...

Система защиты информации (далее - СЗИ) ОССН Смоленск оперирует тремя понятиями:

• уровень конфиденциальности
• категории доступа 
• уровень целостности

Что есть что в этом списке, в чем сходство и различие?

«Секретность» и «целостность» — в чем различия?

Секретность

Первые два параметра ("уровень конфиденциальности " и " категории доступа") отвечают за то , чтобы информация не попадала к тому,  кто не дожен уполномочен её получать.

При этом,

...

.

Классический пример уровней конфиденциальности - степени повышающейся секретности "

...

Не секретно" - "ДСП" - "Секретно" - "Совершенно секретно".

Очевидно, что в такой системе пользователю  с уровнем допуска, например,  "ДСП", разрешено читать только  материалы уровня "ДСП" и "Не секретно", 
и не разрешено читать материалы с более высоким уровнем секретности.

Не столь очевидно, что пользователю с уровнем допуска, например "Секретно", нельзя (преднамеренно или случайно) передать пользователю с более низким уровнем "ДСП" секретные материалы,
(теоретические поробности можно найти в многочисленных описаниях модели безопасности Белла-ЛаПадулла).

Для более точного управления доступом в дополнение к уровням конфиденциальности СЗИ предоставляет возможность разделить материалы по категориям доступа.
Простой пример категорий доступа имеется в Руководстве по СЗИ ОССН Смоленск, п. 4.8.10.7:  использование двух категорий "Танки" и "Самолёты".

...

При этом, пользователь, работающий с "Танками" не сможет получить ни получать сведения о "Самолётах", ни передавать сведения о "Танках" тем, кто работает с "Самолётами"

Итак, с помощью параметров  уровень конфиденциальности и категории доступа СЗИ обесечивает:

• невозможность прочитать информацию, к которой нет допуска (чтение "с верхнего уровня" "вниз" запрещено), так и
• невозможность  передать информацию тому, у кого к ней нет допуска (записть "в верхнего уровня" "вниз" запрещена)

Правила, по которым СЗИ определяет возможность  доступа к данным, описаны ниже. 

Целостность

Параметр "уровень целостности" отвечает за то, чтобы информацию не могли изменять те, кому не положено её изменять.

И, в первую очередь, параметр "целостность" отвечает за безопасность самой информационной системы.

Пример для пояснения:

(теоретические подробности модели можно найти в описаниях модели безопасности Биба).

В общем, требование защиты целостности выглядит так:

• процесс, работающий на некотором уровне целостности, может записывать (изменять) только в объекты своего или более низкого уровня (запись "наверх" запрещена).

В СЗИ ОССН Смоленск начиная с версии 1.5 реализована была реализована двухуровневая модель целостности, 
а начиная с версии ОССН Смоленск 1.6 модель целостности расширена до многоуровневой.

Правила, по которым СЗИ определяет возможность  доступа к данным при работе с контролем целостности, также описаны ниже. 

Сущности мандатного доступа

Система мандатного доступа работает со следующими сущностями:

...

Решение о возможности или невозможности вполнения операций принимается на основании сравнения мандатных меток объекта и субъекта.

Мандатная метка, классификационная метка

• Мандатная метка состоит из следующих атрибутов мандатного доступа:

  • классификационная метка, которая, в свою очередь состоит из атрибутов

    • уровень конфиденциальности сущности

    • категория доступа сущности

  • уровень целостности сущности

Кроме того, мандатная метка может иметь специальные флаги ccnr/ccnri (см. "Термины и сокращения")

Атрибуты мандатного доступа

• уровень конфиденциальности - единичное (скалярное) числовое значение (иногда называется  "уровень секретности" или просто "уровень").
  Каждой мандатной (классификационной) метке в каждый момент времени может быть назначен один и только один уровень конфиденциальности.
  Числовые значения уровня конфиденциальности сущности

  • все сравнимы между собой

  • могут находится в диапазоне 0 до 255, включая границы.

  • технически реализованы как 8-ми битная беззнаковая величина (uint8_t).

  • в пользовательских интерфейсах представляются десятичным значением или наименованием единичного уровня конфиденциальности.

  • Теоретически, множество возможных значений уровня конфиденциальности сущности представляет собой линейное упорядоченное множество относительно операции сравнения

...

• категория доступа - маска, состоящая из набора единичных значений категорий доступа (так жеприменяются термин "решетка" и название просто "категория"), .
  В ОССН реализовано использование до 64-х единичных категорий доступа, таким образом, каждой мандатной (классификационной метке)
  в каждый момент времени могут быть назначены одновременно до 64-х категорий доступа. Единичные категории доступа несравнимы между собой.
  Числовые значения категории доступа сущности

  • частично сравнимы между собой

  • определяются как суммы значений назначенных единичных категорий доступа

  • могут принимать значения от 0 до 0xFF FF FF FF FF FF FF FF0xFFFF FFFF FFFF FFFF, включая границы

  • технически реализованы как 64-x битная маска,  беззнаковая величина (unsigned long long)

  • в пользовательских интерфейсах представляются шестнадцатиричным значением, или списком наименований единичных категорий доступа

  • Теоретически, множество возможных значений категорий доступа сущности представляет собой полное частично упорядоченное множество относительно операции сравнения

...

• уровень конфиденциальности cL₀ больше или равен уровню конфиденциальности cL₁ (cL₀ >= cL₁),
  если численное значение cL₀ больше или равно численному значению cL₁;

• уровень целостности iL₀ больше или равен уровню целостности iL₁ (iL₀ >= iL₁),
  если все биты набора iL₁ являются подмножеством набора бит iL₀, или наборы совпадают;
  в терминах побитовых операций (iL0 & iL1) == iL1

• категория доступа C0 больше или равна категориям доступа C1 ( C0 >= C1),
  если все биты набора C1 являются подмножеством набора бит C0; или наборы совпадают;
  в терминах побитовых операций (C0 & C1) == C1

Разрешения на доступ

Пусть мандатная метка субъекта содержит

...

• операция записи разрешена, если
  cLсуб = cLоб, Cсуб = Cоб и iLсуб >= iLоб, то есть:
  уровни конфиденциальности и категории доступа субъекта и объекта  совпадают,
  а уровень целостности субъекта не ниже уровня целостности объекта
  (теоретически - значение iL_суб принадлежит верхнему множеству iL_об) 

• операции чтения и исполнения разрешены, если
  cLсуб >= cLоб, Cсуб >= Cоб, и не зависят от уровней целостности, то есть:
  уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
  а единичные категории доступа объекта входят в единичные категории доступа субъекта
  (теоретически - значение сL_суб и C_суб принадлежит верхним множествам cL_об и  C_об соответственно) .

  Правила наследования

В отношении атрибутов доступа действуют следующие правила наследования:

• если в сессии порождаются другие процессы,
  то они наследуют метку целостности и конфиденциальности;

• Процесс на любом уровне целостности создает объект только с нулевым уровнем целостности.
  Повысить уровень целостности может только субъект с высоким уровнем целостности и с наличием привилегии PARSEC_CAP_CHMAC;

• Процесс создает объекты только полностью наследуя им свою метку конфиденциальности.
  Изменить ее может только привилегированный процесс c привилегией PARSEC_CAP_CHMAC.