На чем основана политика безопасности информационных потоков
Для руководителей – что такое информационная безопасность
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Также к информационной безопасности относится защита информации от непреднамеренного уничтожения (технические сбои).
Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).
Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.
Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.
Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Официальная часть (процедура копировать-вставить с Интернетов) закончена. Теперь неофициальная. Из практики.
Статья эта написана для руководителей компаний, для которых правила НБ РК (регулятора) неприменимы.
Как большая часть руководителей (и не очень) понимают «информационную безопасность»?
Что имеют ввиду работодатели (компании), когда размещают вакансии с упоминанием словосочетания «Информационная безопасность»?
Из практики большая часть ассоциируют информационную безопасность с какими-то техническими средствами, например устройство защиты сети (firewall) или программным обеспечением по слежке за сотрудниками (так называемые DLP — data loss prevention) или антивирусом.
Вышеупомянутые средства относятся к информационной безопасности, но никак не гарантируют сохранность объекта защиты (информации), ее целостность и доступность. Почему?
По очень простой причине — обеспечение информационной безопасности — это процесс, а не какое-либо устройство, программное обеспечение, которые, как большая часть руководителей (и не только) думают, что являются панацеей и защитой.
Возьмем для примера небольшую торговую компанию, с количеством пользователей 50 штук. Под пользователями подразумеваются все сотрудники, имеющие доступ в информационную систему (ИС) компании посредством какого-либо устройства (компьютер, ноутбук, планшет, мобильный телефон). Под доступом в ИС подразумевается любой доступ — к электронной почте, в сеть Интернет, к базам данных, файлам и т.д.
Менталитет руководителей в наших компаниях (в том числе и нашем примере) в корне отличаются от западных — я босс, мне все можно. В том числе и неограниченный ничем доступ в сеть Интернет или возможность устанавливать любое ПО на компьютере. С точки зрения информационной безопасности — такой руководитель и есть основная угроза той самой информационной безопасности. Почему? Потому что он некомпетентен в вопросе информационной безопасности, и думает, как было сказано выше — что если есть системный администратор, либо какое-то дорогое устройство, которое он недавно купил по рекомендации того же системного администратора — все это ДОЛЖНO обеспечить ту самую информационную безопасность. Могу сказать, что ни один специалист и ни одно дорогое устройство вас не спасет от того, если преднамеренно на вашу почту (например mail.ru — так любимую всеми) злоумышленник отправит какое-либо вредоносное ПО, которое не будет вирусом, а например будет каким-то скриптом, который через ваш компьютер позволит получить доступ в вашу ИС. Вы скачиваете файл со своего почтового ящика mail.ru (например он называется «Требования к поставщику.doc» — скрипт запускается (без вашего ведома естественно).
Злоумышленник таким образом получает доступ в вашу сеть, впоследствии тихо разворачивает свою деятельность и вуаля! В один «прекрасный» день вы вдруг обнаруживаете (нужное подчеркнуть):
Многие возмутятся — все это страшилки. Аргументы обычно следующие:
Резервные копии
Резервное копирование — это один из самых основных способов защиты информации — ее целостности, доступности и сохранности.
Устройство безопасности (firewall)
Антивирус
Сколько людей — столько и антивирусов. Антивирус, как было сказано выше, не панацея. Это лишь одно из средств обеспечения безопасности информации, которое не исключает и не отменяет соответствующую настройку операционных систем, групповых политик, прав доступа, регламентированные процедуры резервного копирования, обучение и информирование пользователей основам информационной безопасности и прочие меры, которые могут укрепить бастион информационной безопасности.
Нужно ли вам нанимать сотрудника, специально занимающего информационной безопасностью, либо срочно бежать и закупать маски устройства безопасности (firewall) и антивирусы, чтобы обеспечить информационную безопасность?
Нет. На первом этапе ничего покупать, никого нанимать и делать прочие необдуманные действия — не надо.
Далее приведем упрощенный алгоритм действий, которые необходимо предпринять для построения системы информационной безопасности.
Если ответ на вопрос 0 — «как обычно», можете дальше не терять свое драгоценное время и не читать.
1. Определитесь, что и зачем защищать. Документ, который это описывает обычно называется «Политика информационной безопасности». Документ не описывает каких-то конкретных мер, технических устройств, настроек и прочих действий, требуемых для обеспечения защиты информации.
2. Составьте список ресурсов (технических средств и программного обеспечения) которые имеются в компании. Часто в требованиях к соискателям упоминается перечень ПО и оборудования «Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense» и т.д. Вы что, серьезно думаете, что все это имеющееся у вас в наличии, вас защитит? Скорее наоборот.
3. Создайте и обсудите матрицы доступа пользователей (клиентов, партнеров и т.п.) к информационной системе. Что такое матрица доступа: это когда есть четкий документ кто, куда и какого уровня имеет доступ к ИС системе.
4. Создайте документ, регламентирующий процедуру резервного копирования.
5. Создайте документ, где описываются все средства обеспечения ИБ — физические, технические, программные, административные.
6. Подготовьте и проведите обучающие занятия по информационной безопасности для сотрудников предприятия. Проводите их ежеквартально.
7. Поинтересуйтесь у ответственного сотрудника, сможет ли он обеспечить весь процесс самостоятельно или это требует привлечения третьей стороны (либо найма дополнительного сотрудника)
8. Протестируйте свою ИС на проникновение (так называемый penetration test).
9. Создайте, либо внесите корректировки в следующие документы:
11. Улыбнитесь. Не так страшен черт, как его малюют, если у вас есть хорошо структурированная, прозрачная, понятная и управляемая информационная система. Понятная как для вас (руководителя), для ваших пользователей (сотрудников) ну и надеемся для вашего системного администратора.
Теоретические основы компьютерной безопасности (стр. 9 )
 | Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
Определение 8.2. Пусть A Ì C, G’ Ì U. A информационно не влияет на G’ (обозначим через A 😐 G’), если для каждой w Î (U ´ C)* и для s Î G’ справедливо равенство [[w]]s = [[PA(w)]]s.
Определение 8.3. Пусть A Ì C, G, G’ Ì U. G и A информационно не влияют на G’ (обозначим через G, A 😐 G’), если для каждой w Î (U ´ C)* и для s Î G’ справедливо равенство [[w]]s = [[PGA(w)]]s.
Определение 8.4. Политика безопасности в автоматной модели безопасности информационных потоков ¾ это набор требований информационного невлияния.
Пример 8.1. Пусть f ¾ файл, s Î U ¾ пользователь, A = <create(f), write(f), modify(f), delete(f)> ¾ набор команд. Тогда <s>, A 😐 <s>, означает, что пользователь s может осуществлять только чтение из файла f. ■
Пример 8.2. Мандатную политику безопасности в автоматной модели безопасности информационных потоков, которая состоит в том, что пользователи с большим уровнем доступа не должны информационно влиять на пользователей с меньшим уровнем доступа, можно выразить следующим образом.
(L, £) ¾ шкала уровней доступа к информации;
level: U ® L ¾ функция уровней доступа пользователей;
U[– ∞, x] = <s Î U: level(s) ≤ x> ¾ множество пользователей с уровнем доступа не большим x Î L;
U[x, + ∞] = <s Î U: level(s) ≥ x> ¾ множество пользователей с уровнем доступа не меньшим x Î L.
Тогда мандатная политика безопасности есть совокупность требований информационного невлияния:
то в условиях определения из истинности неравенства p(H | L) > 0 следует истинность p(L | H) > 0, что предполагает отсутствие информационных потоков от низкоуровневых объектов к высокоуровневым. Таким образом, требования информационной невыводимости являются более строгими, чем требования безопасности классической модели Белла-ЛаПадулы, и фактически предполагают изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы, что является чрезмерно жестким требованием.
В традиционной модели информационного невлияния требуется, чтобы низкоуровневая информация была независима от высокоуровневой, т. е. выполнялось условие следующего определения.
Определение 8.7. КС соответствует требованиям информационного невлияния (без учета времени), если для p(H) > 0, p(L) > 0, выполняется:
При p(H) > 0, p(L) > 0 условие определения равносильно условию
Условие определения 8.7 также является жестким. Однако если ввести параметр времени, то возможно данное условие сделать в большей степени применимым для использования в реальных системах. Конечный вид условия информационного невлияния получим в результате последовательности рассуждений.
Если Lt описывает состояния всех низкоуровневых объектов, а Ht всех высокоуровневых объектов в момент времени t = 0, 1, 2, …, то нет необходимости требовать выполнения условия
т. е. текущее значение низкоуровневых объектов может содержать информацию о последующих значениях высокоуровневых объектов.
Например, если низкоуровневыми являются некий неконфиденциальный файл, обрабатываемый пользователем с низким уровнем доступа, а высокоуровневым объектом является журнал аудита. Тогда значение файла и операции, совершаемые над ним пользователем в момент t, могут отображаться в журнале аудита в момент t + 1, о чем «знает» низкоуровневый пользователь.
Учитывая тот факт, что состояние системы влияет на последующие состояния только через информацию, хранимую в объектах системы, казалось бы, необходимо потребовать, чтобы текущее значение низкоуровневых объектов не зависело от значения высокоуровневых объектов в предыдущие моменты работы системы, т. е. выполнялось условие
Однако следует отметить, что данный вариант определения соотношения Lt и Ht – 1 является слишком строгим, так как предполагает независимость Lt и Ht – 1. В то же время значение высокоуровневых объектов на текущем шаге часто оказывает влияние на значение низкоуровневых объектов на последующих шагах работы системы. Например, рассмотрим работу монитора ссылок КС.
Монитор ссылок в реальных системах защиты является высокоуровневым субъектом, принимающим решения по запросам на доступ к объектам, полученным от других субъектов системы. Очевидно, что такое решение, полученное низкоуровневым субъектом в момент t работы системы, содержит информацию о значении высокоуровневого монитора ссылок в предыдущий момент времени t – 1.
Более целесообразным представляется подход, обеспечивающий невозможность накопления низкоуровневыми объектами новой информации о значение высокоуровневых объектов. Более формально, необходимо потребовать, чтобы знание значений Lt – 1 и Lt, не давало бы новой информации о Ht – 1, т. е. должно выполняться условие
Таким образом, запрещается обратный информационный поток из Lt в Ht – 1, но не запрещается поток из Lt в Ht + 1. Кроме того, следует отметить, что, решая проблемы, обозначенные в рассмотренных выше примерах, последнее правило блокирует возникновение запрещенных информационных потоков по времени.
Дадим определение информационного невлияния с учетом времени.
Определение 8.8. КС соответствует требованиям информационного невлияния (с учетом времени), если для p(Ls) > 0, p(Lt) > 0, p(Hs) > 0, выполняется условие
Структура теории компьютерной безопасности (Основные четыре уровня защиты информации: защита МНИ, защита средств взаимодействия с МНИ, защита представления информации, защита содержания информации).
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой на АС информации, которая поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т.е. поможет систематизировать и обобщить весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Эти уровни следующие:
• защита носителей информации;
• защита средств взаимодействия с носителем;
• защита представления информации;
• защита содержания информации.
Данные уровни были введены исходя из того, что, во-первых, информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе (бумага, дискета, жесткий диск и т.д.). Во-вторых, если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа. В-третьих, как уже было отмечено, информация может быть охарактеризована способом своего представления или тем, что еще называется языком в обиходном смысле. Язык жестов, язык символов и т.п.- все это способы представления информации. В-четвертых, человеку должен быть доступен смысл представленной информации, ее семантика.
Защита носителей информации должна обеспечивать парирование всех возможных угроз, направленных как на сами носители, так и на зафиксированную на них информацию, представленную в виде изменения состояний отдельных участков, блоков, полей носителя. Применительно к АС защита носителей информации в первую очередь подразумевает защиту машинных носителей. Вместе с тем, необходимо учитывать, что носителями информации являются также каналы связи, документальные материалы, получаемые в ходе эксплуатации АС, и т.п.
Защита средств взаимодействия с носителем охватывает спектр методов защиты программно-аппаратных средств, входящих в состав АС, таких как средства вычислительной техники, операционная система, прикладные программы. В основном защита на данном уровне рассматривается как защита от несанкционированного доступа, обеспечивающая разграничение доступа пользователей к ресурсам системы.
Защита представления информации, т.е. некоторой последовательности символов, обеспечивается средствами криптографической защиты.
Защита содержания информации обеспечивается семантической защитой данных.
8. Виды политик безопасности и их основные положения, а также методы использования формальных моделей при построении защищенных АС.
Политика безопасности – совокупность норм и правил регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы.
Формальное выражение политики безопасности называют моделью политики безопасности.
Политика безопасности включает:
· множество возможных операций над объектами;
· для каждой пары «субъект, объект» (Si, Oj) множество paзрешенных операций, являющееся подмножеством всего множества возможных операций.
Существуют следующие типы политики безопасности: дискреционная, мандатная, политика безопасности информационных потоков, политика ролевого разграничения доступа, политика изолированной программной среды.
• все субъекты и объекты должны быть идентифицированы;
• права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.
Основным элементом систем дискреционного разграничения доступа является матрица доступов – матрица размером |S| x |O|, строки которой соответствуют субъектам, а столбцы – объектам. При этом каждый элемент матрицы доступов 
определяет права доступа субъекта s на объект o, где R – множество прав доступа.
Достоинства: относительно простая реализация соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время АС обеспечивают выполнение положений именно данной политики безопасности.
К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменении состояния АС, не накладывает ограничений на состояния системы. В то же время имеются модели АС, реализующих дискреционную политику безопасности, которые предоставляют алгоритмы проверки безопасности.
Основными моделями систем дискреционного разграничения доступа являются модели Харрисона-Руззо-Ульмана (модель ХРУ) и модель Take-Grant.
• все субъекты и объекты системы должны быть однозначно идентифицированы;
• задан линейно упорядоченный набор меток секретности;
Таким образом, каналы утечки в системах данного типа не заложены в нее непосредственно (что мы наблюдаем в положениях предыдущей политики безопасности), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандатной политики безопасности более ясны и просты для понимания разработчиками и пользователями АС, что также является фактором, положительно влияющим на уровень безопасности системы. С другой стороны, реализация систем с политикой безопасности данного типа довольно сложна и требует значительных ресурсов вычислительной системы.
3. Политика безопасности информационных потоков основана на разделении всех возможных информационных потоков между объектами системы на два непересекающихся множества: множество благоприятных информационных потоков и множество неблагоприятных информационных потоков. Цель реализации данной политики безопасности состоит в том, чтобы обеспечить невозможность возникновения в компьютерной системе неблагоприятных информационных потоков.
Политика безопасности информационных потоков в большинстве случаев используется в сочетании с политикой другого вида, например с политикой дискреционного или мандатного разграничения доступа. Реализация данной политики безопасности на практике является трудной для решения задачей.
4. Ролевое разграничение доступа является развитием политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.
Задание ролей позволяет определить более четкие и понятные для пользователей компьютерные системы разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования системы правила разграничения доступа.
5. Политика изолированной программной среды. Целью реализации данной политики является определение порядка безопасного взаимодействия субъектов системы, обеспечивающего невозможность воздействия на систему защиты и модификации ее параметров или конфигурации, результатом которых могло бы стать изменение реализуемой системой защиты политики разграничения доступа.
Политика изолированной программной среды реализуется путем изоляции субъектов системы друг от друга и путем контроля порождения новых субъектов таким образом, чтобы в системе могли активизироваться только субъекты из предопределенного списка. При этом должна контролироваться целостность объектов системы, влияющих на функциональность активизируемых субъектов.
9. Классы защиты по TCSEC, концепция защиты АС и СВТ по руководящим документам Гостехкомиссии РФ, профили защиты по «Единым критериям».
«Критерии безопасности компьютерных систем» (Trusted Computer System Evaluation Criteria»), получившее неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечение компьютерных систем и выработки соответствующей методологии анализа политики безопасности, реализуемой в компьютерных системах военного назначения.
В «Оранжевой книге» предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних — на качество самих средств защиты.
Требование 1. Политика безопасности – система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна использоваться политика нормативного управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации (информации, отмеченной грифом секретности, типа «секретно», «сов. секретно» и т.д. ).
Требование 2. Метки
С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и/или режимы доступа к этому объекту.
Требование 3. Идентификации и аутентификация
Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения.
Требование 4. Регистрация и учет
Для определения степени ответственности пользователей за действия в системе, все происходящее в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
Требование 5. Контроль корректности функционирования средств зашиты
Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства зашиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находится под контролем средств проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 6. Непрерывность защиты
Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме него, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.
«Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D1 и А1 соответственно), группа С — классы C1, C2, а группа В — B1, B2, ВЗ, характеризующиеся различными наборами требований безопасности. Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.
Группа D. Минимальная защита
Класс D1. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов.
Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользователей и информации и включают средства контроля и управления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности.
Класс С2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
Группа В. Мандатная защита. Основные требования этой группы — мандатное управление доступом с использованием меток безопасности, поддержка модели и политики безопасности, а также наличие спецификаций на функции ТСВ. Для систем этой группы монитор взаимодействий должен контролировать все события в системе.
Класс В1. Защита с применением меток безопасности.
Системы класса B1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасности, маркировку данных и мандатное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостатки должны быть устранены.
Класс В2. Структурированная защита. Для соответствия классу В2 ТСВ системы должны поддерживать формально определенную и четко документированную модель безопасности, предусматривающую дискреционное и мандатное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществляться контроль скрытых каналов утечки информации. В структуре ТСВ должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а его архитектура и реализация должны быть выполнены с учетом возможности проведения тестовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администраторами системы. Должны быть предусмотрены средства управления конфигурацией.
Класс ВЗ. Домены безопасности. Для соответствия этому классу ТСВ системы должно поддерживать монитор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, ТСВ должно быть структурировано с целью исключения из него подсистем, не отвечающих за реализацию функции защиты, и быть достаточно компактно для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ должны применяться методы и средства, направленные на минимизацию его сложности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.
Группа А. Верифицированная защита– характеризуется применением формальных методов верификации, корректная работа механизмов управления доступом (дискреционного и мандатного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности.
Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии разработки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов верификации системы класса А1 должны содержать более мощные средства управления конфигурацией и защищенную процедуру дистрибуции.