Criterii de determinare a securității sistemelor informatice

Criteriile pentru determinarea securității sistemelor informatice ( ing.  Trusted Computer System Evaluation Criteria ) este un standard al Departamentului de Apărare al SUA care stabilește condițiile de bază pentru evaluarea eficienței instrumentelor de securitate informatică conținute într-un sistem informatic. Criteriile sunt utilizate pentru a defini, clasifica și selecta sistemele informatice pentru procesarea, stocarea și preluarea informațiilor sensibile sau sensibile.

Denumite adesea Cartea portocalie , criteriile sunt esențiale pentru publicațiile DoD „Seria Curcubeu” . Lansat inițial de Centrul Național de Securitate a Calculatoarelor  , o divizie a Agenției Naționale de Securitate, în 1983 și apoi actualizat în 1985 .

Analogul Cărții Orange este standardul internațional ISO/IEC 15408 , publicat în 2005. Acesta este un standard mai universal și mai avansat, dar contrar concepției greșite populare, nu a înlocuit Cartea portocalie din cauza diferitelor jurisdicții ale documentelor - Cartea portocalie este folosită exclusiv de Departamentul Apărării al SUA , în timp ce ISO/IEC 15408 a fost ratificat . de multe țări, inclusiv Rusia.

Informații de bază

Criteriile de evaluare a sistemelor informatice de încredere ale Departamentului  de Apărare , TCSEC , DoD 5200.28 -STD, 26 decembrie 1985, mai bine cunoscută sub numele de „ Cartea portocalie” ) datorită culorii copertei.   

Acest standard a primit recunoaștere internațională și a avut o influență excepțional de puternică asupra evoluțiilor ulterioare în domeniul securității informațiilor (IS).

Acest standard se referă la standardele de evaluare (clasificarea sistemelor informaționale și a instrumentelor de securitate ) și nu este vorba despre sisteme sigure, ci despre sisteme de încredere .

Nu există sisteme absolute (inclusiv cele sigure) în viața noastră. Prin urmare, s-a propus să se evalueze doar gradul de încredere care poate fi acordat unui anumit sistem.

Standardul conține baza conceptuală a securității informațiilor ( sistem securizat, sistem de încredere , politică de securitate , nivel de asigurare , responsabilitate , bază de calcul de încredere , monitorizare apel , nucleu de securitate , perimetru de securitate ).

Securitatea și încrederea sunt evaluate în acest standard în ceea ce privește controlul accesului la informații, care este un mijloc de asigurare a confidențialității și integrității .

O întreagă „ Seria Curcubeu ” a urmat „Cartea portocalie” . Cea mai semnificativă a fost interpretarea „Cartei portocalii” pentru configurațiile de rețea ( Centrul Național de Securitate a Calculatoarelor engleze  . Trusted Network Interpretation , NCSC-TG-005, 1987), unde prima parte interpretează „Cartea Portocalie”, iar a doua parte descrie securitatea serviciilor specifice configurațiilor de rețea.

Scopuri și mijloace principale

Politici

Politicile de securitate ar trebui să fie detaliate, clar definite și obligatorii pentru un sistem informatic. Există două politici principale de securitate:

• Politica de securitate obligatorie - reguli obligatorii de control al accesului bazate direct pe permisiunea individuală, permisiunea de a accesa informațiile și nivelul de confidențialitate al informațiilor solicitate. Alți factori indirecti sunt semnificativi și de mediu. Această politică trebuie, de asemenea, să fie strâns aliniată cu legea, politica principală și alte linii directoare importante care stabilesc regulile.
  • Etichetare - Sistemele concepute pentru o politică de securitate obligatorie obligatorie trebuie să furnizeze și să păstreze integritatea jetoanelor de control al accesului și, de asemenea, să stocheze jetoanele dacă obiectul este mutat.
• Politica de securitate discreționară – oferă un set consistent de reguli pentru a controla și restricționa accesul pe baza identificării acelor utilizatori care intenționează să primească doar informațiile de care au nevoie.

Responsabilitate

Responsabilitatea individuală, indiferent de politică, ar trebui să fie obligatorie. Există trei cerințe de răspundere:

• Autentificarea  este procesul folosit pentru a recunoaște un utilizator individual.
• Autorizare  - verificarea permisiunii unui utilizator individual de a obține informații de un anumit tip.
• Audit - Informațiile controlate ar trebui să fie stocate selectiv și protejate în măsura în care este necesar pentru a urmări activitățile utilizatorului autentificat care afectează securitatea.

Garanții

Sistemul informatic trebuie să conțină mecanisme hardware și/sau software care pot determina în mod independent dacă este asigurată suficientă asigurare că sistemul respectă cerințele de mai sus. În plus, asigurarea trebuie să includă asigurarea că partea securizată a sistemului funcționează numai așa cum este prevăzut. Pentru atingerea acestor obiective sunt necesare două tipuri de garanții și elementele corespunzătoare acestora:

• Mecanisme de salvgardare
  • Asigurarea operațională este asigurarea că implementarea sistemului proiectat asigură implementarea strategiei de protecție a sistemului adoptată. Acestea includ arhitectura sistemului, integritatea sistemului, analiza canalului secret, gestionarea securizată a capacității și recuperarea securizată.
  • Asigurarea ciclului de viață este asigurarea că sistemul este proiectat și întreținut în conformitate cu criterii de performanță formalizate și strict controlate. Aceasta include testarea securității, rezumatul și verificarea de proiectare, gestionarea configurației și conformitatea sistemului.
• Garanțiile de protecție continuă sunt mecanisme de încredere care asigură protecția continuă a mijloacelor fixe împotriva modificărilor penale și/sau neautorizate.

Documentație

Fiecare clasă are un set suplimentar de documente care se adresează dezvoltatorilor, utilizatorilor și administratorilor de sistem în conformitate cu autoritatea lor. Această documentație conține:

• Ghidul utilizatorului pentru funcțiile de securitate.
• Un ghid pentru condiții de muncă sigure.
• Documentația de testare.
• Documentatia proiectului

Concepte de bază

Sistem securizat

Este un sistem care controlează accesul la informații astfel încât numai persoanele sau procesele autorizate care acționează în numele lor sunt autorizate să lucreze cu informațiile.

Sistem de încredere

Un sistem de încredere în standard este înțeles ca un sistem care utilizează hardware și software pentru a asigura prelucrarea simultană a informațiilor de diferite categorii de secretizare de către un grup de utilizatori fără a încălca drepturile de acces.

Politica de securitate

Este un set de legi, reguli, proceduri și coduri de conduită care guvernează modul în care o organizație procesează, protejează și distribuie informațiile. Mai mult, politica de securitate se referă la metode de protecție activă, deoarece ține cont de analiza posibilelor amenințări și de alegerea contramăsurilor adecvate.

Nivel de garanție

Implică o măsură de încredere care poate fi acordată arhitecturii și implementării unui sistem informațional și arată cât de corecte sunt mecanismele responsabile de implementarea politicii de securitate (aspectul pasiv al protecției).

Responsabilitate

Grupul de responsabilitate ar trebui să includă următoarele cerințe:

• 1) Identificare și autentificare. Toți subiecții trebuie să aibă identificatori unici. Controlul accesului trebuie efectuat pe baza rezultatelor identificării subiectului și obiectului accesului, confirmării autenticității identificatorilor acestora (autentificare) și regulilor de control al accesului. Datele utilizate pentru identificare și autentificare trebuie protejate împotriva accesului, modificării și distrugerii neautorizate și trebuie asociate cu toate componentele active ale sistemului informatic, a căror funcționare este critică din punct de vedere al securității.
• 2) Înregistrare și contabilitate. Pentru a determina gradul de responsabilitate al utilizatorilor pentru acțiunile din sistem, toate evenimentele care au loc în acesta și care sunt importante din punct de vedere al securității trebuie urmărite și înregistrate într-un protocol securizat (adică trebuie să existe un obiect de sistem informatic, fluxuri din care şi către care sunt disponibile numai subiectului administraţiei) . Sistemul de înregistrare ar trebui să analizeze fluxul general al evenimentelor și să selecteze din acesta doar acele evenimente care au impact asupra securității pentru a reduce volumul protocolului și a crește eficiența analizei acestuia. Jurnalul de evenimente trebuie protejat în mod fiabil împotriva accesului, modificării și distrugerii neautorizate.

Baza de calcul de încredere

Acesta este un set de mecanisme de protecție ale unui sistem informatic (atât software, cât și hardware) care implementează o politică de securitate.

Call Monitor

Controlul asupra efectuării de către subiecți (utilizatori) a anumitor operațiuni asupra obiectelor prin verificarea admisibilității accesului (a unui utilizator dat) la programe și date printr-un set permis de acțiuni.

Calități obligatorii pentru un monitor de apel:

1. Izolarea (netrasabilitatea muncii).
2. Completitudine (imposibilitatea de a ocoli).
3. Verificabilitate (capacitate de analiză și testare).

Core de securitate

O implementare concretă a unui monitor de apel care este garantat a fi imuabil.

Perimetrul de securitate

Aceasta este limita bazei de calcul de încredere.

Mecanisme de implementare a securității

Controlul accesului arbitrar

În caz contrar, control acces voluntar.

Controlul accesului voluntar  este o metodă de restricționare a accesului la obiecte pe baza identității subiectului sau a grupului căruia îi aparține subiectul. Gestiunea voluntară este aceea că o persoană (de obicei proprietarul obiectului) poate, la propria discreție, să acorde altor subiecți sau să le îndepărteze drepturi de acces la obiect.

Majoritatea sistemelor de operare și DBMS implementează controlul accesului voluntar. Principalul său avantaj este flexibilitatea, principalele dezavantaje sunt dispersarea managementului și complexitatea controlului centralizat, precum și izolarea drepturilor de acces de date, ceea ce permite copierea informațiilor secrete în fișiere publice sau fișiere secrete în directoare neprotejate.

Securitatea reutilizarii obiectelor

Securitatea reutilizarii obiectelor este un plus important pentru controlul accesului în practică, protejând împotriva extragerii accidentale sau deliberate de informații secrete din „gunoi”. Securitatea reutilizarii trebuie garantata pentru zonele memoriei principale (in special, pentru bufferele cu imagini de ecran, parole decriptate etc.), pentru blocurile de disc si mediile magnetice in general. Este important să acordați atenție următorului punct. Deoarece informațiile despre subiecte sunt și ele un obiect, trebuie să aveți grijă de securitatea „reutilizării subiecților”. Când un utilizator părăsește organizația, nu numai că ar trebui să îi împiedicați să se conecteze, ci și să îi refuzați accesul la toate obiectele. În caz contrar, noul angajat poate obține identificatorul utilizat anterior și, odată cu acesta, toate drepturile predecesorului său.

Perifericele inteligente de astăzi fac mai dificilă asigurarea reutilizarii obiectelor. Într-adevăr, imprimanta poate stoca mai multe pagini ale unui document care vor rămâne în memorie chiar și după finalizarea tipăririi. Este necesar să se ia măsuri speciale pentru a-i „împinge” de acolo.

Etichete de securitate

Sunt furnizate etichete pentru subiecte (grad de încredere) și obiecte (grad de confidențialitate a informațiilor). Etichetele de securitate conțin date despre nivelul de securitate și categoria căreia îi aparțin datele. Potrivit Orange Book, etichetele de securitate sunt formate din două părți - un nivel de securitate și o listă de categorii. Nivelurile de securitate suportate de sistem formează un set ordonat, care ar putea arăta astfel, de exemplu:

• strict secret;
• secret;
• confidenţial;
• nu secret.

Pentru diferite sisteme, setul de niveluri de securitate poate varia. Categoriile formează un set neordonat. Scopul lor este de a descrie domeniul căreia îi aparțin datele. Într-un mediu militar, fiecare categorie poate corespunde, de exemplu, unui anumit tip de armă. Mecanismul categoriei vă permite să împărțiți informațiile în compartimente, ceea ce contribuie la o mai bună securitate. Subiectul nu poate accesa categorii „străine”, chiar dacă nivelul de securitate al acestora este „secret”. Un specialist în tancuri nu va recunoaște datele tactice și tehnice ale aeronavei.

Principala problemă care trebuie rezolvată în legătură cu etichetele este asigurarea integrității acestora. În primul rând, nu trebuie să existe subiecte și obiecte neetichetate, altfel vor exista găuri ușor de exploatat în securitatea etichetată. În al doilea rând, pentru orice operațiuni cu datele, etichetele trebuie să rămână corecte. Acest lucru se aplică în special exportului și importului de date. De exemplu, un document tipărit ar trebui să se deschidă cu un antet care conține o reprezentare textuală și/sau grafică a etichetei de securitate. În mod similar, la transferul unui fișier printr-un canal de comunicație, trebuie transmisă și eticheta asociată acestuia, și în așa fel încât sistemul de la distanță să-l poată analiza, în ciuda posibilelor diferențe de niveluri de secretizare și un set de categorii.

Unul dintre mijloacele de asigurare a integrității etichetelor de securitate este împărțirea dispozitivelor în dispozitive cu mai multe niveluri și cu un singur nivel. Dispozitivele pe mai multe niveluri pot stoca informații cu diferite niveluri de secretizare (mai precis, situate într-o anumită gamă de niveluri). Un dispozitiv cu un singur nivel poate fi considerat ca un caz degenerat al unui dispozitiv cu mai multe niveluri, atunci când intervalul permis constă dintr-un singur nivel. Cunoscând nivelul dispozitivului, sistemul poate decide dacă este permis să scrie informații pe acesta cu o anumită etichetă. De exemplu, o încercare de a tipări informații secrete pe o imprimantă publică cu un nivel „non-secret” va eșua.

Controlul de acces forțat

Controlul forțat al accesului se bazează pe potrivirea etichetelor de securitate subiect și obiect. Un subiect poate citi informații de la un obiect dacă nivelul de securitate al subiectului este cel puțin la fel de ridicat ca cel al obiectului și toate categoriile enumerate în eticheta de securitate a obiectului sunt prezente în eticheta subiectului. Într-un astfel de caz, se spune că eticheta subiectului domină eticheta obiectului. Un subiect poate scrie informații la un obiect dacă eticheta de securitate a obiectului domină eticheta de securitate a subiectului. În special, un subiect „confidențial” poate scrie în fișiere secrete, dar nu și în cele nesecrete (desigur, trebuie îndeplinite și restricțiile privind setul de categorii). La prima vedere, această restricție poate părea ciudată, dar este destul de rezonabilă. Sub nicio operațiune, nivelul de secretizare a informațiilor nu ar trebui să fie scăzut, deși procesul invers este destul de posibil.

Metoda descrisă de control al accesului se numește forțat, deoarece nu depinde de voința subiecților, în locul cărora se pot afla chiar și administratorii de sistem. După ce sunt fixate etichetele de securitate ale subiectelor și obiectelor, se fixează și drepturile de acces. În ceea ce privește controlul coercitiv, este imposibilă exprimarea propoziției „Permiteți accesul la obiectul X și pentru utilizatorul Y”. Desigur, puteți schimba eticheta de securitate a utilizatorului Y, dar atunci cel mai probabil va avea acces la multe obiecte suplimentare, și nu doar X.

Controlul forțat al accesului este implementat în multe variante de sisteme de operare și DBMS, care se disting prin măsuri de securitate îmbunătățite. În special, astfel de opțiuni există pentru SunOS și Ingres DBMS. Indiferent de utilizare practică, principiile controlului forțat reprezintă o bază metodologică convenabilă pentru clasificarea inițială a informațiilor și distribuirea drepturilor de acces. Este mai convenabil să te gândești în termeni de niveluri și categorii de securitate decât să completezi o matrice de acces nestructurată. Cu toate acestea, în viața reală, controlul accesului voluntar și forțat sunt combinate în cadrul aceluiași sistem, ceea ce vă permite să utilizați punctele forte ale ambelor abordări.

Secțiuni și clase

Criteriile sunt împărțite în 4 secțiuni: D, C, B și A, dintre care secțiunea A este cea mai sigură.Fiecare diviziune reprezintă o diferență semnificativă de încredere pentru utilizatorii individuali sau organizații. Secțiunile C, B și A sunt organizate ierarhic într-o serie de subsecțiuni numite clase: C1, C2, B1, B2, B3 și A1. Fiecare secțiune și clasă extinde sau completează cerințele specificate în secțiunea sau clasă precedentă.

D - Protectie minima

Sisteme pentru care securitatea a fost evaluată, dar sa constatat că nu îndeplinesc cerințele secțiunilor superioare.

C - Protecție discreționară

• C1 - Securitate discreționară.
  • Separarea utilizatorilor și a datelor
  • Controlul discreționar al accesului , care permite aplicarea restricțiilor de acces la nivel individual.
• C2 - Controlul accesului
  • Controlul accesului discreționar mai clar definit.
  • Conturi individuale, a căror intrare este posibilă prin procedura de autorizare.
  • Jurnal de control al accesului la sistem.
  • Izolarea resurselor.

B - Protecție obligatorie

• B1 - Protecție meta-securitate
  • Controlul accesului obligatoriu la subiectele și obiectele selectate.
  • Toate deficiențele identificate trebuie eliminate sau înlăturate într-un alt mod.
  • Marcarea datelor
• B2 - Apărare structurată
  • Un model de reguli de securitate bine definit și documentat.
  • Aplicarea controlului de acces discreționar și obligatoriu avansat la toate obiectele și subiectele.
  • Canale de stocare ascunse.
• B3 - Domenii de securitate
  • Conformitatea cu monitorizarea cazului .
  • Structurare pentru a exclude codul care nu îndeplinește cerințele unei politici de securitate obligatorii.
  • Suport administrator de securitate.
  • Un exemplu de astfel de sistem este XTS-300 , predecesorul XTS-400 .

A - Apărare dovedită

• A1 - Design dovedit.
  • Funcțional identic cu B3.
  • Design formalizat și tehnici dovedite, inclusiv specificații de nivel înalt.
  • Proceduri formalizate de management și distribuție.
  • Un exemplu de astfel de sistem este SCOMP , predecesorul XTS-400.
• Deasupra A1
  • O arhitectură de sistem care demonstrează că cerințele de autoprotecție și utilitate pentru monitoarele de referință au fost îndeplinite în conformitate cu „Secure Computing Base” (o colecție de software și hardware necesare pentru o politică de securitate obligatorie în sistemele de operare orientate spre securitate).

Clasele de securitate

Criteriile au introdus pentru prima dată patru niveluri de încredere - D, C, B și A, care sunt împărțite în clase. Există doar șase clase de securitate - C1, C2, B1, B2, B3, A1 (enumerate în ordinea cerințelor de înăsprire).

Nivelul D

Acest nivel este destinat sistemelor care sunt considerate nesatisfăcătoare.

Nivel C

În caz contrar, controlul accesului arbitrar.