Протокол аттестационных испытаний объекта информатизации на соответствие требованиям безопасности информации по направлению "Защита информации от несанкционированного доступа", страница 5

Выводы: В связи с тем, что ОТСС в своем составе не содержит терминалов, других  ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ проверка механизма их идентификации не проводилась.

2.7  Проверка механизма идентификации программ, томов, каталогов, файлов, записей, полей записей

2.7.1   Была осуществлена идентификации программ путем их запуска. При запуске программ наблюдалось их соответствие заданным параметрам. Файлы программного обеспечения расположены в каталоге { C:\ProgramsFiles} и { C:\ProgramsFiles\
MicrosoftOffice\ }.

2.7.2  Была осуществлена идентификация каталогов, в которых должны быть размещены защищаемые файлы (файлы, содержащие закрытую информацию). Идентификация каталогов осуществлялась путем доступа (обращения) к ним штатными средствами операционной системы (при помощи программы «Проводник»). Проверка показала правильность идентификации каталогов.

2.7.3  В связи с тем, что в АС отсутствуют системы управления базами данных (СУБД), проверка механизма идентификации записей и полей записей аттестационной комиссией не проводилась.

Выводы: Реализованный в АС механизм идентификации программ, каталогов и  файлов соответствуют требованиям руководящих документов к заявленному классу защищенности АС – 2А.

2.8  Проверка механизма контроля доступа

2.8.1   Был проанализирован механизм контроля доступа системы защиты АС. Выяснено, что установленная в АС операционная система Windows 2000 Professional, позволяет разграничивать полномочия по доступу субъектов доступа к объектам доступа; все пользователи АС имеют одинаковый доступ к ресурсам АС: каталогам, файлам, портам, устройствам чтения (дисковод 3,5”, привод CD-ROM, устройства flash-memory) и записи (дисковод 3,5”, устройства flash-memory). В дополнении к штатным средствам разграничения прав доступа, разграничение прав доступа пользователей к ресурсам АС осуществляется посредством СЗИ от НСД «Secret Net 2000» версия 4.0.

СЗИ от НСД позволяет установить всем пользователям, кроме администратора, следующие полномочия на доступ к каталогам, файлам, устройствам чтения/записи на отчуждаемые машинные носители информации:

-  разрешено чтение (выполнение),

-  полный доступ (чтение, запись, удаление, выполнение),

-  доступ запрещен.

Полномочия администратору – всегда "полный доступ".

Для пользователей разрешен доступ к портам LPT1, USB в соответствии с «Матрицей доступа…».

Права доступа к программам, кроме программ администрирования СЗИ Secret Net 2000 версия 4.0, одинаковы для всех пользователей. Запуск любых программ, кроме используемых в работе с документами, запрещен. Более подробно, правила разграниченного доступа (ПРД) описаны в «Протоколе настройки СЗИ…». Настройка механизма контроля доступа (настройка прав доступа) субъектов доступа к объектам доступа осуществляется Администратором АС с помощью специального программного обеспечения СЗИ от НСД. Данное специальное программное обеспечение доступно для запуска только Администратору АС.

2.8.2  Путем использования Анализатора уязвимостей средств защиты СВТ от НСД "НКВД" (версия 2.2 и версия 2.3, голограммы №Б _________ и №Б______, сертификаты Гостехкомиссии № 432 и № 429 действительны до 22.02.2007 г.) была осуществлена проверка соответствия полномочий пользователей АС, настроенных атрибутов доступа на каждый защищаемый каталог, порт, привод CD-ROM и НГМД 3,5” для всех пользователей, зарегистрированных в системе. Протоколы "НКВД" прилагаются на дискете (см Приложение 1).

2.8.3  Аналогично была осуществлена проверка полномочий доступа пользователей (установленных атрибутов доступа к каталогам) к программам. Аттестационной комиссией были признаны обоснованными и достаточными установленные атрибуты доступа к каталогам, в которых размещены файлы с программным обеспечением.

Путем запуска программного обеспечения проверена корректная работа системного и прикладного программного обеспечения.

2.8.4  Аналогично была осуществлена проверка полномочий доступа пользователей (установленных атрибутов доступа) к логическим дискам и каталогам, в которых размещены защищаемые файлы, портам, устройствам чтения/записи данных на отчуждаемые машинные носители информации (дисковод 3,5”, привод CD-ROM, устройства flash-memory). Аттестационной комиссией были признаны обоснованными и достаточными установленные атрибуты доступа к вышеуказанным ресурсам АС.

Выводы: Реализованный в АС механизм контроля доступа соответствуют требованиям руководящих документов к заявленному классу защищенности АС.

2.9  Проверка механизмов управления потоками информации

2.9.1  Экспертным методом членами аттестационной комиссии было проверено соответствие присвоенных меток конфиденциальности объектам доступа (логические диски, каталоги, файлы, порты, дисковод), грифов секретности машинных носителей информации (НЖМД, дискеты 3,5”, диски CD-ROM, устройства flash-memory) и грифа секретности данных, хранимых и/или обрабатываемых и/или передаваемых данные (информацию) в/через объекты доступа.

Аналогично было проверено соответствие меток конфиденциальности, присвоенных пользователям и Администратору АС, с их полномочиями, необходимыми для выполнения ими технологического процесса.

2.9.2   Функционирование средств управления потоками информации было проверено путем моделирования информационных потоков в реальных условиях технологического процесса. Выполненные во время проверки действия приведены в Таблице 5.

Таблица 5 – Действия по проверке механизма управления потоками информации