Затверджую
Вид материала | Документы |
- Затверджую затверджую голова Кримського Голова Державної податкової Республіканського, 117.84kb.
- “Затверджую”, 639.38kb.
- Юрія Федьковича «затверджую», 585.95kb.
- Володимира Даля "затверджую", 183.23kb.
- Затверджую: Проректор з навчальної роботи, 59.36kb.
- «Затверджую», 21.74kb.
- Юрія Федьковича " затверджую, 825.92kb.
- Юрія Федьковича " затверджую, 245.34kb.
- Юрія Федьковича " затверджую, 501.24kb.
- Затверджую прийнятий на засіданні, 1283.44kb.
6 Специфікація ОБ'ЄКТа ЕКСПЕРТИЗИ щодо реалізації вимог безпеки
6.1 Сервіси безпеки об’єкта експертизи
Специфікація ОЕ передбачає визначення в межах сервісів безпеки функцій безпеки ОЕ, які співставляються з визначеними для ОЕ елементами функціональних вимог безпеки (підрозділ 2.6).
Кожна функція безпеки в ТВ унікально ідентифікується кодом, який має наступну структуру:
ХХХ– | Н | |
| | | | |
| | ------ | Порядковий номер функції безпеки в сервісі |
-------- | -------------- | Позначення сервісу безпеки згідно з табл. 1 (підрозділ 2.6) |
Відповідно до визначеного рівня Г2 гарантій безпеки ОЕ оцінка реалізації функцій безпеки здійснюється експертом шляхом вивчення їх описів у вигляді неформальних специфікацій Розробника та тестування, яке передбачає демонстрацію функціонування функцій безпеки та можливостей керування ними.
Специфікації сервісів безпеки містять описи функцій безпеки, які посилаються на наступні елементи криптографічного захисту інформації:
- шифрування файлової системи в EFS (ЗДК-4.2);
- захист інформації, яка передається через незахищене середовище, із застосуванням протоколів IPSec та SSL/TLS (ЗОД-1 – ЗОД-15);
- хешування та шифрування паролів користувачів, які зберігаються в базі даних атрибутів користувачів SAM (ІА-4);
- хешування та шифрування автентифікаційних даних користувачів при мережному вході в систему (ІА-3, ІА-7).
Визначені вимоги безпеки ОЕ (розд. 5) не передбачають проведення оцінки стійкості та доказів коректності реалізації криптографічних механізмів. Така оцінка має бути здійснена в межах окремої державної експертизи в сфері криптографічного захисту інформації [4].
6.1.1 Сервіс „Захист даних користувача”
6.1.1.1 Опис сервісу
Сервіс забезпечує захист даних користувачів і захист від несанкціонованого ознайомлення, модифікації та повторного використання даних.
Реалізація сервісу підтримується в межах файлової системи NTFS.
Специфікація сервісу здійснюється з урахуванням вимог рівнів функціональних послуг безпеки "Базова довірча конфіденційність" (підпункт 5.2.1.1), "Повторне використання об’єктів" (підпункт 5.2.1.2), "Мінімальна довірча цілісність" (підпункт 5.2.2.1) та включає наступні логічно відокремлені функціональні компоненти:
- довірче керування доступом;
- повторне використання об’єктів;
- захист даних з використанням шифрованої файлової системи EFS.
6.1.1.1.1 Довірче керування доступом
Національному терміну „довірче керування доступом” [16], який буде застосовуватися у подальшому, відповідає термін „discretionary access control” [6].
Довірче керування доступом до об’єктів дозволяє користувачеві керувати потоками інформації від об’єктів, що належать його домену, до інших користувачів. Ця політика поширюється на усі операцій між суб’єктами та об’єктами ОЕ. Суб’єкти представлені як сукупність процесів з одним або декількома потоками, що діють від імені користувача. Об’єкт визначається як ресурс ОЕ, що знаходиться під керуванням КЗЗ, і характеризується певними атрибутами і поводженням. Список таких об’єктів наведено в табл.11.
Таблиця 11
№п.п. | Іменований об’єкт | Опис об’єкта |
| Робочий стіл (Desktop) | Основний об’єкт, що відображається графічними дисплеями |
| Подія (Event) | Об’єкт, що створюється для механізму міжпроцесної взаємодії (IPC — Interprocess Communication) |
| Пара подій (Event Pair) | Об’єкт, що створюється для механізму міжпроцесної взаємодії |
| Порт завершення I/O (I/O Completion Port) | Об’єкт, що забезпечує способи синхронізації I/O |
| Завдання (Job) | Об’єкт, що дозволяє керувати декількома процесами як одним цілим |
| Ключ реєстру (Registry Key) | Ключі реєстру — це об’єкти, що безпосередньо формує сам реєстр |
| Мютекс (Mutex) | Об’єкт, що створюється для механізму синхронізації доступу до ресурсів |
| Каталог об’єктів (Object Directory) | Каталог в просторі імен об’єктів |
| Порт LPC (LPC port) | Об’єкт механізму виклику локальних процедур |
| Поштова скринька (Mail slot) | Об’єкт введення/виведення, що забезпечує передачу повідомлень IPC через мережу |
| Іменований канал (Named pipe) | Об’єкт I/O, що використовується для забезпечення міжпроцесної взаємодії через мережу |
| Каталог NTFS (NTFS directory) | Об’єкт файлової системи NTFS |
| Файл NTFS (NTFS file) | Файл даних користувача, що контролюється NTFS |
| Принтер (Printer) | Представлення конкретної черги друку і усіх відповідних пристроїв друку |
| Каталог AD (Active Directory) | Представлення загальних ресурсів, що визначаються і підтримуються службою AD |
| Процес (Process) | Потоки, що виконуються в єдиному контексті та мають спільний адресний простір та пам'ять |
| Секція (Section) | Область пам’яті |
| Семафор (Semaphore) | Об’єкт, що створюється для механізму міжпроцесної взаємодії. |
| Символьне посилання (Symbolic link) | Об’єкт, що забезпечує альтернативне іменування в просторі імен об’єкта |
| Потік (Thread) | Потік — це контекст виконання (наприклад, набір реєстрів, стеків). Усі потоки в режимі користувача асоційовані з процесами |
| Таймер (Timer) | Механізм, що дозволяє потоку виконувати затримку виконання на вказаний час |
| Маркери (Tokens) | Дані об’єкти представляють контекст безпеки процесів або потоків |
| Том (Volume) | Один або декілька розділів, відформатованих для використання файловою системою |
| Об’єкт “Windows Station” | Контейнер для об’єктів робочого столу та пов’язаних з ними атрибутів |
Надалі визначається специфікація об'єктів та суб'єктів та їх взаємодії щодо реалізації довірчого керування доступом
6.1.1.1.1.1 Атрибути безпеки об’єктів
Для зберігання атрибутів безпеки об’єктів використовується структура даних, яка називається дескриптор безпеки (Security Descriptor). Дескриптор безпеки вміщує наступну інформацію:
- номер версії дескриптора;
- набір керуючих прапорів;
- ідентифікатор власника об’єкта (SID – Security Identifier);
- вибірковий список доступу (DACL), який містить інформацію про права доступу до захищеного об’єкта;
- системний список доступу (SACL), який визначає інформацію стосовно аудиту захищеного об’єкта.
Вибірковий список доступу об’єкта складається із записів керування доступом (ACE). Кожний запис ACE визначає:
- тип запису (дозволити/заборонити);
- прапори (успадковування, аудит успішного/неуспішного доступу);
- права доступу, що надані конкретному користувачеві або групі користувачів, у вигляді бітової маски;
- ідентифікатор безпеки користувача або групи користувачів (SID).
ACE поділяються на два типи:
- ALLOW ACCESS — ті, що дозволяють:
- ACCESS_ALLOWED_ACE - використовуються для призначення доступу користувачам або групі користувачів;
- ACCESS_ALLOWED_OBJECT_ACE - використовуються для призначення доступу користувачам або групі користувачів до окремих атрибутів об’єктів служби каталогів Active Directory, або для обмеження успадковування записів ACE для конкретних типів дочірніх об’єктів. Даний тип записів ACE підтримується тільки для об’єктів служби каталогу Active Directory;
- DENY ACCESS — ті, що забороняють:
- ACCEESS_DENIED_ACE — використовуються для встановлення заборони на доступ для користувача або групи користувачів;
- ACCESS_DENIED_OBJECT_ACE — використовуються для встановлення заборони на доступ до окремих атрибутів об’єктів служби каталогу Active Directory, або обмеження успадковування записів Active Directory для визначених типів дочірніх об’єктів, для користувача або групи користувачів.
Призначені (або заборонені) права доступу для конкретного користувача або групи користувачів визначаються за допомогою маски доступу. При надходженні запиту доступу до об'єкта маска використовується для співставлення запитуваного і призначеного доступу до об'єкта. Маска має розмір 32 біта, і кожен біт представляє конкретний тип доступу. Порядок розташування бітів в масці наведений в табл. 12. В ОЕ забезпечено три категорії типів доступу: стандартні, спеціальні та базові. Стандартні типи доступу застосовуються до всіх типів об'єктів: видалення, читання інформації про власника та атрибути доступу, запис інформації про атрибути доступу, запис інформації про власника, синхронізація. Спеціальні типи доступу в залежності від типу об'єкта приймають різне семантичне значення. Базові типи доступу застосовуються для угруповання стандартних і спеціальних типів доступу і визначають такі права: читання, запис, виконання, всі. Кожен тип об'єктів забезпечує самостійне співставлення базових типів доступу зі стандартними і спеціальними типами доступу.
Таблиця 12
Біти | Права доступу |
31-28 | Базові права доступу |
24 | Максимально можливі права доступу |
23 | Прапор аудиту |
22-16 | Стандартні права доступу |
15-0 | Спеціальні права доступу |
6.1.1.1.1.2 Керування списками DACL
Керування довірчим доступом до об’єктів контролюється за допомогою прав на зміну вибіркових списків доступу та визначає наступні правила:
- власник об’єкта має всі права на керування списком DACL;
- користувач, якому явно призначені права в списку DACL об’єкта, може змінювати DACL;
- поточний власник може надати іншому користувачу право доступу "Зміна власника", після чого той зможе у будь-який час самостійно стати власником об'єкта шляхом виконання операції зміни власника і в подальшому використовувати право зміни списку DACL;
- адміністратор, який завжди має повноваження зміни власника об’єкта, може забрати об’єкт в своє володіння і в подальшому використовувати право зміни списку DACL.
Користувач, який може змінювати список DACL, має можливість керувати колом користувачів, які мають певні права доступу до об’єкта. Керування правами доступу до об’єкту здійснюється шляхом додавання або видалення записів в списку та встановленням відповідних прав доступу для користувачів або груп користувачів в записах.
6.1.1.1.1.3 Атрибути безпеки суб’єктів
Після успішної автентифікації в системі КЗЗ для кожного користувача створює маркер доступу, який містить набір атрибутів безпеки суб’єкту. Маркери асоціюються з кожним процесом або потоком, що виконується від імені визначеного користувача. В маркері міститься наступна інформація:
- ідентифікатор безпеки SID користувача;
- ідентифікатори безпеки SID відповідних груп, членами яких є даний користувач;
- список повноважень користувача;
- встановлений за умовчанням DACL (для об’єктів, що будуть створюватися даним користувачем);
- ідентифікатор безпеки SID власника;
- тип маркера (основний або імперсональний);
- рівень імперсонації (для імперсональних маркерів);
- ідентифікатор сеансу.
Для потоку може бути визначений маркер доступу, що використовується замість маркера батьківського процесу при виконанні процедури контролю доступу і генерації даних аудита. Як результат, потік імперсонує (представляє) суб’єкта, що надав даний вид маркера доступу. Механізм імперсонації припиняє дію в момент видалення імперсонального маркера із потоку або при завершенні потоку. У випадку існування в потоку імперсонованого маркеру контроль доступу здійснюється на його основі, у протилежному випадку - на основі первинного маркера доступу процесу, в межах якого виконується потік.
6.1.1.1.1.4 Реалізація керування доступу
В ОЕ реалізовані правила довірчого керування доступом до об'єктів, які ґрунтуються на співставленні ідентифікатора безпеки і повноважень, представлених у маркері доступу суб'єкта, що запитує доступ, з одного боку, та масці і дескриптору безпеки об'єкта, доступ до якого запитується, з другого боку.
Якщо суб’єкт робить спробу виконати яку-небудь операцію або отримати доступ до захищеного об’єкта, в ОЕ виконується перевірка і встановлюється чи є операція дозволеною для конкретного користувача (облікового запису), який характеризується ідентифікатором безпеки SID. Перед виконанням запитуваної операції монітор безпеки (SRM) здійснює перевірку (авторизацію) та аудит, взаємодіючи з диспетчером локальної автентифікації (LSA) та диспетчером об’єктів (Object Manager, OM).
Більшість об’єктів, на запит про надання права доступу, надають суб’єкту, що ініціював цей запит, покажчик на дескриптор. Для об’єктів в режимі ядра ці дескриптори представлені в таблиці дескрипторів (handle table) режиму ядра. Для кожного процесу визначена своя таблиця дескрипторів, кожний рядок якої ідентифікує відкритий об’єкт та права доступу, що були призначені для даного об’єкта. В режимі користувача, цей механізм абсолютно ідентичний механізму використання дескрипторів в режимі ядра. Для деяких об’єктів, таких як об’єкти служби каталогів, механізм дескрипторів не підтримується.
6.1.1.1.1.5 Авторизація та аудит загальносистемних операцій
Перевірка повноважень для виконання загальносистемних операцій здійснюється монітором безпеки (SRM). В якості вхідної інформації SRM використовує:
- список повноважень, що визначені для виконання загальносистемних операцій;
- маркер доступу процесу (потоку).
Процес перевірки повноважень здійснюється шляхом виконання наступних дій:
- кожне повноваження, що визначено у відповідному списку для виконання окремої загальносистемної операції, порівнюється з повноваженнями, що знаходиться в маркері доступу суб’єкта, який ініціює операцію. Якщо відповідне повноваження в маркері доступу суб’єкта:
- знайдено і воно є таким, що:
- забороняє, то право доступу відхиляється;
- дозволяє, то перевіряється наступне повноваження;
- не знайдено, то доступ також відхиляється;
- в разі, коли перевірка для всіх потрібних повноважень проходить успішно, то визначена операція виконується.
Під час перевірки SRM взаємодіє з LSA с метою генерації повідомлень аудиту.
6.1.1.1.1.6 Авторизація та аудит доступу до об’єктів
При відкритті об’єкта виконується перевірка прав доступу до об’єкта. В монітор безпеки (SRM) передається наступна інформація:
- дескриптор безпеки об’єкта;
- маркер доступу суб’єкта;
- бітова маска прав доступу, що запитуються.
Процес перевірки здійснюється шляхом виконання наступних дій:
- перевірка всіх ідентифікаторів безпеки, зазначених у маркері доступу суб’єкта, з метою визначення збігу з ідентифікатором безпеки власника об'єкта. Якщо збіг знайдений, то при необхідності можуть бути надані права доступу типу READ_CONTROL і WRITE_DAC;
- встановлюється відповідність між базовими правами, що запитуються, та стандартними і спеціальними правами (якщо необхідно);
- перевіряється наявність списку доступу (DACL) в дескрипторі безпеки об’єкта, а саме:
- якщо список DACL відсутній (null DACL) – всі права доступу до об’єкта, що запитуються, будуть надані;
- якщо список DACL присутній, але пустий (не містить ACE) – доступ до об’єкта відхиляється;
- здійснюється послідовна перевірка кожного запису ACE в порядку перебування в списку доступу (DACL). Для кожного типу доступу, що запитується, виконується пошук SID з маркера доступу в записах DACL. Якщо знайдено відповідний запис і він є таким, що забороняє, то доступ відхиляється. Інакше монітор безпеки (SRM) переходить до перевірки іншого типу доступу. Якщо відповідний запис не знайдено, з маркера доступу обирається наступний SID;
- якщо список SID із маркера доступу вичерпано та відповідний запис ACE не знайдено, доступ відхиляється;
- якщо ідентифікатори безпеки в записі АСЕ та в маркері доступу збіглися і маска доступу, представлена в АСЕ, відповідає масці запитуваного доступу, тобто результати перевірки виявились успішними для усіх дозволів, що запитуються – доступ дозволяється.
Якщо в дескрипторі безпеки об’єкта встановлено системний список доступу SACL, то в разі відмови в доступі або наданні доступу генерується повідомлення аудиту. Перевірка списку SACL виконується одразу після прийняття рішення про надання або ненадання доступу.
6.1.1.1.1.7 Встановлення захисту через успадкування прав доступу батьківського об’єкта
Суб’єкт, що створює об’єкт, як правило, визначає його розташування в ієрархії об’єктів ОЕ. Об’єкт, який містить в собі інші об’єкти, є батьківським по відношенню до цих об’єктів, а новий створюваний об’єкт визначається як дочірній в батьківському контейнері.
Успадковування полягає в тому, що за умовчанням створений (або скопійований) об’єкт успадковує права доступу (DACL, а також і SACL) від батьківського контейнеру. Для цього в дескрипторі безпеки батьківського об’єкта повинен бути встановлений керуючий прапор SE_DACL_PROTECTED, як ознака успадкування його прав доступу. При діючому механізмі успадкування допускається додавати записи ACE до списку DACL дочірнього об’єкту, але забороняється їхнє видалення. При змінюванні прав доступу або їх скасуванні в батьківському об’єкті, здійснені зміни застосовуються до всіх дочірніх файлів та вкладених папок, що успадковують ці права доступу.
6.1.1.1.1.8 Встановлення захисту через надання об’єкту прав доступу при його створенні
В ОЕ забезпечується призначення списку доступу кожного захищеного об’єкта в момент його створення. Для побудови списку може бути використаний один із наступних методів:
- якщо при створенні об’єкта явно вказується дескриптор безпеки (як частина запиту на створення), список DACL формується на основі наданого дескриптора безпеки;
- якщо запит на створення об’єкта не містить дескриптор безпеки, список DACL формується на основі списку DACL батьківського об’єкта, але тільки в тому випадку, коли представлені в ньому записи ACE містять відповідні атрибути успадкування, котрі вказують на те, що область їх застосування розповсюджується на всі дочірні, по відношенню до даного, об’єкти;
- якщо батьківський об’єкт відсутній, список DACL встановлюється за умовчанням на основі списку DACL в маркері доступу суб’єкта.
6.1.1.1.1.9 Збереження та зміна атрибутів доступу при копіювання та переміщенні об’єктів
При встановленні прав доступу до об’єктів при їх копіюванні або переміщенні в ОЕ використовуються наступні правила:
- якщо об’єкт копіюється в межах одного NTFS тому або на інший NTFS том, новий скопійований об’єкт успадковує права доступу папки, що одержує цей об’єкт. Суб’єкт, який здійснює копіювання, стає власником об’єкта-копії;
- якщо об’єкт переміщується в межах одного тому NTFS, то об’єкт зберігає свої початкові права доступу;
- якщо об’єкт переміщується з NTFS або FAT тому на інший NTFS том, то об’єкт успадковує права доступу папки, що одержує цей об’єкт. Суб’єкт, який здійснює переміщення, стає власником об’єкта-копії;
- якщо об’єкт переміщується або копіюється з тому NTFS на FAT том, об’єкт втрачає всі права доступу.
6.1.1.1.2 Повторне використання об’єктів
У якості об'єктів, що підлягають повторному використання, в ОЕ визначаються компоненти пам'яті, які зберігають дані користувача у процесі їх використання.
Безпечне повторне використання об’єктів при реалізації довірчого керування доступом забезпечується логікою роботи механізму довірчого керування (підпункт 6.1.1.1.1.4), яка виключає отримання наступним користувачем прав доступу до об’єкта, які були надані попередньому користувачу.
Механізм керування пам’яттю реалізує взаємну ізоляцію адресного простору процесів і очищення пам’яті після її звільнення. Забезпечення ізоляції адресного простору процесів реалізується шляхом виділення для кожного процесу окремої директорії сторінок фізичної пам’яті та неможливістю прямої зміни процесом цієї директорії та інших структур керування пам’яттю.
Обнуління сторінок пам’яті при їхньому звільненні забезпечується потоком обнуління сторінок, який переводить очищенні сторінки в список, з якого потім проводиться їхнє видалення. Такий механізм гарантує обнуління звільненої пам’яті в визначений проміжок часу (цей проміжок залежить від завантаження системи), навіть у випадку відсутності запитів на виділення пам’яті.
Очищення пам’яті забезпечується вибіркою доступних сторінок пам’яті із списку очищених сторінок, а не із усієї множини.
Віртуальна пам'ять використовує системний файл підкачки для витіснення на диск сторінок пам'яті, що не використовуються. Цей файл підкачки відкривається виключно ОС і надійно захищений. В локальній політиці безпеки може бути визначений параметр, який забезпечує очищення файлу підкачки віртуальної пам'яті кожного разу при завершенні роботи системи.
Об’єкти, що зберігаються на диску, мають право використовувати лише той дисковий простір, що необхідний для їхнього виконання. Механізм використання покажчиків (Read/Write) запобігає читання інформації за межами області, що використовується об’єктом.
6.1.1.1.3 Захист даних з використанням шифрованої файлової системи EFS
Шифрована файлова система (Encrypting File System, EFS), яка реалізована в ОЕ, захищає конфіденційні дані в файлах на томах NTFS. Захист даних, що знаходяться на жорсткому диску, реалізується шляхом їх шифрування, тобто перетворення інформації із звичайного читабельного вигляду до „нечитабельного” зашифрованого.
EFS базується на технології шифрування з відкритим ключем та використовує архітектуру CryptoAPI. EFS використовує пару ключів шифрування та сертифікат користувача для здійснення шифрування/розшифрування, а в разі їх відсутності сертифікат і ключі створюються автоматично.
Перед тим, як розпочати процес шифрування файла, EFS створює випадкове число, що визначається як ключ шифрування файла (File Encryption Key – FEK). Шифрована файлова система шифрує файл за допомогою створеного ключа. Сам ключ, зашифрований відкритим ключем з сертифікату користувача, зберігається в полі DDF (data description field) заголовку файла. Кількість полів DDF відповідає кількості користувачів, визначених як власники сертифікатів, що мають право розшифровувати файл. Сертифікати записуються в локальному реєстрі при кожному локальному вході користувача. Сертифікати зберігаються на сервері в разі визначення профілю користувача таким, що "переміщується". Таки сертифікати „слідують” за користувачем при його вході в систему з будь-якого комп’ютера в мережі.
Зручність використання шифрованої файлової системи для користувача полягає в виконанні шифрування файлу або папки після звичайного встановлення атрибута шифрування об’єкта. При відкритті файлу EFS автоматично розшифровує його в процесі читання даних з диску, а при записі — шифрує дані в процесі їх запису на диск. Власник об’єкта, який містить конфіденційну інформацію, сам визначає коло користувачів, які мають право ознайомлення з вмістом захищеного об’єкта. Крім того, таке право має користувач з повноваженням "Агент відновлення даних" за умови встановлення відповідної політики безпеки.
6.1.1.2 Співставлення сервісу з функціональними вимогами безпеки
Позначення функції безпеки | Опис функції безпеки | Позначення елемента вимог | Опис елемента вимог |
ЗДК–1 | В ОЕ визначена множина об’єктів, які підпорядковуються правилам політики довірчого керування доступом (підпункт 6.1.1.1.1, табл.11) | 2-КД-1.1 | Політика довірчої конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься |
1-ЦД-1.1 | Політика довірчої цілісності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься | ||
ЗДК–2.1 | Розмежування доступу реалізується монітором безпеки ОЕ, який надає доступ до об’єктів (підпункт 6.1.1.1.1.4) на підставі маркера доступу суб’єкта та дескриптору безпеки захищеного об’єкта | 2-КД-2.1 1-ЦД-2.1 | КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувача і захищеного об'єкта |
ЗДК–2.2 | Розмежування доступу до зашифрованого об’єкта здійснюється на підставі списків доступу (підпункт 6.1.1.1.3) | ||
ЗДК–3 | Зміна прав доступу до об’єкта здійснюється на підставі атрибутів доступу користувача та списку доступу захищеного об’єкту (підпункт 6.1.1.1.1.2) | 2-КД-3.1 1-ЦД-3.1 | Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта |
ЗДК–4.1 | Власник об’єкта або користувач, якому надані відповідні права доступу в списку доступу об’єкта, можуть визначати окремих користувачів і групи безпеки користувачів, які мають право одержати (читати) інформацію від об’єкта або модифікувати об’єкт (підпункт 6.1.1.1.1.2) | 2-КД-4.1 | КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта |
1-ЦД-4.1 | КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право модифікувати об'єкт | ||
ЗДК–4.2 | Власник об’єкта або користувач, якому надані відповідні права доступу в списку доступу об’єкта, можуть визначати окремих користувачів і групи безпеки користувачів, які мають право розшифровувати інформацію, тобто одержувати (читати) інформацію від об’єкта або модифікувати об’єкт (підпункт 6.1.1.1.1.3) | 2-КД-4.1 | КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта |
1-ЦД-4.1 | КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право модифікувати об'єкт | ||
ЗДК–5 | Власник об’єкта-процеса або користувач, якому надані відповідні права доступу в списку доступу об’єкта-процеса можуть визначати окремих користувачів і групи безпеки користувачів, які мають право ініціювати процес (підпункт 6.1.1.1.1.2) | 2-КД-5.1 | КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право ініціювати процес |
ЗДК–6 | Права доступу до захищеного об’єкта призначаються в момент його створення у відповідності до визначених в ОЕ правил (підпункт 6.1.1.1.1.8) | 2-КД-6.1 1-ЦД-5.1 | Права доступу до кожного захищеного об'єкта повинні встановлюватись в момент його створення або ініціалізації |
ЗДК–7 | При копіюванні та переміщенні об’єктів атрибути доступу об’єктів призначаються у відповідності до визначених в ОЕ правил (підпункт 6.1.1.1.1.9) | 2-КД-6.2 | Як частина політики довірчої конфіденційності повинні бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту |
1-ЦД-5.2 | Як частина політики довірчої цілісності мають бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту і імпорту | ||
ЗДК–8 | Політика повторного використання, визначається для всіх об’єктів-компонентів пам'яті ОЕ (підпункт 6.1.1.1.2) | 1-КО-1.1 | Політика повторного використання об'єктів, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС |
ЗДК–9 | Всі операції із захищеними об’єктами ОЕ виконуються під контролем монітору безпеки, який забезпечує неможливість отримання користувачем доступу до об'єкта з правами, які були надані попередньому користувачу (підпункт 6.1.1.1.2) | 1-КО-1.2 | Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, встановлені для попереднього користувача або процесу права доступу до даного об'єкта повинні бути скасовані |
ЗДК–10 | В ОЕ забезпечується недосяжність змісту інформаційних ресурсів об’єкту для "нового" користувача шляхом обнуління або перезапису сторінок пам'яті, відстеження покажчиків читання/запису для дискової пам'яті та захисту сторінкового файлу підкачки (підпункт 6.1.1.1.2) | 1-КО-1.3 | Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, вся інформація, що міститься в даному об'єкті, повинна стати недосяжною |