«Архитектура защиты, это не про набор инструментов, а про систему взаимосвязанных принципов, где разграничение, учёт и гарантии образуют замкнутый контур. ГОСТ 1995 года заложил эту логику, и она оказалась настолько фундаментальной, что пережила смену технологических эпох.»
ГОСТ Р 50739-95: архитектура защиты от НСД
Февраль 1995 года. Распад СССР позади, но инфраструктура государственных информационных систем требовала единых правил защиты. Госстандарт РФ принимает ГОСТ Р 50739-95 — первый отечественный стандарт, систематизировавший требования к защите от несанкционированного доступа в средствах вычислительной техники.
Стандарт не предписывал конкретные технологии. Вместо этого он задавал архитектурные принципы, которые должны быть реализованы любым комплексом средств защиты. Три группы требований образуют замкнутую систему: разграничение доступа определяет, что защищать, учёт фиксирует, как происходил доступ, а гарантии подтверждают, что система работает корректно.
Две основы контроля доступа: дискретизационный и мандатный принципы
ГОСТ требовал обязательной реализации обоих принципов одновременно. Это не альтернативные подходы, а взаимодополняющие слои защиты, исключающие обход через выбор более слабого механизма.
Дискретизационный принцип
Контроль доступа строится на явных правилах для пары «субъект—объект». Каждому пользователю или группе назначаются права на конкретные ресурсы: файлы, программы, тома. Права задаются перечислением допустимых операций — чтение, запись, выполнение.
Ключевое требование стандарта: механизм должен контролировать не только явные действия через системные вызовы, но и скрытые — например, прямую работу с устройствами через собственные программы пользователя.
Мандатный принцип
Контроль осуществляется через классификационные метки. Каждому субъекту и объекту присваивается уровень конфиденциальности и набор категорий. Доступ разрешается только при соблюдении правил иерархии:
- Чтение: уровень конфиденциальности субъекта должен быть не ниже уровня объекта.
- Запись: уровень конфиденциальности субъекта должен быть не выше уровня объекта.
Мандатные правила применяются ко всем объектам без исключения — включая временные файлы, буферы обмена и оперативную память.
Стандарт требовал реализации диспетчера доступа — единой точки контроля всех обращений. Решение о доступе принималось только при одновременном разрешении и дискретизационными, и мандатными правилами.
Три группы требований ГОСТ Р 50739-95
Требования стандарта структурированы в три взаимосвязанные группы.
| Группа требований | Ключевые элементы | Цель |
|---|---|---|
| Разграничение доступа | Дискретизационный и мандатный контроль, идентификация и аутентификация, очистка памяти, изоляция модулей. | Непосредственное предотвращение НСД к информации. |
| Учёт | Регистрация действий субъектов, маркировка документов, контроль доступа к журналам. | Обеспечение подотчётности и возможность анализа инцидентов. |
| Гарантии | Модель защиты на этапе проектирования, целостность КСЗ, надёжное восстановление, тестирование механизмов. | Подтверждение корректности и неизменности работы самой системы защиты. |
Почему стандарт остаётся актуальным
ГОСТ Р 50739-95 не утратил значения — он заложил архитектурные основы, которые легли в основу современных требований регуляторов. Его принципы узнаваемы в современных подходах:
- Модели безопасности ОС: Принудительный контроль доступа в SELinux или AppArmor — прямое развитие мандатного и дискретизационного принципов.
- Управление доступом на основе атрибутов (ABAC): Эволюция дискретизационного подхода, где правила учитывают множество параметров субъекта, объекта и окружения.
- Концепция нулевого доверия: Требование постоянной проверки каждого запроса перекликается с идеей единого диспетчера доступа, не доверяющего субъекту по умолчанию.
Стандарт опередил своё время. Требование контролировать и явные, и скрытые действия сегодня реализуется через контейнеризацию, изоляцию процессов и аппаратные механизмы защиты памяти.
ГОСТ Р 50739-95 определил не технологии, а архитектурную дисциплину построения систем защиты. Эта дисциплина — замкнутый цикл из разграничения, учёта и гарантий — остаётся актуальной в эпоху облаков и микросервисов, где целостность системы зависит от корректности взаимодействия сотен компонентов.