Ж. Нысамбаев, Н. С. Уалиев
кітап деген атпен белгілі. Қызғылт сары
жүктеу/скачать 1,36 Mb. Pdf көрінісі
|
Akparattik kauipsizdik zhane akparattyk korgau Nysambaev
|
кітап деген атпен белгілі. Қызғылт сары кітапқа сәйкес ақпараттық жҥйелерді бағалау ҥшін қауіпсіздіктің 4 тобы: A, B, C, D қарастырылады. Кейбір жағдайларда қауіпсіздік топтары қосымша қауіпсіздік класстарына бӛлінеді. А тобы (кепілді немесе тексерілетін қорғаныс) қауіпсіздіктің кепілді деңгейін қамтамасыз етеді. Бҧл жҥйеде іске асатын қорғау әдістері формальды әдістермен тексерілуі мҥмкін. Бҧл топта бір класс А1 ғана бар. В тобы (ӛкілдікті немесе толық қорғаныс) КЖ- толық қорғауды тҥсіндіреді. Бҧл топта қауіпсіздіктің B 1, B 2 және В 3 кластары кӛрсетіледі. В1 класы (грифтер немесе белгілер арқылы қорғау) пайдаланушының жҥйесінің бӛліктеріне қол жеткізуін анықтайтын КЖ-де қҧпиялық грифін пайдалану арқылы қамтамасыз етіледі. В2 класы (қҧрылымданған қорғау) ақпаратты қорғалған және қорғалмаған блоктарға бӛлу арқылы және оларға пайдаланушылардың қол жеткізуін бақылау арқылы қол жеткізеді. В3 класы (қауіпсіздіктің облыстары немесе домендері) КЖ-ні қоласты жҥйелерге қауіпсіздіктің әртҥрлі деңгейлерімен бӛлуді және оларға пайдаланушылардың қол жеткізуін бақылауды қарастырады. С тобы (таңдамалы қорғау) қоласты жҥйелерді таңдамалы тҥрде пайдаланушылардың оларға қол жеткізуін бақылауымен бірге ҧсынады. Бҧл топта қауіпсіздіктің С1 және С2 кластары бар. С1 класы (ақпаратты таңдамалы қорғау) КЖ-дегі пайдаланушылар мен мәліметтерді бӛлуді қарастырады. Бҧл класс КЖ-ні қорғаудың ең тӛменгі деңгейін қамтамасыз есеті. С2 класы (басқарылатын немесе бақыланатын қол жеткізу арқылы қорғау) пайдаланушылардың мәліметтерге бӛлек-бӛлек қол жеткізуі арқылы қамтамасыз етіледі. 139 D тобын (минималь қауіпсіздік тобын) қауіпсіздікке тексерілген КЖ-лер қҧрайды, бірақ олар А, В немесе С кластарына жатпауы тиіс. АҚШ қорғаныс министрлігінде есептеу желілеріндегі ақпаратты қорғауды ҧйымдастыру «The Trasted Network Interpretation of Department of Defence Trusted Computer System Evaluation Guidelines» нҧсқауларындағы талаптарға сәйкес жҥргізіледі. Бҧл қҧжат қызыл кітап (бҧрынғы сияқты – мҧқабаның тҥріне сай) деп аталады. Осы сияқты қорғаныс стандарттары басқа да дамыған елдерде жасалған. Мысалы 1991 жылы Франция, Германия, Андерланды және Ҧлыбритания қауіпсіздіктің Е0- дан Е6- ға дейінгі 7 класы қарастырылған келістірілген «Еуропалық критерийлер» деп аталатын стандарттарды қабылдады. Ресей Федерациясында осы сияқты стандарт 1992 жылы РФ президенті жағындағы Мемлекеттік техникалық коммисиясында (МТК) жасалды. Бҧл стандарт МТК-ның «Есептеу техникасымен автоматтандырылған жҥйелерді ақпаратқа СҚС-дан қорғау қҧралдарының концепциясы» деген басшылыққа алатын қҧжат[14]. Есептеу техникасының қҧралдарын (ЕТҚ) ақпаратқа СҚЖ-ден қорғалуының 7 класы қҧрылды. Ең тӛменгі класс – 7ші, ең жоғарғы бірінші. Кластар қорғаудың салалық деңгейі бойынша ажыратылатын 4 топқа бӛлінеді: бірінші топ тек 7-ші класты қамтиды; екінші топ дискрециялық қорғаныспен сипатталады және 6-шы, 5-ші кластарды қамтиды. ҥшінші топ мандаттық қорғаныспен сипатталады және тӛртінші, ҥшінші, және екінші кластарды қамтиды; тӛртінші топ верификацияланған қорғаныспен сипатталады және тек бірінші класты қамтиды. 2-кесте. ЕТҚ-ның кластар бойынша қорғалғандығының кӛрсеткіштері Кӛрсеткіштің аты Қорғалғандық класы 6 5 4 3 2 1 1. Енуді бақылаудың дикрециялық принципі + + + = + = 2. Енуді бақылаудың мандаттық принципі - - + = = = 3. Жадты тазалау - + + + = = 4. Модульдерді изоляциялау - - + = + = 5. Қҧжаттарды таңбалау - - + = = = 6. Ақпараттың адаланатын физикалық тасымалдаушыларға енуі мен шығуын қорғау - - + = = = 7. Пайдаланушы мен қҧрылғыны салыстыру - - + = = 8. Идентификация мен аудентификация + = + = = = 140 9. Жобалауды кепілдеу - + + + + + 10. Тіркеу - + + + = = 11. Пайдаланушының КҚЖ-менӛзара әрекеттесуі - - - + = = 12. Сенімді қайта қалпына келтіру - - - + = = 13. КҚЖ-ның сенімділігі - + + + = = 14. Модификацияны бақылау - - - - + = 15. Диструбуцияны бақылау - - - - + = 16. Архитектураның кепілдемесі - - - - + 17. Тестілеу + + + + + = 18. Пайдаланушыға жетекшілік ету + = = = = = 19. ҚҚК бойынша жетекшілік + + = + + = 20. Тестілік қҧжаттама + + + + + 21. Конструкторлық (жобалау) қҧжаттама + + + + + + Белгілеулер: «-» − класқа қойылатын талаптар жоқ; «+» − жаңа немесе қосымша талаптар; «=» − талаптар алдыңғы ЕТЖ-не қойылатын талаптармен дәл келеді; ҚҚК − қорғау қҧралдарының кешені. Жетінші класты ақпаратқа СҚЖ-ден қорғауға қойылған, бірақ ЕТЖ-ны бағалағанда алтыншы класқа қойылатын талаптар деңгейінен тӛмен болып қалғанда ЕТЖ-ге беріледі. ЕТЖ-нің жекелеген элементтерінің қорғалғандығына қойылатын талаптар- дан бӛлек, басқару қҧжатында автоматтандырылған жҥйелерге (АЖ) қойылатын талаптар,да келтірілген [14]. Автоматтандырылған жҥйелердің ЕТЖ-нен айырмашылығы − олар функционалды бағытталған болады. АЖ-лерді жасағанда пайдаланушыға арналған ақпараттың ерекшеліктері, ақпаратты ӛңдеу, сақтау мен беру ерекшеліктері, қауіптердің нақты модельдері ескеріледі. АЖ-де ақпаратқа СҚЖ-ден қорғаудың тоғыз класы орнатылады. Кластар АЖ-дегі ақпаратты ӛңдеу ерекшеліктерімен ҥш топқа бӛлінеді. Ҥшінші топ конфиденциалдықтың бір деңгейінде орналасқан АЖ-нің барлық ақпараттарына қол жеткізуге рҧсат етілген бір пайдаланушы жҧмыс істейтін АЖ-ні саралайды. Топ 3Б және 3А екі класты қамтиды. АЖ-нің барлық ақпаратына бірдей қол жеткізуге қҧқықтары бар пайдаланушылар АЖ-ге біріктірілген. Топ 2В және 2Акластарды қамтиды. Бірінші топтың ақпаратқа қол жеткізуге әртҥрлі қҧқықтары бар кӛп пайдаланушылы АЖ-нің пайдаланушылары қҧрайды. Бҧл топ 1Д, 1Г, 1Б, 1А кластарды қамтиды. АЖ-нің қорғалғандығының барлық тоғыз класына қойылатын талаптар 3-кестеге жинақталған. 3-кесте. Автоматтандырылған жҥйелердің қорғалғандығына қойылатын талаптар Ішкі жҥйелер мен талаптар Кластар 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А 141 1.Енуді басқарудың ішкі жҥйесі 1.1. Идентификация, растығын тексеру және субьектілердің жҥйеге енуін бақылау + + + + + + + + + терминалдарға, ЭЕМ-на, ЭЕМ-ның тҥйіндеріне, байланыс каналдарына, ЭЕМ-ның сыртқы қҧрылғыларына + + + + + + бадғарламаларға + + + + + + томдарға, каталогтарға,файлдарға, жазбаларға,жазбалардың ӛрістеріне + + + + + 1.2. Ақпараттар ағындарын басқару + + + + 2. Есеп және тіркеудің ішкі жҥйесі. 2.1. Тіркеу және есеп: ену субьектіле-рінің жҥйеге/жҥйеден (желінің тҥйіндеріне) енуін/шығуын + + + + + + + Жазба (графиктік) шығу қҧжаттарын беру + + + + + бағдарламаларды және процестерді (тапсырмалар мен есептерді) қосу/аяқтау + + + + + субьектілердің бағдарламаларының файлдарға, оларды жасау мен ӛшіруді қоса есептегенде, енуін,байланыс желілері мен каналдарына жіберуін + + + + + Субъектілердің бағдарламаларының терминалдарға, ЭЕМ-на, ЭЕМ-ның желілерінің тҥйіндеріне, байланыс каналдарына, ЭЕМ-ның сыртқы қҧрылғыларына, томдарға, каталогтарға, файылдарға, жазбаларға, жазбалардың ӛрістеріне + + + + + Ену субъектілерінің ӛкілдіктерін ӛзгертулерді + + + + + Ӛну объектілерінің қорғалатын, жасалатын + + + + 2.2 Ақпаратты тасымалдаушыларды есепке алу + + + + + + + 2.3 ЭЕМ-ның жадының және сыртқы жинақтағыштарының босайтын облыстарын тазалау (нӛлдеу, обезличевание) + + + + + 2.4 Қорғауды бҧзу әрекеттерін сигнализациялау + + + 3. Криптографиялық ішкі жҥйе. 3.1 конфиденциалды ақпаратты шифрлау + + + 3.2 Ену субъектілерінің әр тҥріне (субъектілердің топтарына) әр тҥрлі кілттер бойынша жататын ақпаратты шифрлау + 3.3 Аттестацияланған 142 (сертификацияланған) криптографиялық қҧралдарды пайдалану + + + 4. Бҥтіндікті қамтамасыз ететін ішкі жҥйе. 4.1 ӛнделетін ақпараттын бағдарламалық қҧралдарының бҥтіндігін қамтамасыз ету + + + + + + + 4.2 Есептеу техникасы қҧралдарын және ақпаратты тасымалдаушыларды физикалық тҥрде кҥзету + + + + + + + 4.3 АЖ-дағы ақпаратты қорғаудың администраторы (қызметі) болу + + + + 4.4 АҚЖ СҚЖ-ларды периодты тҥрде тестілеу + + + + + + + 4.5 АҚЖ СҚЖ қайта қалпына келтіру қҧралдарының болуы + + + + + + + 4.6 Қорғаудың сертификатталған қҧралдарын пайдалану + + + + Белгілеулер: «+» − берілген класқа қойылатын талаптар. АҚЖ СҚЖҚ − ақпаратты қорғау жҥйесіне санкциясыз қол жеткізуден қорғау. Мысал ҥшін қорғалғандық кластарының кӛрнекті біреуіне атап айтқанда, 1В класына қойылатын талаптарды егжей-тегжейлі тҥрде қарастырайық Автоматтандырылған АҚЖ жҥйесіндегі енуді басқару ҥшін тӛмендегілер орындалуы тиіс: жҥйеге идентификатор (код) бойынша шартты-тҧрақты әрекет ҧзындығы алтыдан кем емес әріптік-цифрлық символдардан тҧратын пароль бойынша ену кезінде субьектілердің растығын тексеру мен идентификация; терминалдарды, ЭЕМ-ын, ЭЕМ-ның желілерінің тҥйіндерін, байла- ныс каналдарын, ЭЕМ-ның сыртқы қҧрылғыларының логикалық аттары/немесе адрестері бойынша аудентификация; бағдарламаларды, томдарды, каталогтарды, файлдарды, жазбаларды, жазба ӛрістерін аттары бойынша идентификациялау; субьектілердің қорғалған ресурстарға енуін ену матрицасына сәйкес бақылау; конфиденциалдық белгілері кӛмегімен ақпарат ағындарын басқару, бҧл кезде жинақтағыштардың конфиденциалдығы оған деңгейі жазылайтын ақпараттың конфиденциалдығының деңгейінен тӛмен болмауы тиіс. Тіркеу және есепке алудың ішкі жҥйесі тӛмендегілерді қамтамасыз етулері қажет: ену субьектілерінң жҥйеге/жҥйеден енуін/шығуын тіркеу, немесе жҥктелу мен операциялық жҥйенің инициализациясын және оның бағдарламалық тоқтауын тіркеу; баспа (графиктік) қҧжаттарды «қатты» кӛшірмеге беруді тіркеу; 143 бағдарламалық қҧралдардың келесі қосымша қорғалатын обьек- тілерге: терминалдарға, ЭЕМ-на, ЭЕМ желісінің тҥйіндеріне, байланыс желілеріне (каналдарына) , ЭЕМ-ның сыртқы қҧрылғы- ларына, бағдарламаларға, томдарға, каталогтарға, жазбаларға, жазбалардың ӛрістеріне ену әрекеттерін тіркеу; ену субьектілерінің ӛкілдіктерінің және ену обьектілерінің статус- тарының ӛзгерістерін тіркеу; қорғалуға тиісті жасалатын файлдарды оларды енуді басқарудың ішкі жҥйесінде пайдаланатын қосымша белгілеулер кӛмегімен автоматты тҥрде есепке алу маркировка обьектісінің конфиден- циалдық деңгейін бейнелеуі тиіс; барлық қорғалатын ақпаратты тасымалдаушыларды кезкелген марки- ровка кӛмегімен есепке алу; ЭЕМ-ның оперативтік жады мен сыртқы жинақтауыштарының босайтын облыстарын тазалау (нӛлдеу,тҥрін жоғалту). Тазалау 1 мен 0-ден тҧратын тізбекті қорғалатын ақпаратты сақтауға пайдаланылатын, жадтың босайтын кезкелген облысына жазу жолымен іске асырылады; Қорғанысты бҧзу әрекеттерін сигнализациялауды ҧмытпау керек. Бҥтіндікті қамтамасыз ететін ішкі жҥйеде тӛмендегілер болуы керек: АЖҚ СҚЖ-ның бағдарламалық қҧралдарынң бҥтіндігін, сол сияқты бағдарламалық ортасының ӛзгермейтіндігін қамтамасыз ету. АЖҚ СҚЖ-ның бҥтіндігі АЖҚ компоненттерінің бақылау қосындылары бойынша жҥктеу кезінде тексеріледі, ал бағдарламалық ортаның бҥтіндігі жоғары деңгейлі тілдердің трасляторларын пайдалану мен қорғалатын ақпаратты ӛңдеу және (немесе) сақтау бағдарлама- ларының обьектілік кодының жоқтығы бойынша қамтамасыз етіледі. АЖҚ-ні (қҧрылғылар мен ақпаратты тасымалдаушыларды) кҥзету АЖ орналасқан территория мен ғимаратты арнайы персоналдың техникалық қҧралдары кӛмегімен кҥзетуді, қатаң пропуск режимін, АЖ бӛлмесінің арнайы қҧрал-жабдығын кҧзету деп тҥсіндіріледі. Іс жҥргізуге, АЖҚ СҚЖ жҧмысын жҥргізуін бақылауға жауапты ақпаратты қорғаудың администраторының (қызметінің) болуы. Администратордың ӛзінің терминалы мен АЖ-нің қауіпсіздігіне әсер ететін және бақылауға арналған қажетті қҧралдары болуы керек. АЖҚ СҚЖ-нің барлық функцияларын арнайы бағдарламалар арқылы жылына бір реттен кем болмайтындай периодты тҥрде тестілеу; АЖҚ СҚЖ-ін қайта қалпына келтіру қҧралдарының (АЖҚ СҚЖ қҧралдарының екі кӛшірмесін жҥргізу және оларды периодты тҥрде жаңалау мен жҧмыс істеуге қабілетін тексеру) бар болуы; Қорғаудың сертификатталған қҧралдарын пайдалану. Ҧсынылған тізім қорғалатын ақпараттың конфиденциалдығын қамтамасыз етуге қажетті талаптардың минимумы болып есептеледі. 144 TCSEC стандартының талаптары жалпы тҥрде пайдаланылатын (main frame) мини ЭЕМ-ларын, дербес ЭЕМ-лары (ДЭЕМ) мен жергілікті желілерді пайдалануға сәйкес келеді. ДЭЕМ-дер ҥшін қаyіпсіздік талаптары басқаша болуы керек. Мҧндай талаптар The Trusted Network Interpretation of Department of Defence Trusted Computer Sistem Evaluation Guidelines Guidelines атты Қызыл кітап деген атқа ие болған стандартта берілген [42]. Қызғылт сары және Қызыл кітап деген ресми емес аттар осы қҧжаттардың мҧқабаларының тҥстеріне сәйкес берілген. жүктеу/скачать 1,36 Mb. Достарыңызбен бөлісу:
|