ГОСТ Р 54582—2011
9
Продукт «соответствует» TCSEC при условии его оценки по «Программе оценивания доверенного
продукта» (ТРЕР) или «Программе оценки доверенной технологии» (ТТАР) на соответствие требовани-
ям установленного класса TCSEC или если независимая оценка выявила у продукта наличие характе-
ристик и доверия этого класса.
Класс является специфической совокупностью требований TCSEC, которым соответствует оце-
ниваемая система. В TCSEC имеется семь классов в порядке убывания характеристик и доверия: А1,
В3, В2, В1, С2, С1 и D. Следовательно, система, оцененная по классу В3, имеет больше характеристик
безопасности и/или больше уверенности в должном функционировании характеристик безопасности,
чем система, оцененная по классу В1. Требования для более высокого класса всегда являются рас-
ширенной версией более низшего класса. Таким образом, система класса В2 соответствует каждому
функциональному требованию класса C2 и имеет более высокий уровень доверия.
Уровнем доверия является совокупность классов (см. вопрос 11) из TCSEC [см. FAQ (часто за-
даваемые вопросы) концепций критериев, вопрос 1]. В «Оранжевой книге» определены четыре уровня
доверия в порядке убывания доверия и уменьшения характеристик: А, В, С и D. Следовательно, систе-
ма, оцененная по конкретному классу уровня доверия В, имеет больше характеристик безопасности
и/или больше уверенности в должном функционировании характеристик безопасности, чем система,
оцененная по конкретному классу уровня доверия С. Хотя интерпретация подсистем компьютерной
безопасности (CSSI) TCSEC специфицирует критерии для различных классов D, они не отражены в
самих TCSEC, которые не предъявляют требований к системам уровня доверия D. По умолчанию не-
классифицированной системой является уровень доверия D.
Требованиями к различным классам являются:
Класс D: минимальная защита — резервируют оцененные системы, которые не отвечают требо-
ваниям более высокого класса.
Класс С1: необязательная защита — доверенная вычислительная база (ТСВ) системы класса С1
номинально удовлетворяет требования необязательной защиты посредством разделения пользовате-
лей и данных. ТСВ объединяет несколько видов надежных мер управления, способных осуществлять
ограничения доступа на индивидуальной основе, т. е. позволяющих пользователям защищать инфор-
мацию о проекте или персональные данные или предотвращать случайное считывание или разруше-
ние своих данных другими пользователями. Предполагается, что класс С1 объединяет пользователей,
обрабатывающих данные на одинаковом уровне конфиденциальности.
Класс С2: управляемая защита доступа — системы этого класса осуществляют более тщательное
необязательное управление доступом, чем системы класса С1, делая пользователей индивидуально
ответственными за свои действия посредством регистрационных процедур, проверки событий, связан-
ных с безопасностью, и изоляции ресурсов.
Класс В1: мандатная защита — для систем класса В1 требуются все характеристики, необходи-
мые для класса С2. Кроме того, должны быть в наличии: неофициальная модель политики безопасно-
сти, маркировка данных (например, секретной или частной информации) и обязательный контроль до-
ступа к указанным субъектам или объектам. Необходимо существование потенциальных возможностей
точной маркировки выдаваемой информации.
Класс В2: структурированная защита — в системах класса В2 ТСВ основана на четко определен-
ной и документированной официальной модели политики безопасности, для которой требуется распро-
странение дискреционного и мандатного контроля доступа класса В1 на все субъекты и объекты в ав-
томатизированной системе обработки данных. Кроме того, учитываются скрытые каналы. ТСВ должна
быть тщательным образом структурирована на критически и некритически важные в отношении защиты
элементы. Интерфейс ТСВ должен быть определен достаточно хорошо, а проект ТСВ и его реализация
должны позволять подвергать ее более тщательному тестированию и более детальной проверке. Меха-
низмы аутентификации должны быть усилены, доверенная организация производства — представлена
в виде поддержки функций системного администратора и оператора системы, а также предусмотрены
строгие меры контроля за конфигурационным управлением. Система должна быть относительно за-
щищена от проникновения.
Класс В3: домены безопасности — ТСВ класса В3 должна соответствовать требованиям того, что-
бы она служила связующим звеном между всеми доступами субъектов и объектами, была защищена от
неумелого обращения и была достаточно проста, чтобы подвергнуть ее анализу и тестированию. ТСВ
структурирована так, чтобы исключить код, необязательный для осуществления политики безопасно-
сти, с применением существенного системного проектирования во время разработки проекта и реали-
зации
ТСВ,
направленных
на
минимизацию
ее
сложности.
Должна
проводиться
поддержка
системного