функционирующего под управлением ОС;
утечка или несанкционированное изменение информации в оперативной памяти, используемой различными процессами и формируемыми ими потоками данных;
несанкционированное внесение нарушителем изменений в объекты хранения конфигурационных данных, которые влияют на функционирование отдельных сервисов, приложений или ОС в целом;
осуществление восстановления (подбора) аутентификационной информации администраторов и пользователей ОС;
использование нарушителем идентификационной и начальной аутентификационной информации, соответствующей учетной записи пользователя ОС;
несанкционированное внесение изменений в журналы регистрации событий безопасности ОС (журналы аудита);
несанкционированный доступ к информации вследствие использования пользователями неразрешенного программного обеспечения;
несанкционированный доступ субъектов доступа к информации, обработка которой осуществлялась в рамках сеансов (сессий) других субъектов доступа.
В состав ОС как объекта оценки входят следующие компоненты:
загрузчик ОС, обеспечивающий загрузку ядра ОС;
ядро ОС, обеспечивающее управление ресурсами средства вычислительной техники (процессорное время, оперативная память и другие) и выполнение базовых функций по защите информации;
модули уровня ядра (программы, загружаемые ядром ОС и расширяющие его базовые функциональные возможности);
службы ОС, обеспечивающие выполнение функций по обработке и защите информации.
Архитектура безопасности ОС должна обеспечивать:
реализацию монитора обращений, обеспечивающую возможность его исчерпывающего анализа и тестирования;
защищенность монитора обращений (диспетчера доступа) от проникновения (вмешательства), преодоления и обхода;
невозможность доступа субъектов доступа к объектам доступа в обход установленных правил разграничения доступа (управления доступом) в случае сбоя монитора обращений (диспетчера доступа) до восстановления его работоспособности.
В ОС должны быть реализованы следующие функции безопасности:
идентификация и аутентификация;
управление доступом;
регистрация событий безопасности;
ограничение программной среды;
изоляция процессов;
защита памяти;
контроль целостности;
обеспечение надежного функционирования.
В среде, в которой ОС функционирует, должны быть реализованы следующие функции безопасности:
физическая защита;
доверенная загрузка ОС;
обеспечение условий безопасного функционирования ОС;
обеспечение доверенного маршрута;
обеспечение доверенного канала.
Функции безопасности ОС должны обладать составом функциональных возможностей (функциональных требований безопасности), обеспечивающих реализацию этих функций.
В настоящем ПЗ изложены следующие виды требований безопасности, предъявляемые к ОС:
функциональные требования безопасности;
требования доверия к безопасности.
Функциональные требования безопасности ОС, изложенные в ПЗ, включают:
требования к идентификации и аутентификации;
требования к управлению доступом;
требования к регистрации событий безопасности;
требования к ограничению программной среды;
требования к изоляции процессов;
требования к защите памяти;
требования к контролю целостности;
требования к обеспечению надежного функционирования.
Функциональные требования безопасности для ОС выражены на основе компонентов требований из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" и специальных (расширенных) компонентов.
Состав функциональных требований безопасности, включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности ОС типа "В":
идентификация и аутентификация пользователя до выполнения любых действий по доступу в информационную систему или администратора до выполнения действий по управлению ОС;
возможность задания политики дискреционного и (или) ролевого управления доступом для установленного множества операций, выполняемых субъектами доступа по отношению к объектам доступа;
возможность реализации дискреционного и (или) ролевого управления доступом на основе списков управления доступом (или матрицы управления доступом) и (или) ролей;
возможность установки ПО (компонентов ПО) только администраторами;
контроль целостности компонентов ПО, разрешенного для запуска, и реагирование на попытки запуска компонентов ПО, целостность которых была нарушена;
обеспечение недоступности остаточной информации при распределении или освобождении ресурса памяти;
возможность задания правил автоматического запуска компонентов ПО при загрузке ОС;
возможность задания правил запуска компонентов ПО в процессе функционирования ОС;
контроль целостности компонентов ПО, разрешенного для запуска, и реагирование на попытки запуска компонентов ПО, целостность которых была нарушена;
возможность обеспечения защиты от несогласованностей, возникающих на уровне процессов при параллельной работе с ресурсами средства вычислительной техники и объектами доступа ОС;
возможность блокирования попыток доступа к объектам доступа, если в момент обращения они используются другими процессами;
возможность безопасного выделения областей оперативной памяти;
обеспечение возможности выполнения определенной задачи системой реального времени в рамках заданных временных ограничений;
защита хранимой аутентификационной информации от неправомерного доступа к ней и раскрытия;
постоянный контроль и проверка правомочности обращений субъектов доступа к объектам доступа;
возможность обеспечения надежных меток времени при проведении аудита безопасности;
возможность тестирования (самотестирования) функций безопасности ОС, проверки целостности ПО ОС и целостности данных (параметров) ОС;
возможность защиты данных аудита от несанкционированного раскрытия при их передаче;
возможность обеспечения восстановления штатного режима функционирования ОС без потери данных функций безопасности ОС;
возможность завершения работы или восстановления (для предусмотренных сценариев сбоев) штатного функционирования ОС;
возможность со стороны администратора управлять атрибутами безопасности;
возможность со стороны администратора управлять данными (данными операционной системы), используемыми функциями безопасности ОС;
возможность со стороны администратора управлять выполнением функций безопасности ОС;
возможность со стороны администратора управлять параметрами функций безопасности ОС, данными аудита;
поддержка определенных ролей для ОС и их ассоциация с пользователями ОС;
возможность со стороны администратора управлять списком задач системы реального времени, для которых требуется выполнение в рамках заданных временных ограничений, временными ограничениями на выполнение задач системой реального времени;
возможность включения и исключения событий в совокупность событий, подвергающихся аудиту, предоставляемая администратору;
возможность предоставления администратору всей информации аудита в понятном для него виде;
возможность защиты хранимых записей регистрации событий безопасности ОС (аудита) от несанкционированного удаления и предотвращения модификации записей аудита;
возможность выполнения действий, направленных на сохранение данных журнала регистрации событий безопасности ОС и обеспечивающих непрерывность процесса аудита, если журнал регистрации событий безопасности ОС превысит определенный администратором размер;
возможность выполнения действий, направленные на предотвращение потери данных аудита при переполнении журнала аудита;
возможность полнотекстовой регистрации привилегированных команд (команд, управляющих системными функциями);
возможность передавать данные аудита для внешнего хранения;
возможность регистрации (аудита) событий безопасности, которые в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" включены в базовый уровень аудита.
Требования доверия к безопасности ОС сформированы на основе компонентов требований из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" и специальных (расширенных) компонентов.
Требования доверия к безопасности ОС образуют оценочный уровень доверия 3 (ОУД3), усиленный компонентами ADV_FSP.6 "Полная полуформальная функциональная спецификация с дополнительной формальной спецификацией", ADV_IMP.2 "Полное отображение представления реализации ФБО", ADV_TDS.6 "Полный полуформальный модульный проект с формальным представлением проекта на верхнем уровне", ALC_CMC.4 "Поддержка генерации, процедуры приемки и автоматизация", ALC_FLR.1 "Базовое устранение недостатков", ALC_TAT.1 "Полностью определенные инструментальные средства разработки", AVA_VAN.5 "Усиленный методический анализ", расширенный компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения операционной системы", ALC_LCD_EXT.3 "Определенные разработчиком сроки поддержки", AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность операционной системы", AMA_SIA_EXT.6 "Анализ влияния внешних модулей уровня ядра на безопасность операционной системы" и AVA_CCA_EXT.1 "Анализ скрытых каналов".
В целях обеспечения условий безопасного функционирования ОС в настоящем ПЗ определены цели и требования для среды функционирования ОС.