4.4. О выборе класса защиты

Продолжим изучение вопросов, связанных с американским стандартом защиты информации "Оранжевая книга". В предыдущем пункте были определены семь классов систем защиты информации, причем требования в классах от С к А монотонно возрастали. Американцы не опубликовали детальный анализ риска, который определяет эти требования. Однако, одновременно со стандартом, был опубликован документ "Computer Security Requirements-Guidance for Applying the DoD Trusted Computer System Evaluation Criteria in Specific Environment" (далее будем называть его "Требования"), в котором изложен порядок выбора класса систем в различных условиях. Этот документ частично отражает результаты анализа риска, основания для выбора политики безопасности в связи с этими рисками и меры обеспечения гарантий соблюдения политики безопасности. Всюду далее предполагаем, что в информацию внесена MLS решетка ценностей. Выбор требуемого класса безопасности систем определяется следующими основными факторами, характеризующими условия работы системы.

1. Безопасность режима функционирования системы. Американцы различают 5 таких режимов:

а. Режим, в котором система постоянно обрабатывает ценную информацию одного класса в окружении, которое обеспечивает безопасность для работы с этим классом.

в. Режим особой секретности самой системы. Все пользователи и элементы системы имеют один класс и могут получить доступ к любой информации. Этот режим отличается от предыдущего тем, что здесь обрабатывается информация высших грифов секретности.

с. Многоуровневый режим, который позволяет системе обработку информации двух или более уровней секретности. Причем не все пользователи имеют допуск ко всем уровням обрабатываемой информации.

d. Контролирующий режим. Это многоуровневый режим обработки информации, при котором нет полной гарантии защищенности ТСВ. Это накладывает ограничения на допустимые классы ценной информации, подлежащей обработке.

е. Режим изолированной безопасности. Этот режим позволяет изолированно обрабатывать информацию различных классов или классифицированную и неклассифицированную информацию. Причем возможно, например, что безопасно обрабатывается только информация класса TS, а остальная информация не защищена вовсе.

2. Основой для выбора класса защиты является индекс риска. Он определяет минимальный требуемый класс.

Отобразим классы секретности в числа согласно таблице: U-0, С-1, S-2, TS-3. Эта таблица не совсем точно отражает соответствие из "Требований". Но здесь мы просто объясняем идею подхода. Определим R_min - минимальный уровень допуска пользователя в системе, и R_max - максимальный класс ценности информации, присутствующий в системе. В большинстве случаев индекс риска определяется по формуле:

Risk Index=R_max-R_min

И

если есть категории, к которым кто-либо из пользователей не имеет доступа,

в противном случае

сключения касаются случая, когда , тогда

RiskIndex =

И также некоторые исключения есть в случае обработки TS-информации.

Пример 1. Если минимальный допуск пользователя в системе - С, а максимальный гриф обрабатываемой информации - S, то R_min =2, R_max=3. Тогда RiskIndex = l .

В результате учета всех ценностей и определения дополнительных классов у американцев получается восемь значений индекса риска от О до 7. Для этих значений индекса риска устанавливается следующее соответствие с минимальными требуемыми классами систем в случае, когда система функционирует во враждебном окружении.

Таблица 5

RiskIndex	Безопасность режима функционирования	Минимальный класс по классификации “Оранжевой книги”
0	a	нет обязательного минимума
0	b	B1
1	c, d, e	B2
2	c, d, e	B3
3	c, d	A1
4	c	A1
5	c	*
6	c	*
7	c	*

Символ * означает, что в момент издания книги (1985 г.) минимальные требования по защите информации при данном значении индекса риска выше достигнутого уровня технологии.

Если система функционирует в окружении, которое можно назвать "безопасным периметром", то требования к минимальным классам значительно ниже.