ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

ФОРМАЛЬНАЯ МОДЕЛЬ УПРАВЛЕНИЯ ДОСТУПОМ

Часть 2

Рекомендации по верификации формальной модели управления доступом

Издание официальное

Предисловие

1    РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Обществом с ограниченной ответственностью «РусБИТех-Астра» (ООО «РусБИТех-Астра»), Институтом системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 апреля 2021 г. № 271-ст

4    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ожегод1Юм (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официалы<ый текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. оформление. 2021

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии И

В машиночитаемом описании на языке, поддерживаемом формальным методом Event-B. правило может задаваться следующим событием: event create_object any U параметры х у z yi ус

where // охранные условия выполнения события, соответствующие // условиям применения правила @grd1 х е Subjects @grd2 у е AltEntities \ Entities @grd3 Ze Containers @grd4 z »-> WrtteA e SubjectAccesses(x)

@grd5 z Н» ExecuteR e SubjectAccessRights(x)

@grd6 yi c Entitylnt(z) л yi c Sub)ecUnt(x)

@grd7 yc = EntityCn((z) л yc = SubjectCnf(x)

@grd8 z e dom(EntityHierarchy) then // действия no изменению значений переменных состояния II в результате срабатывания события, соответствующие И результатам применения правила @act1 Entities = Entities U {у}

@act2 Objects ■■ Objects U {y}

@act3-4 EntityHierarchy(z) ss EntityHierarchy(z) U {y}

@ac!5 SubjectAccessRights{x)=SubjectAccessRights<x) U {y i->OwnR}

@act6 Entitylnt(y) ■■ yi @act7 EntityCnf(y):=yc

end

A.4 Пример перевода условия безопасности

Заданные в математическом описании формальной модели управления доступом ограничения на уровни целостности сущностей в составе контейнеров определяются следующим образом: для сущностей х. у е Е. если х е Н_Е(у), то i_e(x) s i_e(y) (уровень целостности сущности не выше уровня целостности контейнера, в котором она содержится). В машиночитаемом описании на языке, поддерживаемом формальным методом Event-B. ограничения на уровни целостности задаются инвариантом: invariants

@EntityHierarchy1

Vx. у-хе Entities л у е Entities л х е dom(EntityHierarchy)

=э Entitylnt(x) с Entitylnt(y)

УДК 004.056:006.354

Ключевые слова: защита информации, формальная модель управления доступом, верификация формальной модели управления доступом, средство защиты информации, инструментальное средство верификации формальной модели управления доступом

Редактор Л. В. Корвтникова Технический редактор И.Е. Черепкова Корректор Л.С. Лысенко Компьютерная верстка М.В. Лебедевой

Сдано о набор 23.04.2021 Подписано в печать 26.04 2021. Формат 60 "84*Л. Гарнитура Лриал. Уел. печ. л 1.40. Уч.-иад л 1.26.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении во ФГУП «СТАНДАРТИМФОРМ» для комплектования Федерального информационного фонда стандартен 11741В Москва. Нахимовский лр-т, д. 31. к. 2. www.gostinfo.ru inkj@gostnfo.ru

Содержание

1    Область применения....................................................... 1

2    Нормативные ссылки..................................................................1

3    Термины и определения................................................................1

4    Общие положения....................................................................2

5    Выбор инструментальных средств верификации формальной модели управления доступом.......2

6    Формализованное (машиночитаемое) описание формальной модели управления доступом.......3

7    Верификация формализованного (машиночитаемого) описания формальной модели управления

доступом............................................................................3

Приложение А (справочное) Примеры перевода элементов математического описания

формальной модели управления доступом в формализованное (машиночитаемое) описание.................................................................5

Введение

Верификация формальных моделей управления доступом используется для обеспечения доверия к средствам защиты информации, реализующим политики управления доступом, и уменьшает число недостатков при проектировании этих средств.

Применение инструментальных средств верификации формальных моделей управления доступом. реализуемых этими средствами формальных методов и поддерживаемых языков, технологий их использования и оценки полученных ими результатов верификации позволяет повысить уверенность в корректности этих формальных моделей.

В связи с этим настоящий стандарт устанавливает рекомендации по верификации формальных моделей управления доступом с применением инструментальных средств.

Настоящий стандарт применяется совместно с ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения».

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации ФОРМАЛЬНАЯ МОДЕЛЬ УПРАВЛЕНИЯ ДОСТУПОМ Часть 2

Рекомендации по верификации формальной модели управления доступом

Information protection. Formal access control model. Part 2.

Recommendations on verification of formal access control model

Дата введения — 2021—06—01

1    Область применения

Настоящий стандарт представляет собой рекомендации по верификации с применением инструментальных средств формальных моделей управления доступом, на основе которых разрабатываются средства защиты информации, реализующие политики управления доступом.

Настоящий стандарт предназначен для разработчиков средств защиты информации, реализующих политики управления доступом, а также для органов по сертификации и испытательных лабораторий при проведении сертификации средств защиты информации, реализующих политики управления доступом.

2    Нормативные ссылки

В настоящем стандарте применена нормативная ссылка на следующий стандарт:

ГОСТ Р 59453.1 Защита информации. Формальная модель управления доступом. Часть 1. Общие положения

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайге Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий гсад. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение. в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 59453.1, а также следующие термины с соответствующими определениями:

Издание официальное

3.1    верификация формальной модели управления доступом: Подтверждение посредством представления объективных свидетельств непротиворечивости формальной модели управления доступом и выполнения заданных в ее рамках условий безопасности.

3.2    инструментальное средство верификации: Инструментальное средство, реализующее формальные методы верификации формальных моделей.

Примечание — Инструментальное средство верификации, как правило, поддерживает и формальные методы разработки формальных моделей.

3.3    формализованное (машиночитаемое) описание: Описание формальной модели на формальном языке со строгой и однозначно определенной семантикой, позволяющее использовать инструментальные средства верификации.

3.4    формальный метод: Основанный на математике и логике метод, а также поддерживаемые им языки, для верификации или разработки формальных моделей.

4    Общие положения

4.1    Для верификации формальной модели управления доступом, описание которой соответствует критериям, установленным ГОСТ Р 59453.1. должен быть осуществлен выбор соответствующих инструментальных средств, для которых должны быть представлены свидетельства, что реализуемые ими формальные методы позволяют осуществить верификацию формальной модели. При этом выбранные инструментальные средства должны допускать полную, независимую от их разработчиков проверку корректности результатов их работы.

4.2    Для верификации с использованием инструментальных средств формальная модель должна иметь формализованное (машиночитаемое) описание на языке, поддерживаемом реализуемыми этими инструментальными средствами формальными методами. Если формальная модель имеет математическое описание, то оно должно быть переведено в формализованное (машиночитаемое) описание на этом языке. При этом должны быть представлены свидетельства согласованности математического и формализованного (машиночитаемого) описаний формальной модели.

Примечание — Для формализованного (машиночитаемого) описания формальной модели управления доступом, как правило, используются формальные методы (Alloy. ASM. В. Event-В. TLA+. VDM-SL, Z). языки которых позволяют строить абстрактные автоматные модели. Примерами инструментальных средств, реализующих эти формальные методы, являются Rodin, TLA Tooibox. Кроме моделирования на основе абстрактных автоматных моделей, для верификации формальных моделей управления доступом могут использоваться темпоральные логики. сети Петри и другие формальные методы.

4.3    Верификация формальной модели управления доступом должна быть осуществлена путем применения к ее формализованному (машиночитаемому) описанию инструментальных средств верификации.

4.4    Верификация формальной модели управления доступом является успешной, если результаты применения инструментальных средств верификации к ее формализованному (машиночитаемому) описанию позволяют сделать вывод о непротиворечивости формальной модели и о выполнении заданных в ее рамках условий безопасности.

5    Выбор инструментальных средств верификации формальной модели управления доступом

5.1    При верификации формальной модели управления доступом должны быть разработаны критерии выбора инструментальных средств верификации, соответствие которым позволяет сделать вывод о том, что реализуемые этими инструментальными средствами формальные методы дают возможность осуществить верификацию формальной модели управления доступом.

5.2    Критерии выбора языка формализованного (машиночитаемого) описания формальной модели управления доступом должны быть основаны на оценке его возможностей (наличие теоретико-множественных примитивов и средств описания сложных структур данных) для представления описываемых в рамках формальной модели состояний и правил перехода из состояний в состояния абстрактного автомата.

5.3    Критерии выбора инструментальных средств верификации, реализующих формальные методы, поддерживающие соответствующий сформированным согласно 5.2 критериям язык формализовам-

мого (машиночитаемого) описания формальной модели управления доступом, должны быть основаны на оценке характеристик этих инструментальных средств, включая:

-    функциональные характеристики: возможность полной, независимой от разработчиков инструментальных средств верификации проверки корректности результатов их работы; возможность автоматического и интерактивного доказательства, автоматической или полуавтоматической генерации условий верификации (инвариантов), повторного использования ранее полученных доказательств выполнения условий верификации (переиспользования артефактов), создаваемых в ходе верификации; ограничения на размер абстрактного автомата; скорость верификации.

-    нефункциональные характеристики: наличие реализуемой инструментальными средствами среды редактирования и верификации формализованного (машиночитаемого) описания формальной модели, анализа ошибок формальной модели; возможности по подключению и комбинированного использования библиотек (пруверов — инструментов для доказательства теорем, солверов — инструментов для решения систем уравнений); наличие успешного опыта применения разработчиками средств защиты информации, органами по сертификации и испытательными лабораториями; требования к среде эксплуатации, операционной системе, ресурсам оперативной и внешней памяти; стоимость; вид лицензии; наличие учебных материалов.

5.4 Должны быть представлены свидетельства соответствия выбранных согласно 5.3 инструментальных средств верификации критериям, сформулированным согласно 5.1.

6    Формализованное (машиночитаемое) описание формальной модели управления доступом

6.1    Для верификации формальная модель управления доступом должна иметь соответствующее ГОСТ Р 59453.1 формализованное (машиночитаемое) описание. Язык описания должен позволять выполнить требования к описанию формальной модели управления доступом и быть обеспечен инструментальными средствами для ее верификации, отвечающими критериям в соответствии с 5.3.

6.2    Если формальная модель управления доступом описана на математическом языке, то должен быть осуществлен перевод ее математического описания в формализованное (машиночитаемое) описание на языке, поддерживаемом формальными методами, реализуемыми выбранными в соответствии с 5.3 инструментальными средствами верификации.

6.3    При переводе математического описания в формализованное (машиночитаемое) описание формальной модели управления доступом должны быть последовательно описаны:

-    элементы состояний абстрактного автомата в математическом описании формальной модели:

-    правила перехода абстрактного автомата из состояний в состояния, при этом допустимо объединение нескольких правил в одно или разбиение некоторого правила на несколько с сохранением его свойств;

-    условия выполнения политик управления доступом в состояниях абстрактного автомата и при переходах из состояний в состояния абстрактного автомата (условия безопасности), при этом могут быть добавлены недостающие для осуществления верификации условия, в целом составляющие условия верификации.

Примеры перевода элементов математического описания формальной модели управления доступом в формализованное (машиночитаемое) описание приведены в приложении А.

6.4    Если при переводе математического описания в формализованное (машиночитаемое) описание формальной модели управления доступом проводилась корректировка математического описания, то скорректированное математическое описание должно соответствовать ГОСТ Р 59453.1.

6.5    Если полученное в соответствии с 6.2 формализованное (машиночитаемое) описание формальной модели управления доступом имеет несоответствия ее математическому описанию, то должны быть представлены свидетельства согласованности и непротиворечивости этих описаний.

7    Верификация формализованного (машиночитаемого) описания формальной модели управления доступом

7.1 При верификации формальной модели управления доступом выбранные в соответствии с 5.3 инструментальные средства верификации должны быть применены к ее формализованному (машиночитаемому) описанию, полученному в соответствии с 6.1.

7.2    Верификация формализованного (машиночитаемого) описания формальной модели управления доступом с применением инструментальных средств должна состоять в выполнении следующих действий.

-    должно быть осуществлено автоматическое доказательство непротиворечивости формальной модели и выполнения заданных в ее рамках условий безопасности (условий верификации) при наличии у инструментальных средств соответствующей функциональности, в противном случае должно быть выполнено интерактивное доказательство этих условий верификации:

-    если доказаны все условия верификации, то она считается успешно завершенной, в противном случае должны быть идентифицированы недоказанные условия верификации и для каждого из них должны быть проанализированы причины, по которым их доказательство не было выполнено;

-    если причинами невыполнения доказательства условий верификации являются ограничения инструментальных средств, то эти причины должны быть устранены, после чего доказательство должно быть осуществлено заново до успешного завершения верификации либо выявления дефектов описания формальной модели управления доступом.

Примечание — Возможными причинами невыполнения доказательства условий верификации формальной модели управления доступом и путями их устранения являются:

-    если доказательство условий верификации не удалось выполнить из-за ограничений автоматического доказательства. реализуемого инструментальными средствами, то с их использованием должно быть осуществлено интерактивное доказательство этих условий верификации;

-    если интерактивное доказательство не удалось выполнить из-за сложности доказываемых условий верификации. то при наличии соответствующей возможности должны быть осуществлены декомпозиция условий верификации на более простыв условия верификации и автоматическое или интерактивное доказательство каждого из них в отдельности;

-    если интерактивное доказательство условий верификации не удалось выполнить из-за ошибок в реализации инструментальных средств, то эти ошибки должны быть исправлены.

7.3    Если в процессе верификации выявлены дефекты описания формальной модели управления доступом, не позволяющие подтвердить ее непротиворечивость или выполнение заданных в ее рамках условий безопасности, то описание формальной модели должно быть скорректировано, при этом должно быть обеспечено соответствие описания формальной модели ГОСТ Р 59453.1, и ее верификация в соответствии с настоящим стандартом должна быть осуществлена заново.

Примечание — Формальная модель строится на основе некоторых априорных предположений, справедливость которых может быть обоснована неформально. Примером такого предположения может быть утверждение, что начальное состояние абстрактного автомата является безопасным (удовлетворяющим условиям безопасности), которое следует только из предположения об условиях функционирования средств защиты информации. реализующих политики управления доступом.

7.4    Результаты верификации не должны быть получены путем эксплуатации ошибок в инструментальных средствах верификации или благодаря наличию в описании формальной модели управления доступом логически противоречивых условий. Отсутствие таких дефектов должно быть подтверждено путем анализа инструментальных средств верификации, описания формальной модели и результатов ее верификации.

Примечание — Анализ на отсутствие ошибок в инструментальных средствах верификации может выполняться на основе их применения к предварительно сформированному тестовому набору формальных моделей управления доступом, включающему в том числе формальные модели, содержащие логически противоречивые условия. Рекомендуемым способом проверки является добавление отрицания к одному из логических условий, используемых в формальной модели управления доступом, и демонстрация невозможности доказать одно из свойств модели, зависящих от этого условия.

7.5    Результаты верификации формальной модели управления доступом должны быть представлены в воспроизводимом виде. При этом должны быть получены свидетельства об успешно завершенной верификации и описание конфигурации инструментальных средств верификации, достаточные для независимого воспроизведения выполненной верификации.

Приложение А (справочное)

Примеры перевода элементов математического описания формальной модели управления доступом в формализованное (машиночитаемое) описание

А.1 Введение

В настоящем приложении приведены примеры перевода элементов математического описания формальной модели управления доступом в формализованное (машиночитаемое) описание на языке, поддерживаемом формальным методом Event-B.

А.2 Пример перевода элементов состояния абстрактного автомата

Пусть даны следующие элементы состояния абстрактного автомата математического описания формальной модели управления доступом:

S — множество субьектое доступа;

О — множество объектов;

С — множество контейнеров;

Е = О U С — множество объектов доступа (сущностей), где О П С = 0;

Н_Е: Е — 2^е — функция иерархии сущностей;

RA = {read_a. write,,} — множество видов доступа, где read., — доступ на чтение. write_a — доступ на запись; Ac S * (Е U S) * RA — множество реализуемых доступов субъектов доступа к сущностям и субъектам доступа;

RR = (read,, write,, execute,, oven,} — множество видов прав доступа;

Р с S * (Е U S) * RR — множество реализуемых прав доступа субъектов доступа к сущностям и субъектам доступа;

(LI. S) — решетка уровней целостности, где s — отношение частичного порядка на множестве уровней целостности U;

(LC. S) — решетка уровней конфиденциальности, где S — отношение частичного порядка на множестве уровней конфиденциальности LC;

i_e: Е —• LI — функция, задающая уровень целостности каждой сущности; i_s: S -* LI — функция, задающая уровень целостности каждого субъекта доступа; f_e: Е -» LC — функция, задающая уровень конфиденциальности каждой сущности; f_s: S — LC — функция, задающая уровень доступа каждого субъекта доступа.

В машиночитаемом описании формальной модели на языке, поддерживаемом формальным методом Event-B. для элементов неизменяемой части состояний используются статические множества (sets), константы (constants) и аксиомы (axioms). Изменяющиеся элементы состояний приводятся в блоке переменных (variables). В блоке инвариантов (invariants) — условий и требований на переменные, которые должны быть выполнены в каждом состоянии — каждой переменной задается тип. context СО sets

ABEntitiesAnd Subjects II множество всех субъектов доступа и сущностей AccessRights II множество видов доступа RR Accesses II множество видов прав доступа RA Integrity II уровни целостности решетки LI Confidentiality И уровни конфиденциальности решетки L constants

AllSubjects II множество всех возможных субъектов доступа ABEntities II множество всех возможных сущностей ReadR II право доступа read,

WriteR // право доступа write,

ExecuteR И право доступа execute_f OwnR И право доступа own,

ReadA// право доступа read_a WriteA// право доступа write_a axioms

@ AIIEntitiesAndAIISubjectsTypes partition(AllEntitiesAndSubjects.

ABSubjects, AIIEntities)

@AccessRightsTypes parti?ion{AccessRights. {ReadR}, {WriteR}. {ExecuteR}. {OwnR})

@AccessesTypes partition (Accesses. {ReadA}. {WriteA})

machine МО sees СО variables

Subjects II множество субъектов доступа S Objects И множество объектов О Containers II множество контейнеров С Entities // множество сущностей Е EntityHierarchy // функция иерархии сущностей Н_£

SubjectAccessRights II множество реализуемых прав доступа субъектов II доступа к сущностям и субъектам доступа Р SubjectAccesses II множество реализуемых доступов субъектов II доступа к сущностям и субъектам доступа А Entitylnt II функция, задающая уровень целостности II каждой сущности i_e Subjectlnt II функция, задающая уровень целостности И каждого субъекта доступа i_s EntityCnf И функция, задающая уровень конфиденциальности И каждой сущности f_e SubjectCnf И функция, задающая уровень конфиденциальности II каждого субъекта доступа f_s

invariants

@SubjectsType Subjects c AJISubjects @EntitiesType Entities c AIIEntities

@ObjectsAndContainersType partition(Entities. Objects. Containers)

@EntityHierarchyType EntityHierarchy e Entities-HP\Entities)

@SubjectAccessRightsType SubjectAccessRights e Subjects — (Subjects U Entities AccessRights) @SubjectAccessesType SubjectAccesses e Subjects -♦ (Subjects U Entities •— Accesses)

@EntitylntType Entitylnt e Entities -* ^Integrity)

@SubjectlntType Subjectlnt e Subjects — P( Integrity)

@EntitylntCnf EntityCnf e Entities — P(Confidentiality)

@SubjectCnfType SubjectCnf € Subjects — ^Confidentiality)

A.3 Пример перевода описания правила перехода абстрактного автомата из состояний в состояния

Заданное в математическом описании формальной модели управления доступом правило создания субъектом доступа объекта в контейнере имеет следующий вид. Параметры правила: х — субъект доступа; у — создаваемый объект: z — контейнер, в котором создается объект, yi — уровень целостности создаваемого объекта: ус — уровень конфиденциальности создаваемого объекта.

Условия применения правила (ограничения на значения параметров правила и элементов состояния, к которому применяется правило):

х е S — субъект доступа функционирует в текущем состоянии абстрактного автомата; у г Е — объект не существует в текущем состоянии абстрактного автомата: z е С — контейнер существует в текущем состоянии абстрактного автомата;

(х. 2. write.,) е А — субъект доступа обладает доступом на запись к контейнеру;

(х. z, execute,) е Р — субъект доступа обладает правом доступа на выполнение к контейнеру: yi s min(i_s(x), i_e(z)) — уровень целостности создаваемого объекта не выше уровней целостности субъекта доступа и контейнера, в котором создается объект;

ус = f_e(z) = f₅(x) — должны быть равны уровень доступа субъекта доступа и уровни конфиденциальности создаваемого объекта и контейнера, в котором создается объект.

Результаты применения правила (ограничения на значения элементов состояния, полученного в результате применения правила):

Е* = Е U {у} — объект как сущность добавляется во множество сущностей в последующем состоянии абстрактного автомата:

О' = О U {у} — объект добавляется во множество объектов:

H_E'(z) = H_E(z) U {у} — объект добавляется в состав контейнера;

Н_Е (у) = 0 — созданный объект не включает другие объекты или контейнеры:

Р‘ = Р U {(х, у. own,)} — субъект доступа получает право доступа владения к созданному объекту; i_e’(y) = yi — для созданного объекта задается его уровень целостности;

У(У) = ус — для созданного объекта задается его уровень конфиденциальности.