Требования к гарантированности

Операционная гарантированность:

Архитектура системы:

Класс C1 - надежная вычислительная база должны поддерживать область для

собственного выполнения, защищенную от внешних воздействий (в частности, от

изменения команд и/или данных) и от попыток слежения за ходом работы. Ресурсы,

контролируемые базой, могут составлять определенное подмножество всех субъектов и

объектов системы.

Класс C2 - в дополнение к C1, надежная вычислительная база должна изолировать

защищаемые ресурсы в той мере, как это диктуется требованиями контроля доступа и

подотчетности.

Класс B1 - в дополнение к C2, надежная вычислительная база должна

обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.

Класс B2 - в дополнение к B1, надежная вычислительная база должна быть

внутренне структурирована на хорошо определенные, относительно независимые модули.

Надежная вычислительная база должна эффективно использовать имеющееся

оборудование для отделения элементов, критически важных с точки зрения защиты, от

прочих компонентов системы. Модули базы должны проектироваться с учетом принципа

минимизации привилегий. Для защиты логически раздельных хранимых объектов должны

использоваться аппаратные средства, такие как сегментация. Должен быть полностью

определен пользовательский интерфейс к надежной вычислительной базе и все элементы

базы.

Класс B3 - в дополнение к B2, надежная вычислительная база должна быть

спроектирована и структурирована таким образом, чтобы использовать полный и

концептуально простой защитный механизм с точно определенной семантикой. Этот

механизм должен играть центральную роль во внутренней структуризации надежной

вычислительной базы и всей системы. База должна активно использовать разделение по

уровням, абстракцию и инкапсуляцию данных. Значительные инженерные усилия должны

быть направлены на уменьшение сложности надежной вычислительной базы и на

вынесение из нее модулей, не являющихся критически важными с точки зрения защиты.

Целостность системы:

Класс C1 - должны быть в наличии аппаратные и/или программные средства,

позволяющие периодически проверять корректность функционирования аппаратных и

микропрограммных компонентов надежной вычислительной базы.

Анализ тайных каналов передачи информации:

Класс B2 - системный архитектор должен тщательно проанализировать

возможности по организации тайных каналов с памятью и оценить максимальную

пропускную способность каждого выявленного канала.

Класс B3 - в дополнение к B2, аналогичная процедура должна быть проделана для

временных каналов.

Класс A1 - в дополнение к B3, для анализа должны использоваться формальные

методы.

Надежное администрирование:

Класс B2 - система должна поддерживать разделение функций оператора и

администратора.

Класс B3 - в дополнение к B2, должна быть специфицирована роль

администратора безопасности. Получить права администратора безопасности можно

только после выполнения явных, протоколируемых действий. Не относящиеся к защите

действия администратора безопасности должны быть по возможности ограничены.

Надежное восстановление:

Класс B3 - должны существовать процедуры и/или механизмы, позволяющие

произвести восстановление после сбоя или иного нарушения работы без ослабления

защиты.

Технологическая гарантированность:

Тестирование:

Класс C1 - защитные механизмы должны быть протестированы на предмет

соответствия их поведения системной документации. Тестирование должно подтвердить,

что у неавторизованного пользователя нет очевидных способов обойти или разрушить

средства защиты надежной вычислительной базы.

Класс C2 - в дополнение к C1, тестирование должно подтвердить отсутствие

очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной

информации.

Класс B1 - в дополнение к C2, группа специалистов, полностью понимающих

конкретную реализацию надежной вычислительной базы, должна подвергнуть описание

архитектуры, исходные и объектные коды тщательному анализу и тестированию. Цель

должна состоять в выявлении всех дефектов архитектуры и реализации, позволяющих

субъекту без должной авторизации читать, изменять, удалять информацию или приводить

базу в состояние, когда она перестает обслуживать запросы других субъектов. Все

выявленные недостатки должны быть исправлены или нейтрализованы, после чего база

подвергается повторному тестированию, чтобы убедиться в отсутствии старых или новых

недостатков.

Класс B2 - в дополнение к B1, должна быть продемонстрирована относительная

устойчивость надежной вычислительной базы к попыткам проникновения.

Класс B3 - в дополнение к B2, должна быть продемонстрирована устойчивость

надежной вычислительной базы к попыткам проникновения. Не должно быть выявлено

архитектурных недостатков. Допускается выявление лишь небольшого числа исправимых

недостатков реализации. Должна существовать обоснованная уверенность, что немногие

недостатки остались невыявленными.

Класс A1 - в дополнение к B3, тестирование должно продемонстрировать, что

реализация надежной вычислительной базы соответствует формальным спецификациям

верхнего уровня.

Основу тестирования средств защиты от проникновения в систему должно

составлять ручное или иное отображение спецификаций на исходные тексты.

Верификация спецификаций архитектуры:

Класс B1 - должна существовать неформальная или формальная модель политики

безопасности, поддерживаемой надежной вычислительной базой. Модель должна

соответствовать основным посылкам политики безопасности на протяжении всего

жизненного цикла системы.

Класс B2 - в дополнение к B1, модель политики безопасности должна быть

формальной. Для надежной вычислительной базы должны существовать описательные

спецификации верхнего уровня, точно и полно определяющие интерфейс.

Класс B3 - в дополнение к B2, должны быть приведены убедительные аргументы

соответствия между спецификациями и моделью.

Класс A1 - в дополнение к B3, помимо описательных, должны быть представлены

формальные спецификации верхнего уровня, относящиеся к аппаратным и/или

микропрограммным элементам, составляющим интерфейс надежной вычислительной

базы. Комбинация формальных и неформальных методов должна подтвердить

соответствие между спецификациями и моделью. Должны использоваться современные

методы формальной спецификации и верификации систем, доступные Национальному

центру компьютерной безопасности США. Ручное или иное отображение формальных

спецификаций на исходные тексты должно подтвердить корректность реализации

надежной вычислительной базы.

Конфигурационное управление:

Класс B2 - в процессе разработки и сопровождения надежной вычислительной

базы должна использоваться система конфигурационного управления, обеспечивающая

контроль за изменениями в описательных спецификациях верхнего уровня, иных

архитектурных данных, реализационной документации, исходных текстах, работающей

версии объектного кода, тестовых данных и документации. Конфигурационное

управление должно обеспечивать соответствие друг другу всех аспектов текущей версии

надежной вычислительной базы. Должны предоставляться средства генерации новых

версий базы по исходным текстам и средства для сравнения версий, чтобы убедиться в

том, что произведены только запланированные изменения.

Класс A1 - в дополнение к B2, механизм конфигурационного управления должен

распространяться на весь жизненный цикл и все компоненты системы, имеющие

отношение к обеспечению безопасности, включая спецификации и документацию. Для

защиты эталонной копии материалов, использующихся для генерации надежной

вычислительной базы, должна использоваться комбинация физических,

административных и технических мер.

Надежное распространение:

Класс A1 - должна поддерживаться целостность соответствия между эталонными

данными, описывающими текущую версию вычислительной базы, и эталонной копией

текстов этой версии. Должны существовать процедуры, подтверждающие соответствие

между поставляемыми клиентам аппаратными и программными компонентами и

эталонной копией.