Zertifizierungsbericht BSI-ITS-0004-1992
Contents
1. 3 Ger tetypcode Ger tefamilie eech Sicherheits sta duktnummer tus Bedien 1 j station CONSOLE CON38 3809 3886 j S Een 1 CON3803 75407 T i j eg 3886 2 3 Hardcopy am SVP CON3888 Hardcopy 3888 3 zu NBP 3886 am Cluster controller 3303 90 75407 1 W ee CON3027 BST 3027 1 2 IR BST 3027 101 102 03 CON3027C BST 3027 11 21 j BST 3027 111 121 j BST 3027 LRC j CON04 emulierte 3027 Konsole BSI Bundesamt f r Sicherheit in der Informationstechnik 6 Zertifizierungsbericht BS2000 SC Version 10 0 Ger tefamilie 4 PRPND 3350 1 3352 1 Se Schnell 20 S 2 drucker PRINTER 26 PRLS333 3337 51 3338 51 511 512 j 521 522 3339 51 512 52 j 522 27 P 3353 21 211 J 2C I 28 29 2A 2B 3 Ger tetyp Ger tebezeichnung Sicherheits sta Produktnummer tus j j EI RPSHP 3351 21 211 j ke PRL3365 3365 11 j be PRPIXH 2090 2 2140 2 j PRL29 Bus Printer f r ZE n mit Bus Peripherie PRLI333 3338 531 53 532 3339 53 532 PRPIHP 3351 23 231 3353 23 231 PRL3365 3365 12 PRL3348 3348 120 3349 120 a u u Lesch spezielle 50 S I Ger te FAM50 ES DSVP1 SVP Harddisk DSVP2 SVP Harddisk an C40 n TD8170 8170 21 MSN n Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 7 Ger tefamilie l 2 3 Ger tetyp Ger tebezeichnung Pro Sicherheits sta duktnummer tus Date2. Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 65 aussetzung da die Auflagen korrekt und vollst ndig befolgt werden sind keine nicht protokollier ten Eingriffe m glich die die Sicherheitsfunktionen au er Kraft setzen k nnen Die Generierung des Sytems ist anhand der Protokolle nachvollziehbar Die Generierung der PDN Phasen mu bei eingeschalteter Protokollierung OPTION MSG FH er folgen Der SKP mu so konfiguriert sein Partnerprofil GENSKP bzw CSP da Konsolbetrieb nur von solchen Datensichtstationen aus m glich ist die in sicherer Umgebung angeordnet sind Der Konsol betrieb darf weder ber Teleservice m glich sein noch darf Teleservice als Ersatzkonsole konfigu riert werden Der SKP mu so konfiguriert sein Partnerprofil GENSKP bzw CSP da die Administration des SKP nur von den Konsolen aus m glich ist Die Administration des SKP darf nicht von Teleservice aus m glich sein Die Protokollierung durch SKP LOG ist f r den Teleservice und f r die Administration des SKP ob ligatorisch Diese Protokollierung mu mit dem Schl ssel F forced eingestellt werden F r den Konsolbetrieb des BS2000 ist die Protokollierung zwar bereits durch CONSLOG abgedeckt aber die Protokollierung des Konsolbetriebs durch SKP LOG f r den Zeitraum von Bedeutung in dem das BS2000 nicht bzw noch nicht l uft Daher ist auch diese Protokollierung mit dem Schl ssel F f
3. Es ist einerseits Aufgabe der Benutzerverwaltung hier nur vertrauensw rdiges Personal zuzulassen andererseits die T tigkeitszeitr ume so einzuschr nken und dies im Rahmen der Performance und Ablaufsteuerung sicherzustellen da keine Kollision mit sicherheitsrelevanten Abl ufen im System stattfindet Sicherheitsaufgaben der Systembedienung Einbindung Die Systembedienung hat spezifische Aufgaben die allein ihr vorbehalten sind wie die Systemeinlei tung oder die Bedienung peripherer Ger te aber auch Aufgaben die sich mit der Systemverwaltung berlappen oder als sogenannte Spezialkommandos von der Systemverwaltung an die Systembe dienung bertragen worden sind Die bertragung von Spezialkommandos an den Operateur zus tzlich zu den ihm standardm ig zur Verf gung stehenden Normalkommandos erfolgt zum Zeitpunkt der Systemgenerierung Die Kontrolle der Systembedienung obliegt der Systemverwaltung und erfolgt in erster Linie durch Auswertung der ausf hrlichen Aktivit tenaufzeichnung Medium CONSLOG und Blattschreiberpro tokoll im Nachhinein Es ist nat rlich auch eine direkte berwachung im laufenden Betrieb m glich u a dadurch da ein Systemverwalter als Teilnehmer die Betriebssituation verfolgt Zugangsschutz Der Zugangsschutz f r das Hochfahren des Systems ist durch den physikalischen Schutz der Haupt konsole gegeben Im laufenden Betrieb kann ber geeignete Vorgaben SKP OMNIS Einsatz auch ein per
4. Separierung des Systems Ein unverf lschtes BS2000 bietet die Schutzfunktionen auf deren Basis der Betreiber und der ein zelne Benutzer einen sicheren Betrieb organisieren kann zur Abwehr von B 7 im laufenden Be trieb Schutz des Systems gegen Ver nderungen und St rungen BS2000 bietet mit den als privilegiert ablaufenden Subsystemen eine vertrauensw rdige Basis f r alle Zugriffe durch Programml ufe des Benutzers auf die vom BS2000 gesch tzten Objekte Der Schutz der Speicherbereiche Separierung der evaluierten Systemteile ist nach dem Schlo Schl sselprinzip realisiert durch ein Speicherschlo das jeder Seite im Hauptspeicher zugeordnet ist und einem vom System eingestellten Ablaufschl ssel f r Programml ufe Nur privilegierte Subsysteme setzen selbst Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 27 Speicherschl sser und Ablaufschl ssel Dabei wird sichergestellt da nicht privilegiert ablaufende Programme immer mit einem nichtprivilegierten Schl ssel ablaufen so da sie auf die vom BS2000 benutzten privilegierten Speicherseiten nicht zugreifen k nnen Wird ein Systemdienst von Programml ufen des Benutzers aufgerufen so kann dies nur ber die Schnittstelle SVC Supervisor Call erfolgen Hierbei werden alle Parameter auf ihre G ltigkeit ber pr ft Schutz der sicherheitsrelevanten Auftr ge und Auftragsdaten Verschiedene Benutzerauftr ge werden getre
5. lschungen der vom System er folgten Sicherheitsleistung kommen kann In der zertifizierten Version BS2000 SC V10 0 sind Sy stem Exits nicht zul ssig Die Nachvollziehbarkeit aller Vorg nge des Systemstarts ist durch eine vollst ndige Protokollierung aller Interaktionen des Operateurs mit dem System einschlie lich auch der mittelbar wirksam wer denden Systemparameter in CONSLOG gegeben Diese wird erg nzt durch die ebenfalls l ckenlose Protokollierung aller ins System eingespielten Korrekturen Ladesystem Subsysteme nachgebun dene Bindemodule Hardware und Software Wartung Hierunter f llt 1 Online Hardware Diagnose Ablauf spezieller Pr fprogramme 2 Hardware Diagnose Auswertung 3 Online Software Diagnose Einsatz spezieller Tools 4 Software Diagnose Auswertung BSI Bundesamt f r Sicherheit in der Informationstechnik 34 Zertifizierungsbericht BS2000 SC Version 10 0 5 Nutzung spezieller Testprivilegierungen Bei geeigneter Auswahl der Verfahren sind bei 1 und 2 die geringsten M glichkeiten der uner w nschten Informationsgewinnung oder der Betriebsst rung gegeben Subsystem WARTOPT Bei 3 4 und 5 besteht dagegen grunds tzlich die M glichkeit da beliebige Information gewonnen werden kann Einschr nkungen sind hier durch bei der Generierung zu setzende Systemparameter durch von der Benutzerverwaltung festzulegende Testprivilegien sowie durch die Nutzung von Secret Pages m glich Subsystem AIDSYS
6. 144 160 ist die Ausgabe der Pa w rter anforderbar Sie werden nur in der verschl sselten Form ausgegeben Das Zugriffsrecht kann ersatzweise durch den Bandverwalter TAPE ADMINISTRATION ausge bt werden f r das Objekt Band Datentr ger Das SPOOL Ger teverwalterrecht kann ersatzweise durch TSOS ausge bt werden Das Zugriffsrecht kann ersatzweise durch die Benutzerkennung SERVICE ausge bt werden f r die Ob Jekte Datei Dateiattribute im PUBSET Katalog betrifft nur Lesen wenn die entsprechende Datei vom Eigent mer mit dem Attribut SPECIAL gekennzeichnet worden ist Kdo CREATE FILE und MODIFY FILE ATTRIBUTES SVC 144 157 und im Falle von Schutz ber Zugriffslisten zus tzlich der geforderte Zugriff dort f r SERVICE erlaubt ist Basic ACL OTHERS ACL Eintrag als Einzelbenutzer oder ber die Gruppenzugeh rigkeit etc Das Attribut PUBSET LIMIT ist f r den TSOS Berechtigten unwirksam 2 2 4 Beweissicherung Das System enth lt Protokollierungskomponenten gem den Anforderungen der Klasse F2 Zus tz lich werden bei allen Protokolls tzen die Merkmale zugeh rige Gruppe wenn Benutzer legal Au dit Id wenn bei Chipkartennutzung bekannt aufgezeichnet Es werden f nf Protokollmedien unterschieden 1 SAT f r Systemverwalter und Benutzer CONSLOG f r Systembediener OMNIS LOG f r OMNIS Benutzer unter Benutzerkennung TSOS SKP LOG f r den SKP Benutzer und SKP Startup DAD
7. Dumps vermerkt Ein Logging von Abrechnungsin formation erfolgt in getrennte Dateien Diese Abtrennung ebenso wie die weitere Aufspaltung des Loggings sicherheitsrelevanter Information in SAT und CONSLOG dient der bersichtlichkeit zur Abwehr von B 6 Die Auswertung von SAT und CONSLOG Dateien erfolgt mit einem gemeinsamen Tool SATUT das auch das Zusammenspielen in gemeinsame Dateien erlaubt Fehler berbr ckung und Verf gbarkeit Die Aufrechterhaltung der Funktionalit t des Systems trotz Fehlfunktionen in Hardware und Soft ware die Gew hrleistung der Funktionalit t trotz Fehlbedienungen z B provozierte Programmfeh ler des Benutzers ist nur partiell m glich und erfordert auch die Mithilfe der Systembedienung und Systemverwaltung Sie dienen der Abwehr von B 5 Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 29 Fehler berbr ckung in Hardware Alle Register Datenwege Busse Verarbeitungswerke z B Addierwerk und der Firmware Spei cher sind bei den zentralen Komponenten parit tsgesichert In einigen F llen werden sogar Einzel oder Doppelfehler ber redundante Information behoben Auf Plattenspeichern werden bei als defekt erkannten Spuren Erzatzspuren automatisch zugewiesen und unsichtbar f r die Systemsoftware benutzt ber auftretende sporadische Fehler werden Fehlerstatistiken gef hrt die ber den Serviceprozessor gesammelt werden Durch eine rechtzeitige
8. ENTRY MODIFY FILE ACL ENTRY REMOVE FILE ACLENTRY Dateiname Objekt Datei Zugriffsrecht Protokolliertes Ereignis und spezifische Information CREATE DATA READ DATA MODIFY DATA OPEN EXEC DELETE DATA Dateiname DMS Returncode falls Ergebnis Mi erfolg Open Modus Audit Attribut der Datei Event ist abh ngig vom Open Modus wobei die Modi INOUT UPDATE SINOUT auf MODIFY DATA OUTPUT und OUTIN auf CREATE DATA INPUT REVERSE auf READ DATA abge bildet werden CLOSE FILE Dateiname DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei Objekt _Benutzerrecht CSTMP MACRO ALLOWED Protokolliertes Ereignis und spezifische Information CSTMP CALL Memory Pool Name Scope Objekt Benutzerrecht TEST OPTION Protokollierung in CONSLOG falls Wert gr er 1 geschaltet wird Objekt _DCAM Anwendung Protokolliertes Ereignis und spezifische Information Y OPEN Y CLOSE Applikationsname Host Name falls verschieden vom Default Return Code CONNECT Applikationsname Partnername Partnertyp Partner Host falls nicht lokal Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 49 Connection Id falls Erfolg DISCONNECT Applikationsname Partnername Partner Host falls nicht lokal Connection Id Objekt Benutzerauftrag Protokolliertes Ereignis und spezifische Information TASK TERMINATION Termination Typ Termination G
9. Rechte bez glich der Betriebsmittel die spezifisch f r oder durch den einzelnen Taskproze erzeugt werden Laufende Auftr ge und Auftragsbeschreibungen noch nicht gestarteter Auftr ge sind von allen Auf tr gen derselben Benutzerkennung aus sichtbar ber Informationsdienste und k nnen von ihnen auch abgebrochen werden Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 39 Kooperation ber und mehrfache Nutzung von Betriebsmitteln kann unabh ngig davon organisiert werden ob diese der Benutzerkennung oder dem Taskproze geh ren F r Auftr ge der gleichen Benutzerkennung wird die Organisation von Kooperation besonders unterst tzt 1 Abbrechen eines anderen Auftrags z B um eine Bearbeitung in Schleife zu unterbrechen oder eines anderen Ausgabeauftrags SPOOL Job ist nur f r Auftr ge der gleichen Benutzerkennung m glich 2 Zugriff auf Betriebsmittel der Benutzerkennung sind m glich bei Benutzerschaltern Schreiben nur f r Auftr ge der gleichen Benutzerkennung bei Dateien Jobvariablen und B ndern soweit durch Schutzattribute gestattet 3 Zugriff auf Betriebsmittel des Taskprozesses sind m glich Memory Pools soweit f r Taskprozesse derselben Benutzerkennung derselben Benutzer gruppe oder f r alle Benutzerkennungen freigegeben Event Serialisations Items siehe Memory Pools DCAM Anwendungsnamen Verbindungsnamen soweit Name und Pa wort bekannt D
10. den Zugangsberechtigungen zum System werden im BS2000 noch weitere Rechte gepr ft die je doch nicht ohne weiteres in das F2 Schema einzuordnen sind Das folgende stellt eine Aufz hlung weiterer vom BS2000 vorgenommener Rechtepr fungen dar Benutzerkennung Beim Systemzugang ber LOGON pr ft JOBACC die Jobklassenangabe und ob die maximale Anzahl von Fehlversuchen nicht berschritten wurde SRPMAU pr ft die G ltigkeit der USER ID die Zugangsklasse und das Pa wort Im Falle des Zugangs mittels Chipkarte wird Chipkarten Id und TSAP gepr ft Beim Systemzugang ber ENTER pr ft JOBACC die Jobklassen BSI Bundesamt f r Sicherheit in der Informationstechnik A4 Zertifizierungsbericht BS2000 SC Version 10 0 angabe SRPMAU pr ft die G ltigkeit der USER ID die Zugangsklasse und das Pa wort Beim Ein richten L schen und ndern von Attributen einer Benutzerkennung wird das Recht MANAGE MEMBERS gepr ft Benutzergruppe Beim Einrichten und L schen von Benutzergruppen pr ft SRPMUG das Recht MANAGE GROUPS Beim ndern oder Anzeigen von Attributen pr ft SRPMUG das Recht MANA GE MEMBERS oder das Recht MANAGE RESOURCES DCAM Anwendung In DCAM wird gepr ft da Namen nur durch TSOS Berechtigten verwendet werden Benutzerauftr ge Beim Zugriff auf Auftr ge pr ft JMS und STATUS das Eigent merrecht Ausgabeauftr ge Beim Zugriff auf Auftr ge pr ft RSO STATUS und SPOOL das Ger teverwalter recht oder das Eigent me
11. dokumentierten Gesamtproze durch Die Verfahrensschritte Entwicklung Integration Qualit ts sicherung und Auslieferung erfolgen organisatorisch und personell getrennt Somit ist insbe sondere eine Rollentrennung zwischen Entwicklung und Testen der Software bei der Qualit tssiche rung bzw der Abnahme gegeben Die Herstellung der Software aus den Quellprogrammen ist durch das Verfahren zur Herstellung der evaluierten Software aus den Quellprogrammen dokumentiert Die bergabe der Quellpro gramme von der Entwicklung an die Integration sowie die bersetzung und das Zusammenbinden bei der Integration unterliegt einer Versions und nderungskontrolle Diese ist im Methodenhand buch beschrieben wird durch das Produktions und Leitsystem PULS EDV unterst tzt und meilen steinorientiert dokumentiert Das Software Integrations und Abnahmeverfahren wird im Methodenhandbuch beschrieben dessen Einhaltung ist meilensteinorientiert dokumentiert Die vorgelegte Testbibliothek enth lt neben den Testprogrammen alle Testergebnisse Zusammen mit umfassenden Dokumenten Spezifikationen der Tests Testplan und Darlegung der Methoden ent spricht die Testbibliothek formal den Anforderungen Die auf der niedrigsten Hierarchiestufe der Spezifikation definierten Einheiten die Prozeduren sind als Module im Quellcode identifzierbar cf Kap 4 2 Ihre Schnittstellen untereinander sind im De velopers Handbook DHB in den entsprechenden Manual
12. gesch tzt aufbewahrt werden Der Betreiber des Personalisierungsrechners mu f r die Eindeutigkeit der Personalisierung der Chipkarten sorgen da die Funktionalit t der Personalisierungssoftware dies nicht von sich aus garantiert Das zentrale Autorisierungs Terminal ZAT mu vor dem Zugang durch Unbefugte ge sch tzt sein insbesondere gegen die M glichkeit Software unbefugt zu entnehmen oder ein zubringen z B Disketten Die Benutzer von Chipkarten m ssen angehalten werden selbst die n tige Sorgfalt zur Ge heimhaltung ihrer PIN und gegen die M glichkeit des Entwendens oder Verlierens der Karte walten zu lassen Beim L schen von Benutzerkennungen bzw von Benutzergruppen durch die Benutzerverwaltung werden die ACL Eintr ge nicht automatisch aktualisiert Das bedeutet da ACL Eintr ge auch Na men von Benutzerkennungen und Benutzergruppen enthalten k nnen die im Betriebssystem nicht mehr existieren Das BS2000 verhindert nicht da Benutzerkennungen und Benutzergruppen unter fr herem Namen neu eingerichtet werden k nnen wenn der vorgesehene Name noch in einer Datei ACL enthalten ist Organisatorische Ma nahmen zur Vermeidung ungewollter Rechtebeziehungen beim Dateizugriff sind im SECOS Manual beschrieben Im F2 Q3 System ist bei der Testprivilegierung f r schreibende Speicherzugriffe maximal der Wert 3 zul ssig Solange ein Benutzer eine Testprivilegierung f r lesende Speicherzugriffe mit einem Wert gr e
13. gt gt U gt gt u gt gt Zertifizierungsbericht BS2000 SC Version 10 0 Bemerkung nur auf Diagnoseband Produktionstools m ssen im F2 Q3 System angewendet wer den Tabelle 9 BS2000 Grundausbau aus sicherheitstechnischer Sicht Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 19 Teil I Ausgew hlte Teile der im Vertriebshandbuch ausgewiesenen SNI Produkte aus si cherheitstechnischer Sicht Bestandteil Sicherheits Bemerkung Gruppe Name Version ACUT ADA ADA ADIAG ADILOS ADILOS DB ADILOS DVS AID AID APLX APLX FS AP210 ARCHIVE ARCHIVE ARITHMOS ARITHMOS ASECO ASSEMBH AVAS AVAS RG AVAS PROG AVAS AVAS RG AVAS PROG nur auf Vorrechner COBOLS85 COBOLS85 COB COLUMBUS ASS COSMOS CAP NEGET DAB DCADITO D B B B B B B A D B B B D A B B A B B B B B B B B B B B B B B D D D A D BSI Bundesamt f r Sicherheit in der Informationstechnik 20 Bestandteil Name Version DCM BCAM BCAM LTS BCAM LTS DCAM RBAM RBAM TIAM VTSU B DFS DORA DORA DRIVE DRIVE DRIVE COMP DRV EDOR EDT EDT FOR77VP FT BS2000 FTAC BS2000 FTAC BS2000 GOLEM GOLEM HELGA HSMS HSMS IDIAS IFG IFG Zertifizierungsbericht BS2000 SC Version 10 0 Sicherheits Gruppe GM ENNEN vu um gt LT DL UDO IT OU gt gt U SI gt U I gt gt OO SS S DOUUDOUUDDD Bemerkung Bund
14. keine Forderungen BS2000 V10 0 bietet aber auch in diesem Bereich eine gewisse Funk tionalit t Auch bei Eintreten von hardware oder softwarebedingten Fehlern oder St rungen von au en soll ein m glichst ungest rter Betrieb aufrechterhalten werden Systemfunktionen werden generell vor Benutzerfunktionen priorisiert Die Priorisierung erfolgt einzeln pro Taskproze Fehler f hren je nach Schweregrad zum Abbruch a eines Benutzerprogramms Fehler wird behoben durch Zur cksetzen eines Programmlauf s b eines Taskprozesses des Benutzers Fehler wird behoben durch Zur cksetzen eines Taskprozesses c des Systemlaufs Fehler wird behoben durch Zur cksetzen eines Systemlaufs z B aller System glo balen Sperren 3 Beschreibung der Evaluation mit Hinweisen auf kritische Be reiche Bei der Evaluierung von BS2000 SC Version 10 0 handelte es sich um eine entwicklungsbegleitende Evaluierung bei der Weiter Entwicklung Dokumenten Erstellung und Pr fung parallel durchge f hrt wurden Inkonsistenzen und Schwachstellen des Produkts und der Dokumentation im Hinblick auf das Evaluationsziel F2 Q3 konnten somit w hrend der und durch die Evaluierung ausger umt werden 31 Qualit t der Sicherheitsanforderungen Die Sicherheitsanforderungen an das System insgesamt mit den geforderten Sicherheitsfunktionen und der Bezug zu den Bedrohungen werden in nat rlicher Sprache dargestellt Die Sicherheitsanfor derungen sind konsistent und voll
15. m gliche Einstellungen f r ein Programm in unverf lschbarer Weise erzwungen werden Andere formulier bare Einschr nkungen betreffen die Zug nglichkeit von Operanden und den Wertebereich von Ope randenwerten Einschr nkungen dieser Art sind besonders bei Benutzerkennungen mit hoher Privile gierung sinnvoll um den m glichen Mi brauch zu beschr nken Rechte und Eigenschaften von Benutzerauftr gen Benutzerauftr ge werden in Form von Auftragsbeschreibungen an das System gestellt Bei Dialog Auftr gen besteht eine Auftragsbeschreibung nur aus dem LOGON Kommando bei Stapel Auftr gen aus einer Datei die mit einem LOGON Kommando eingeleitet wird dessen Parameter nicht ausgewertet werden und Parametervorgaben die dem Operanden in einem LOGON Kommando entsprechen Mit Beginn der Bearbeitung wird jedem Benutzerauftrag ein Taskproze zugeordnet der die Rechte und Privilegien der Benutzerkennung die im LOGON adressiert worden ist bernimmt Zus tzliche Rechte auf ablaufspezifische Objekte werden dem Taskproze f r die Abarbeitung des einzelnen Auftrags zugewiesen Es k nnen zu einem Zeitpunkt mehrere Benutzerauftr ge mit der gleichen Benutzerkennung laufen Einschr nkungen sind hier bzgl Zugangsklassen mittelbar ber die Zuordnung zu Jobklassen die der Performanceoptimierung dienen m glich Jeder dieser Taskprozesse hat dann gleiche Privile gien und Rechte auf den Betriebsmitteln der Benutzerkennung aber verschiedene
16. r umen re sident zu setzen CSTMP Makro Programme mit speziellen Speicherschl sseln zu laden Testprivi legien zu setzen Auftr ge unter speziellen Abrechnungskennzeichen als Express L ufe ohne Zeitbeschr nkung oder nicht deaktivierbar zu starten sowie andere wie z B f r Dateien ein Audit Bit zu setzen Es gelten jeweils die Einzelrechte die auf dem Home Pubset auf dem auch die LOGON Validie rung durchgef hrt wurde eingetragen sind Ein Benutzerrecht bezieht sich entweder auf einzelne Objektklassen oder auf das System als Ganzes PUBSET Nutzungsrechte Nur die Benutzer k nnen auf einem Pubset arbeiten die einen Benutzereintrag im Benutzerkatalog dieses Pubsets haben Verf gbarer Kommandosatz Jeder Benutzerkennung kann der Name eines Kommandoprofils Profile Id zugeordnet werden Das Kommandoprofil definiert den zul ssigen Kommandosatz der f r diese Benutzerkennung verf gbar ist BSI Bundesamt f r Sicherheit in der Informationstechnik 38 Zertifizierungsbericht BS2000 SC Version 10 0 Die von einem Benutzer ausf hrbaren Kommandos einschl von Programmanweisungen werden dabei ber bis zu drei Syntaxdateien die die vollst ndigen Syntaxdefinitionen der eingebbaren Kom mandos enthalten interpretiert Diese spielen bei der Analyse eines eingegebenen Kommandos zu sammen 1 Benutzer kontrollierte Syntaxdatei f r Umbenennungen und Steueranweisungen von Program men unter Kontrolle des Benutzers 2 Gruppe
17. und Authentisierung des Systembenutzers vor unberechtigtem Zugang gesch tzt Die Zugangsklasse REMOTE BATCH ist in der nach F2 Q3 bewerteten Konfiguration nicht zu gelassen Die Authentisierung ist im BS2000 durch einen Pa wortmechanismus realisiert Dar ber hinaus ist dem Anwender durch den zus tzlichen Einsatz des Softwareproduktes ASECO die M glichkeit ge geben auch Chipkarten zur Authentisierung zu nutzen Beide Authentisierungsmechanismen k nnen gleichzeitig genutzt werden Nach erfolgreicher Zugangspr fung erzeugt das System einen Benutzerproze einen sogenannten Task Dieser ist durch das Identifikationsmerkmal Task Sequence Number TSN eindeutig gekenn zeichnet Der Task ist dem Benutzer hierdurch in eindeutiger Weise zugeordnet Dieser Mechanis mus gew hrleistet da jede durch einen Benutzer veranla te Aktion diesem eindeutig zuweisbar ist 3 3 1 1 Authentisierung mittels des Pa wortmechanismus Der Benutzer wird beim Pa wort Mechanismus anhand einer Benutzerkennung USER ID identifi ziert Die Vergabe der Benutzerkennungen erfolgt durch die Benutzerverwaltung Beim Dialog Zu gang weist der Benutzer seine Authentizit t durch die Eingabe des korrekten Pa wortes Authentisierung durch Wissen nach Pa w rter werden in den BS2000 Manualen als Kennw rter bezeichnet In der F2 Q3 Konfiguration wird durch die vorgeschriebene Systemparametersetzung ENCRYPT Y erzwungen da Pa w rter immer einwegverschl sselt abgespei
18. und Sperren von Benutzern Im BS2000 wird ab der Version 10 0 die M glichkeit geboten Benutzerkennungen zu Benutzer gruppen zusammenzufassen Die Benutzergruppen sind in einer hierarchischen Baumstruktur ange ordnet Die Wurzel der Gruppenstruktur bildet die bei First Start auf dem Home Pubset eingerich tete Gruppe UNIVERSAL Alle Benutzerkennungen die nicht explizit durch ein Kommando einer definierten Gruppe zugeordnet worden sind geh ren der Wurzelgruppe UNIVERSAL an Jede Benutzergruppe hat einen eindeutigen Namen und besitzt ein gruppenspezifisches Kontingent an Gruppenbetriebsmitteln und Rechten des Gruppenverwalters Das System kennt das systemglobale Benutzerverwalterrecht USER ADMINISTRATION und das Gruppenverwalterrecht ADM AUTHORITY in seinen hierarchisch geordneten Auspr gungen MA BSI Bundesamt f r Sicherheit in der Informationstechnik 58 Zertifizierungsbericht BS2000 SC Version 10 0 NAGE RESSOURCES MANAGE MEMBERS MANAGE GROUPS Das systemglobale Benut zerverwalterrecht ist den Gruppenverwalterrechten bergeordnet Standardm ig ist das Privileg USER ADMINISTRATION an die Benutzerkennung TSOS vergeben Der Sicherheitsbeauftragte mit der Benutzerkennung SYSPRIV kann dies Privileg an jede Benutzerkennung sich selbst ausge schlossen vergeben Die Gruppenverwalterrechte sind im Einzelnen MANAGE RESOURCES Der Gruppenverwalter ist berechtigt Betriebsmittel und Benutzerrechte der Benutzerkennungen die seiner ei
19. vergebenen Zugriffsrechten in Datei Zugriffskontrollisten den Datei ACL eingetragen Neben den benutzer bzw benutzergruppen spezifischen Rechten k nnen in der Datei ACL auch sogenannte Default Ac cess Rights DAR eingetragen werden Diese Zugriffsrechte an der Datei gelten f r alle Benutzer deren Benutzerkennung oder Gruppenkennung nicht in der Datei ACL eingetragen sind Der erweiterte Zugriffsschutz f r Dateien ber den ACL Mechanismus ist explizit f r eine Datei durch den Eigent mer der Datei durch das Erzeugen der Datei ACL zu aktivieren Nur der Eigent mer einer Datei und ersatzweise der Benutzer mit dem SystemverwalterRecht TSOS k nnen die Zugriffsrechte in der Datei ACL eintragen modifizieren und l schen Der Eigent mer der Datei kann auch sich selbst das Zugriffsrecht nehmen es sich aber jederzeit als Eigent mer wieder geben Die Bezeichnung der Datei ACLs ist eindeutig da es keine M glichkeit gibt den Namen einer Datei ACL mehrfach zu vergeben Alle Datei ACL eines Pubsets sind ihrerseits in einer ACL Datei abgelegt Diese ist durch das Sy stem vor unberechtigtem Zugriff gesch tzt Die Zugriffsrechte zu Dateien K nnen nur positiv vergeben werden Ein Zugriffsverbot f r bestimmte Benutzerkennungen ist dadurch zu realisieren da weder an die Benutzerkennung selbst noch an deren Benutzergruppe noch standardm ig g ltige Zugriffsrechte DAR Eintrag vergeben werden 3 3 2 2 Mechanismen zum Einbringen L schen
20. 11 9756 31 9758 M Monochrom 9762 C Colour 9763 M Monochrom 9763 C Colour 9763 G Grafik Colour J J J J J J J J J j j j j j Tabelle 3 In V10 0 unterst tzte Datensichtstationen mit Sicherheitsrelevanz 1 Im F2 Q3 System einsetzbar wenn Diskettenlaufwerk versiegelt wird oder wenn Korrektheit der Software anderweitig sichergestellt werden kann Anmerkung Im zertifizierten System BS2000 SC V 10 0 d rfen ausschlie lich die in Tabelle 3 aufgef hrten Da tensichtstationen eingesetzt werden BSI Bundesamt f r Sicherheit in der Informationstechnik 12 Zertifizierungsbericht BS2000 SC Version 10 0 1 1 1 4 Daten bertragungsvorrechner Daten bertragungsvorrechner Sicherheitsstatus 9681 1 2 2U j 9686 1 1U 2 2U j 9687 12 120 14 9688 1 2 3 3U 75409 1 2 Tabelle 4 In V10 0 unterst tzte Daten bertragungsvorrechner mit Sicherheitsrelevanz 1 1 1 5 _Chipkarten Ger te Chipkarten Ger te Sicherheitsstatus Chipkarte V1 0 Chipkarte V2 0 Chipkartenterminal CKT Chipkartenleser CKL Zentrales Autorisierungsterminal ZAT2000 mit Sicherheitsmodul SM2 Tabelle 5 In V10 0 unterst tzte Daten bertragungsvorrechner mit Sicherheitsrelevanz Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 1 1 1 6 RSO Drucker 9001 N 9002 9003 9004 9011 N 9012 9013 9014 9020 9021 9022 9023 9025 1 9025 2
21. 7 Die Systembedienung kann durch ausschlie liche Nutzung von privilegierten Anwendungen automatisiert werden Man spricht dann von bedienerlosem Betrieb Sicherheitsaufgaben der Systemverwaltung Die Sicherheitsaufgaben der Systemverwaltung umfassen Vergabe von Systemverwalterrechten nur durch die Benutzerkennung SYSPRIV des Sicherheits beauftragten Benutzerverwaltung mehrstufig aufteilbar Audit Auswertung Datenpflege Systemgenerierung und Installierung Hardware und Software Wartung Hierf r sind folgende Rollen vorgesehen der Sicherheitsbeauftragte der Benutzerverwalter der Audit Auswerter ggf verschiedene Systemverwalterrollen Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 31 Die Rolle des Sicherheitsbeauftragten ist fest einer Benutzerkennung zugeordnet und ist mit allen an deren Rollen unvereinbar Ihr obliegt neben der Vergabe von Systemverwalterrechten auch das Schalten des Sicherheits Audits Die Rolle der Benutzerverwaltung ist weitgehend freiz gig an Benutzerkennungen zu vergeben Sie ist in sich wieder unterteilt in Unterrollen Die Rolle der Audit Auswertung ist an mehrere Benutzerkennungen vergebbar standardm ig aber immer zu einer ausgezeichneten Benutzerkennung SYSAUDIT zugeordnet Die brigen Systemverwalterrollen k nnen unter Ausnutzung der gebotenen Privilegierungsmecha nismen verschieden definiert und gegen
22. 9025 3 9025 1 9025 1 9026 9046 9047 9645 7 9645 8 0 02 DJET Drucker LI Tabelle 6 schnittstellen In V10 0 unterst tzte RSO Drucker mit Sicherheitsrelevanz BSI Bundesamt f r Sicherheit in der Informationstechnik 14 Zertifizierungsbericht BS2000 SC Version 10 0 1 1 1 7 Plattenspeichersteuerungen Plattenspeichersteuerungen Sicherheitsstatus 3410 3418 11 3418 111 3418 121 3418 13 3418 21 3418 22 3418 23 3418 42 3419 23 3419 43 3860 2 3860 30 3860 31 3860 41 3860 42 75403 1 75603 1 75605 2 Tabelle 7 In V10 0 unterst tzte Plattenspeichersteuerungen mit Sicherheitsrelevanz 1 Konfigurationsschalter am Bedienfeld eine Beweissicherung wird bei Konfigurations nderung nicht vorgenommen 2 Konfigurationsm glichkeit ber SVP Bewertung bez glich Beweissicherung wie Zentraleinheit 3 Die Firmware dieser Plattensteuereinheit wird ber den SVP geladen Die Sicherheitsbewertung dieser Steuerung ist daher die der Zentraleinheit in die der SVP integriert ist 4 Die Firmware ist an den Steuerungen ladbar bzw austauschbar Die Ger teschutzverkleidung kann mit Hilfe eines Sechskantschl ssels entfernt werden Es ist deshalb zu garantieren da die Ge r teverkleidung mit einem Sicherheitsschlo versehen wird oder da dieses Ger t in einem ab schlie baren Raum installiert wird 5 Bestandteil von C40 Sicherheitsbewertung wie Zentraleinheit 6 Bestandteil von 7 560 Sicherheitsb
23. CK USER eingegebene User Id Aufruftyp Returncode falls Ergebnis Mi erfolg ENABLE BATCH Auftragstyp nicht bei Fehlversuch User Id des zu erzeugenden Auftrags TSN des erzeugten Auftrags INITIATION TSN des ausl senden Auftrags Spoolin Zeit Zugriff auf Objekte Objekt Datei Eigent merrecht Protokolliertes Ereignis und spezifische Information CREATE SECURITY ATTRIBUTES Dateiname DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei MODIFY SECURITY ATTRIBUTES Dateiname DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei RENAME FILE Dateiname alt Dateiname neu DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei EXPORT SECURITY ATTRIBUTES IMPORT SECURITY ATTRIBUTES Dateiname DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei RENAME BY ARCHIVE Dateiname alt Dateiname neu DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei BSI Bundesamt f r Sicherheit in der Informationstechnik 48 Zertifizierungsbericht BS2000 SC Version 10 0 DELETE SECURITY ATTRIBUTES Dateiname DMS Returncode falls Ergebnis Mi erfolg Audit Attribute der Datei DELETE DATA Dateiname DMS Returncode falls Ergebnis Mi erfolg Audit Attribut der Datei Objekt Datei ACL Eigent merrecht Protokolliertes Ereignis und spezifische Information CREATE FILE ACL DELETE FILE ACL ADD FILE ACL
24. LINK Name Diskette VSN Event Serialisation Item relativ zu SCOPE FITC Connections Port Name FITC Ports Port Name Ger te Typen Mnemonic ITC Items globale Namen Jobclass Name Jobvariable relativ zu CAT ID bzw zu CAT ID USER ID oder LINK Name Master Catalog Entry Master Catalog Entries MRS Katalog Eintr ge sind jeweils einem PVS zu geordnet und werden durch die CAT ID im MRSCAT identifiziert Kommandosatz eingeschr nkte oder erweiterte Kommandomenge Name der Gruppensyntaxdatei in Verbindung mit der Profile Id Innerhalb eines Kommandosatzes identifiziert das System Komman dos ber Kommandonamen und den internen Namen Kommandoname Standardname Meldung MSG ID Memory Pool relativ zu SCOPE Page Nr relativ zum virtuellen Adre raum Programm Programme sind als Bibliothekselemente in Bibliotheken od er als Dateien abgelegt Sie werden durch ihren Ablageort d h Bibliothek Elementnamen oder Dateinamen identifiziert ber Ablageort Datei bzw Bibliothekselement oder Programmname SPOOL Ger t Name SPOOL CHARACTER SET Name SPOOL Formular Name ARCHIVE Sicherungsauftrag ASN TSOS Sicherungsdatei VSN SVID und Dateiname ARCHIVE SAVE FILE enthaltene Objekte durch Dateinamen bzw Namen der Jobvariablen BSI Bundesamt f r Sicherheit in der Informationstechnik 42 Zertifizierungsbericht BS2000 SC Version 10 0 Tempor re Datei im Katalog speziell gekennzeic
25. M LOG f r Netzverwalter Kommandos unter Benutzerkennung NAC F r 2 bis 5 ist eine Vorauswahl der aufzuzeichnenden S tze nicht m glich Es werden alle Interak tionen von Systembedienern aufgezeichnet wobei auch Meldungen die an die Systembedienung ge sandt worden sind aber aktuell nicht ausgegeben worden sind mit aufgezeichnet werden pn E N F r SAT sind mehrere M glichkeiten gegeben eine Vorauswahl der aufzuzeichnenden S tze zu tref fen Verantwortlich ist der Sicherheitsbeauftragte Die beiden Systemverwalterrollen Sicherheitsbeauftragter Benutzerkennung SYSPRIV und Audit Auswerter blicherweise ins besondere die Benutzerkennung SYSAUDIT k nnen dabei nicht ausgenommen werden Alle ihre Aktionen werden bez glich aller SAT relevanten Ereignisse aufgezeichnet Im brigen kann eine Vorauswahl folgende Kriterien ber cksichtigen BSI Bundesamt f r Sicherheit in der Informationstechnik 46 Zertifizierungsbericht BS2000 SC Version 10 0 U ausl sende Benutzerkennung E Ereignisname einschl Ergebnis Erfolg Mi erfolg F falls Datei betroffen vom Eigent mer spezifizierte Audit Angabe F r die logische Verkn pfung der Kriterien sind zwei grunds tzliche Wahlm glichkeiten gegeben die der Sicherheitsbeauftragte auch im laufenden Betrieb ndern kann Satz wird geschrieben wenn U oder E oder F erf llt ist oder Satz wird geschrieben wenn U oder E und F erf llt ist Implizit werden S tze
26. Pr ventivwartung offline oder online auch ber TELESERVICE kann diese Information abgerufen und dann einem permanenten Ausfall vorge beugt werden Dar ber hinaus k nnen Peripherieger te auch regelm ig auf ihre Funktionst chtig keit ebenfalls offline oder online berpr ft werden sog TDP Programme und WARTOPT Funkti on Hierzu mu ggf nur die Zug nglichkeit des Ger ts f r die Benutzer unterbunden werden Fehler berbr ckung in Software Fehlersituationen die durch Software Ma nahmen des Betriebssystems gel st werden m ssen sind zum einen Hardware Fehler die zwar von der Hardware erkannt jedoch nicht behoben werden k n nen Zum anderen sind dies Software Fehler in der Logik der Programml ufe des Betriebssystems Fehler der ersten Art werden unabh ngig ob korrigierbar oder nicht von der Hardware durch ent sprechende Unterbrechungen gemeldet und in der speziellen Protokolldatei HERSLOG protokolliert Fehler der zweiten Art werden von der Software die die Fehlersituationen erkennt in der Protokoll datei SERSLOG protokolliert Die Korrektur z B durch Wiederholung etc von Hardwarefehlern erfolgt unabh ngig vom Be triebsmodus des aktuell betroffenen Benutzerprogramms Bei permanenten Fehlern die als nicht be hebbar erkannt worden sind wird versucht erneute Fehler zu verhindern indem bei redundant kon figurierten Hardware Bausteinen diese aus der Konfiguration entfernt werden Dies Kann periphere Ger t
27. Umfang Abbruch von Ausgabeauftr gen und Informieren ber deren Status die dieses Ger t betreffen nicht pr frelevante Verwaltungsfunktionen bzgl dieses Ger ts Zur Rechteverwaltung Berechtigter SPOOL Ger teverwalter oder Systemverwalter Benutzerkennung Rechte im Sinne von Attributen und Privilegien Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 43 Umfang Attribute RESIDENT PAGES CSTMP MACRO ALLOWED TEST OPTIONS Umfang Privilegien SAT EVALUATION SECURE OLTP USER ADMINISTRATION PRIVILEGE ADMINISTRA TION TSOS TAPE ADMINISTRATION NET ADMINISTRATION PUBSET Nutzungsrecht als Eintrag im Joinfile des PVS Umfang Sichtbarkeit von Dateien PUBLIC SPACE LIMIT PUBLIC SPACE EXCESS Zur Rechteverwaltung Berechtigter Vergabe Entzug durch Gruppenverwalter MANAGE MEM BERS oder Benutzer mit Systemverwalterrecht USER ADMINISTRATION Kommandosatz Ausf hren von Kommandos Umfang Nutzung einer speziell eingeschr nkten oder erweiterten Menge von Kommandos Die brigen f r die Systemverwaltung reservierten Rechte sind fest an das Systemverwalterrecht TSOS ersatzweise an den Operator gebunden Dies betrifft die Objekte DCAM Anwendung Verwendung von Namen Katalog Kategorie MRSCAT Eintrag Pubset Shared Program Subsystem BS2000 kennt ber die Funktionalit t von F2 hinausgehend bereits Rollen ab F4 gefordert Die Rollen im einzelnen sin
28. Zertifizierungsbericht BS2000 SC Version 10 0 Zertifizierungsbericht BS2000 SC Version 10 0 BSI Bundesamt f r Sicherheit in der Informationstechnik 1 1 1 2 2 0 2 1 2 2 3 1 Se 3 3 3 4 3 5 3 6 3 7 Zertifizierungsbericht BS2000 SC Version 10 0 Gliederung des Zertifizierungsberichtes Beschreibung des evaluierten Systems Reader eege 3 System Konlisurali n nunmehr Debt reet Eet SSE EEn Er N Erioni 3 Liste der zum evaluierten System geh rigen Anwenderdokumentation 23 Sicherheitsanforderunsen u u32ssasegeiienihngeiihg ee le 24 System berblick ber die Grundversion BS2000 V 10 0 ucccsseesssssnnnennnnnnn 24 Sicherheitsphilosophie us u2sg244 44832 24 Sicherheitsfunktionalit ten au su 40 au08u0853688000 u 40 Beschreibung der Evaluation mit Hinweisen auf kritische Bereiche 53 Qualit t der Sicherheitsanforderungen s ssseesssssseeeeeeessssssseeereeessssssserreeessssssereeee 53 Q alit t der hee ET 54 Qualit t der verwendeten Mechanismen 54 Qualit t der Abgrenzung zu nicht zu evaluierenden Svstemtelen 59 Qualit t des Herstellungsvorgangs sseeesseesssssseeeereessssssserereerssssssserreeesesssseeeeees 61 LEET 62 Qualit t der anwenderbezogenen Dokumentaton 63 Hinweise und Auflagen e t 220 ee een 63 Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 3 1 Beschreibung
29. and von RESIDENT PAGES die Obergrenze der f r den Benutzer erlaubten Zahl von residenten Seiten Bei einem Erh hungswunsch bzgl Testprivilegien pr ft JMS ob dieser Wunsch mit Berechtigung der Benutzerkennung vereinbar ist PUBSET Nutzungsrecht In DMSCMDA OPENCLOS erfolgt eine Abpr fung ob ein PUBSET prin zipiell sichtbar ist f r den Aufrufer Bei der Belegung von Plattenplatz FILEALLO wird anhand von PUBLIC SPACE LIMIT gepr ft ob die Obergrenze erreicht wurde Bei berschreitung wird gepr ft ob das Recht PUBLIC SPACE EXCESS vorhanden ist Kommandosatz Beim Ausf hren von Kommandos erfolgt in SDF eine Abpr fung auf Zul ssigkeit gegen ber der Gruppensyntaxdatei Event Serialisations Item Beim Zugriff wird von TM NAMEMGR gepr ft ob der Zugreifer im Scope des Event Serialisations Items liegt Memory Pool Beim Anschlu versuch an einen Memory Pool wird von VMM CMP und NAMEMGR gepr ft ob derjenige der den Anschlu w nscht im Scope des Memory Pools liegt Beim Versuch einer Attributs nderung Schreibschutz Freigabe durch nicht CSTMP Berechtigten erfolgt durch VMM CMP eine Pr fung des CSTMP Rechts Tempor re Datei Beim Zugriff oder L schversuch wird von DMSCMDMA gepr ft ob es sic um die erzeugende Task handelt ARCHIVE Sicherungsauftrag Beim Ansprechen von ARCHIVE Sicherungsauftr gen in ARCHIVE Anw wird durch ARCHIVE sichergestellt da ein unpriv Benutzer nur seine eigenen Sicherungs auftr ge
30. ansprechen kann TSOS Sicherungsdatei Bei gew nschter Kenntnisnahme von und Zugriff auf Inhalt von Sicherungs dateien durch einen Benutzer sorgt ARCHIVE daf r da ein Benutzer nur Informationen ber die eigenen Dateien und Jobvariablen in der Sicherungsdatei erh lt Die Ausnahmen von den oben aufgez hlten Rechtepr fungen betreffen haupts chlich in irgendeiner Weise privilegierte Benutzer TSOS SERVICE usw die an der sonstigen Rechtepr fung vorbei ber besondere Rechte verf gen Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 45 Im Einzelnen Das Eigent merrecht kann ersatzweise durch den TSOS Berechtigten ausge bt werden f r die Objekte Ausgabeauftrag Benutzerauftrag Datei Das Eigent merrecht kann ersatzweise durch den Bandverwalter TAPE ADMINISTRATION ausge bt werden f r das Objekt Band Datentr ger Das Zugriffsrecht auf Dateien kann ersatzweise implizit durch den Benutzerverwalter USER ADMINI STRATION oder einen Gruppenverwalter MANAGE GROUPS MEMBERS ausge bt werden beim L schen einer Benutzerkennung Ausnahme Systemkennungen die beim Start des Systems einge richtet werden Das Zugriffsrecht kann ersatzweise durch den TSOS Berechtigten ausge bt werden f r die Objekte Datei Dateiattribute im PUBSET Katalog ARCHIVE Sicherungsauftrag TSOS Sicherungsdatei Beim Informierdienst Kdo SHOW FILE ATTRIBUTES SVC
31. ar ber hinaus gibt es Betriebsmittel die dem Taskproze allein vorbehalten sind Auftragsschalter Teile des Benutzeradre raums die nicht in Memory Pools mit Scope ungleich local liegen tempor re Dateien 2 1 3 2 Objektschutz Festlegung der Schutzattribute Der Objektschutz wird durch den Eigent mer oder den Erzeuger eines Objektes geregelt und dient der Abwehr von B 3 Dateien Jobvariable und B nder sind einer Benutzerkennung als Eigent mer zugeordnet Nur Auftr ge dieser Benutzerkennung oder ein entsprechend privilegierter Systemver walter k nnen diese Objekte erzeugen und l schen und deren Attribute ndern insbesondere k nnen nur sie die Zugriffsrechte f r andere Benutzerkennungen festlegen und ndern Zugriffsrechte k nnen getrennt f r die einzelnen Zugriffsmodi festgelegt werden Bei katalogisierten Dateien ber Pa w rter und wahlweise ber Standardschutzattribute Schreibverbot Fremdzugriffsverbot Basic ACL die nach Benutzerkennung des Datei Eigent mers Benutzergruppe und brige Benutzer die Zugriffsmodi Schreiben Lesen Ausf hren unterscheidet Zugriffskontrollisten bis auf Einzelbenutzer Zus tzlich kann eine Retention Period festgelegt werden bei Jobvariablen f r die Zugriffsmodi Schreiben Lesen ohne Zugriffskontrollisten bei B ndern durch Eigent merschaft des Bandes und Ausschlie lichkeitsanzeige SHARE NO geregelt die bei bereinstimmung des Eigent mers der Datei un
32. ardware Wartungsfunktion ist an die ausgezeichnete Benutzerkennung SERVICE gebunden Benutzerverwaltung Globale und gruppenspezifische Benutzerverwaltung Die Benutzerverwaltung teilt sich in zwei prinzipielle Teilbereiche auf Globale Benutzerverwaltung ber ein entsprechendes Privileg USERADM etabliert und gruppenspezifische Benutzerverwaltung als Gruppenverwalter ausgezeichnete Benutzer kennung in einer Benutzergruppe etabliert Der erste Teilbereich ist dem zweitem bergeordnet Gruppen der obersten Stufe k nnen nur von der globalen Benutzerverwaltung und vom optionalen Gruppenverwalter der Gruppe UNIVERSAL er zeugt und gel scht werden Die gruppenspezifische Benutzerverwaltung kann ersatzweise durch den Gruppenverwalter einer bergeordneten Gruppe oder durch die globale Benutzerverwaltung wahr genommen werden Die Verantwortung f r die Benutzerverwaltung ist also hierarchisch wobei an der Spitze der Hier archie die Verantwortung f r die globale Benutzerverwaltung von mehreren Benutzerkennungen ge tragen werden kann BSI Bundesamt f r Sicherheit in der Informationstechnik 32 Zertifizierungsbericht BS2000 SC Version 10 0 Die Benutzerverwaltung ist nicht nur f r die ma geschneiderte Ausstattung aller Benutzer mit Ein zelrechten PUBSET Nutzungsrechten und verf gbarem Kommandosatz verantwortlich sondern auch f r die Regelung der Benutzer Authentisierung und der Nutzung von Zugangsklassen Die Gruppenstrukt
33. atensichtger te Einschr nken des Zugangs auf die Authentisierung mittels Chipkarte z B Stapel Zugang ist dann nur von der eigenen Benutzerkennung m glich Rechte und Eigenschaften einer Benutzerkennung F r eine Benutzerkennung ist neben den Attributen die das Vertragsverh ltnis zwischen Anlagenbe treiber und Benutzer beschreiben wie Postadresse Abrechnungsnummern Betriebsmittelverbrauch verwaltungstechnische Gruppenzugeh rigkeit und neben den Zugriffsdefinitionen festgelegt welche Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 37 Dateien dem Benutzer geh ren zur Abwehr von B 3 und welche Rechte zur Abwehr von B 2 ihm zugeteilt worden sind bzgl system globalen Rechten Benutzerrechten PUBSET Nutzungsrechten verf gbarem Kommandosatz Die Vergabe dieser Rechte erfolgt durch die System bzw Benutzerverwaltung Eigent merschaft von Dateien und Jobvariablen Die einer Benutzerkennung zugeordneten Dateien und Jobvariablen bilden einen Teilbaum im Datei katalog bzw im Jobvariablenkatalog eines PUBSET Public Volume Set Das Eigent merrecht be zieht sich auf das Erzeugen und L schen von Objekten in diesem Teilbaum die auch zu Lasten des Benutzers abgerechnet werden das Festsetzen der Zugriffsrechte f r andere Benutzer und von Ob jektattributen Dateien und Jobvariable k nnen dabei ausschlie lich der Nutzung durch den Eigen t mer selbst vorbehalten we
34. aus Redundanzgr nden unterdr ckt die bei den bergeordneten Ereignissen Taskterminierung und Programmterminierung bzgl CLOSE Ereignissen auf Dateien und bei Dis konnektion von Memory Pools anfallen Standardm ig wird bei CONSLOG folgende Information immer mitprotokolliert Zeitpunkt Datum Uhrzeit TSN der ausl senden Task bei Ausgaben bzw Name der ausgebenden Anwendung Kennzeichnung des Bedienungsplatzes bei Eingaben Da f r jedes erfolgreiche LOGON bei der Taskerzeugung eine Meldung in CONSLOG geschrieben wird die die Zuordnung USER ID zu TSN enth lt ist damit f r Ausgaben die R ckverfolgung auch zur USER ID m glich Standardm ig wird bei SAT folgende Information immer mitprotokolliert Zeitpunkt Datum Uhrzeit Ereignis Id Ergebnis Erfolg Mi erfolg TSN User Id soweit definiert Group Id soweit User Id definiert Audit Id soweit definiert Voraussetzung ist Chipkartennutzung Die protokollierten Ereignisse im Einzelnen Authentisierung Subjekt Nat rliche Person oder Anwendung Protokolliertes Ereignis und spezifische Information CHECK USER eingegebene User Id Aufruftyp Terminal Application ENABLE DIALOG Auftragstyp Return Code falls Ergebnis Mi erfolg Terminal Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 Application Subjekt Benutzerkennung Protokolliertes Ereignis und spezifische Information CHE
35. chert werden ber die Kommandos SET LOGON PROTECTION und MODIFY LOGON PROTECTION k n nen ausschlie lich priviligierte Benutzer mit den Rechten eines systemglobalen Benutzerverwalters USER ADMINISTRATION oder eines Gruppenverwalters mit dem Gruppenverwalterrecht MANAGE MEMBERS oder MANAGE GROUPS dieser nur f r die ihm untergeordneten Benut zerkennungen Vorgaben an die minimale L nge die Komplexit t sowie die Lebensdauer von Pa worten machen Durch diese Kommandos kann auch der Systemzugang eines Benutzers gezielt auf bestimmte Da tensichtstationen beschr nkt werden Wenn zur Benutzerverwaltung berechtigte Benutzer ungepr ft m glicherweise unbefugt manipulierte Kommandoprozeduren aufrufen die die Kommandos SET LOGON PROTECTION oder MODIFY LOGON PROTECTION enthalten k nnten so sind nicht bemerkte nderungen der Authentisie BSI Bundesamt f r Sicherheit in der Informationstechnik 56 Zertifizierungsbericht BS2000 SC Version 10 0 rungsdaten m glich Im Sicherheitshandbuch f r die Systemverwaltung wird auf diese Bedrohung hingewiesen Um Probierattacken auf Pa w rter zu begegnen ist die maximal erlaubte Anzahl an Fehlversuchen bei der Pa wortpr fung begrenzt Dar ber hinaus wird jeder Fehlversuch mit einer Zeitstrafe belegt Nach Verbindungsaufnahme und Eingabe des LOGON Kommandos unter Angabe der Benutzerken nung sowie der Abrechnungsnummer erfragt das System das Pa wort Die Eingabe des Pa wortes erfolgt be
36. childerte Flexibilit t entspricht den in der Praxis angetroffenen Verh ltnissen und Arbeitswei sen Eine strikte 1 1 Zuordnung von Person zu Benutzerkennung ist eine in der Praxis immer nur ann herungsweise durchsetzbare Einschr nkung Nutzung von Benutzerkennungen Um den Zugang unberechtigter Personen zum System zu verhindern zur Abwehr von B 1 wird eine dem Zugangsweg spezifische Authentisierung vorgesehen Dies soll insbesondere verhindern da die Zugangsh rden aus Bequemlichkeitsgr nden h ufige Nutzung nur von vertrauensw rdiger Seite zu niedrig gesetzt werden oder da die Authentisierungsinformation zu weit gestreut werden mu zur BSI Bundesamt f r Sicherheit in der Informationstechnik 36 Zertifizierungsbericht BS2000 SC Version 10 0 Abwehr von B 6 Authentisierungsanforderung und Einschr nkungen der Zugangswege sind deshalb weitgehend getrennt regelbar Die zur Authentisierung ben tigten Daten werden der SRPM Datei des als sogenannten Home PVS angeschlossenen Public Volume Sets entnommen BS2000 unterscheidet mehrere Zugangsklassen 1 Dialog LOGON zur Erzeugung eines Dialog Auftrags 2 Stapel LOGON zur Erzeugung eines Stapel Auftrags z B von einem anderen Benutzer auftrag aus 3 Remote Batch Logon in einem F2 Q3 System nicht in der Softwarekonfiguration vorgese hen Jede Zugangsklasse kann durch die Systemverwaltung pro Benutzerkennung getrennt gesperrt wer den dar ber hinaus kann sie durch spezif
37. chl sselte Pa w rter in einen von au en provozierten Systemdump gelangen k nnen Operateure haben keinen direkten Zugriff auf Dateien und Jobvariable im System Sie k nnen allen falls vorbereitete Auftr ge auch unter Benutzerkennungen der Systemverwaltung starten und ber diese mittelbar Dateien und Jobvariable bearbeiten Ein direktes Abfragen von Inhalten der bearbeite ten Dateien durch Operateure wird dabei ausgeschlossen zur Abwehr von B 3 ber eine ausgezeichnete Benutzerkennung SERVICE kann der Betreiber Zugriffe auf Pr fdaten und ausgew hlte Dateien durch den Wartungstechniker erlauben Die Testdaten sind durch die zum Ablauf gebrachten Pr fprogramme vorgegeben und m ssen sich dazu im Betrieb besonders authen tisieren Die zugreifbaren Dateien m ssen mit einer speziellen Kennzeichnung f r Wartungszwecke relevant vom Erzeuger versehen sein um zugreifbar zu sein zur Abwehr von B 3 Hierzu geh ren standardm ig die Dateien HERS Hardware Error Recovery System und SERS Software Error Recovery System Schutz von Benutzerdaten in Diagnoseunterlagen Diagnoseunterlagen bei Systemfehlern werden unter speziellen Benutzerkennungen des Systemver walters SYSDUMP und SYSSNAP abgelegt so da sie dem Zugriff durch den normalen Benutzer entzogen sind zur Abwehr von B 3 Diagnoseunterlagen von lesegesch tzten Auftragsbeschreibungen oder Programmen die in Situatio nen anfallen ohne da ein Leserecht des Auftra
38. chlie baren Raum installiert sind 2 Konfigurationsschalter am Bedienfeld eine Beweissicherung wird bei Konfigurations nderung nicht vorgenommen Bundesamt f r Sicherheit in der Informationstechnik Bandger te UM6250 3514 3557 3559 j 1 DANE 1 3534 KK 1 MBK2 1 Gbyte Video 8 er ar 1 MBK 155 Mbyte nur f r SIR und j ern a 3580 A10 2 3580 B10 3580 A20 2 3580 B20 3590 D31 3590 D32 Zertifizierungsbericht BS2000 SC Version 1 07 H UNMTAPE 3590 3580 AlO 3580 B10 3580 A20 3580 B20 3590 D31 3590 D32 3590 A01 3590 B02 BO4 3590 A022 3590 B02 B04 Ger tefamilie CEG EE Produktnum Sicherheitsstatus Bandger te BO Steuerung Laufwerk TAPE Einheit Element I Pi ES Magnetband kassetten ger te MBK 3590E 3590 D41 3590 D42 3590 A10 3590 B20 B40 3590 A20 3590 B20 B40 1 Steuerung f r 3557 bzw 3559 mikroprogrammiert Mikroprogramm ber Magnetbandger t lad unimodale UM1600 bar deshalb besondere organisatorische Sicherheitsvorkehrungen f r angeschlossene Magnetband UM6250 3513 3557 3559 iD ger te erforderlich m m m m lm m m m m m wo m m 2 Mikroprogrammgesteuert von Diskette ladbar Steuerung im eigenen Schrank aber unmittelbar neben dem Magnetbandkassettenger t 3580 B10 bzw 3580 B20 aufzustellen Besondere organisa torische Sicherheitsma nahmen erforderlich BSI Bundesamt f r Sicherheit in der Informationstechnik 10 Zer
39. d Die Rolle der Systemverwaltung Die Rolle der Systembedienung Operating Die Rolle der Hardware Wartung nur Benutzerkennung SERVICE Dabei ist die Rolle der Systemverwaltung noch weiter in die folgenden Unterrollen aufgegliedert Vorgegebene Rollen Audit Auswerter standardm ig Benutzerkennung SYSAUDIT Benutzerverwalter beliebige Benutzerkennungen soweit bzgl Rollen vereinbar Sicherheitsbeauftragter nur Benutzerkennung SYSPRIV TSOS Berechtigter nur Benutzerkennung TSOS Die Rollen des Audit Auswerters des Sicherheitsbeauftragten und des TSOS Berechtigten sind wechsel seitig unvereinbar Durch den Sicherheitsbeauftragten definierbare Rollen Die Definition dieser Rollen erfolgt indem sie einer anderen Benutzerkennung als TSOS zugeteilt werden Netz Verwalter Tape Verwalter 2 2 3 Rechtepr fung Beim Er ffnen einer Datei durch einen Benutzer mu die gew nschte Zugriffsart angegeben werden Die Berechtigung des Benutzers auf die Datei gem der angegebenen Zugriffsart zuzugreifen wird gepr ft Liegt die n tige Berechtigung nicht vor wird der Er ffnungswunsch abgewiesen Liegt die n tige Berechtigung vor wird die Datei gem der Zugriffsart ge ffnet Bei den darauf folgenden Zugriffsoperationen werden nur die beim Er ffnen der Datei spezifizierten Zugriffsarten zugelassen und andere abgewiesen Neben den Zugriffsrechten zwischen Benutzer Benutzergruppen als Subjekte und Dateien als Objekte und
40. d des Bandes durch das entspre chende Attribut der ersten Datei auf einem Band gesetzt werden ber den Bandkatalog MA RENCAT Subsystem MAREN kann ein Band zus tzlich gesch tzt werden bei nicht mit SHARE NO gesch tzten B ndern k nnen eine effektive Eigent merschaft und neue effektive Schutzattribute kein Sharing mit anderen Benutzern oder nur Lesezugriff durch andere Benutzer sowie ein Pa wort wie f r Dateien und eine Retention Period festgelegt werden Memory Pools und Event Serialisations Items sind den Taskprozessen zugeordnet die sich an sie angeschlossen haben Sie werden durch den ersten Taskproze erzeugt wobei ihre Zugreifbarkeit festgelegt wird Die Zugreifbarkeit wird durch den beim Erzeugen angegebenen Scope geregelt Ein BSI Bundesamt f r Sicherheit in der Informationstechnik 40 Zertifizierungsbericht BS2000 SC Version 10 0 Scope spezifiziert einen eigenen Namensraum so da er von allen Zugreifern in gleicher Weise spe zifiziert werden mu Dabei bedeutet Scope Local kein fremder Taskproze darf sich anschlie en Scope Group alle Auftr ge derselben Benutzerkennung d rfen sich ber Angabe des Namens anschlie en Scope User Group alle Auftr ge von Benutzerkennungen derselben Benutzergruppe d r fen sich anschlie en Scope Global alle Auftr ge d rfen sich anschlie en Auftragsbeschreibungen f r Stapelauftr ge oder Ausgabeauftr ge sowie gestartete Stapelauftr ge und Ausgabeau
41. dene Optionen die im Sicherheitshandbuch f r den Sy stemverwalter detailliert beschrieben sind Insbesondere erfordert ein F2 Q3 System die Wahl spe zieller Systemparameter BSI Bundesamt f r Sicherheit in der Informationstechnik 26 Zertifizierungsbericht BS2000 SC Version 10 0 Unverf lschter Systemcode Generiert der Betreiber den Systemcode aus Komponenten und Nebenkomponenten die er vom Hersteller bernommen hat so mu f r das generierte System dessen unverf lschte Zusammenset zung berpr ft werden Verwendung nur von Originalkomponenten Einspielen nur von offiziell validierten Korrekturen REPS etc Einstellen der gew nschten Systemoptionen Bereitstellung eines Subsystemkatalogs mit Bez gen zu Originalsubsystemen des BS2000 Generierung der zur Software passenden Hardware Konfiguration der Peripherie Bereitstellen von Dateien f r die Parametrisierung der Systeminbetriebnahme Startup Parameter Service Bereitstellen von Steuerdateien f r die Subsysteme Bereitstellen von Dateien als Beh lter f r eventuell anfallende Diagnoseinformationen SLED SNAP Datei Generierung des Datenfernverarbeitungssystems TRANSDATA PDN ausschlie lich zur Bedie nung von Datensichtger ten Ein generiertes System kann auf Basis der Generierungsunterlagen einem Plausibilit tstest auf seine Korrektheit unterzogen werden Auch bei Erstinstallation kann nach einem Zwischenschritt ber das sog se
42. der Datei falls keine Wildcardeingabe Anm Alle brigen Kommandos und SVCs die dieses Recht voraussetzen werden im Erfolgsfall bei den entsprechenden Dateioperationen aufgezeichnet Objekt Event Items Protokolliertes Ereignis und spezifische Information ENABLE EVENT DISABLE EVENT ENABLE SERIALISAT DISABLE SERIALISAT Name Scope Objekt Memory Pool Protokolliertes Ereignis und spezifische Information ENABLE MP Name Scope Short Id Speicherklasse Privileg Access Key 0 E F Returncode DISABLE MP CSTMP READABLE Name Scope RELEASE MP Name Scope Events die keinem Objekt direkt zuordbar sind PROGRAM UNLOAD Internal Name Load Unit Name Context Name Aus bung von Systemverwalterrechten Bereich USER ADMINISTRATION Protokolliertes Ereignis und spezifische Information siehe Zugriff auf Objekt Benutzerkennung Benutzergruppe Bereich PRIVILEGE ADMINISTRATION Protokolliertes Ereignis und spezifische Information SET PRIVILEGE RESET PRIVILEGE User Id Pubset angegebenes Privileg HOLD SAT keine weitere Satzinformation Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 51 RESUME SAT Dateiname MODIFY PRESELECTION alle Parameter ggf mehrere S tze Bereich TSOS Systemfunktionen Protokolliertes Ereignis und spezifische Information OPEN VOLUME VSN DMS Returncode falls Ergebnis Mi erfolg All
43. derdokumentation Folgende Manuale die die Anwendung der Sicherheitsfunktionen des BS2000 SC V 10 0 beschrei ben sind beim Hersteller beziehbar Dar ber hinaus stehen f r die nicht sicherheitsrelevanten Pro dukte weitere Manuale zur Verf gung die beim Hersteller bezogen werden k nnen BS2000 V10 0A Sicherheitshandbuch f r die Systemverwaltung U5627 J Z125 1 BS2000 V10 0A Sicherheitshandbuch f r den Benutzer U6521 J Z125 1 BS2000 V10 0A Systembedienung U2000 J Z2125 7 BS2000 V10 0A Systeminstallation U2505 J Z2125 10 BS2000 V10 0A Systemverwaltung U2417 J 2125 9 SECOS V10 0A Benutzerhandbuch U5605 J Z125 1 MAREN V5 0 Benutzerhandbuch U2106 J Z87 3 TRANSDATA Netzmanagement Benutzerhandbuch NTAC2 V5 0C NTAC2E V3 0C DCAM V10 0A U1632 J Z135 8 BSI Bundesamt f r Sicherheit in der Informationstechnik 24 Zertifizierungsbericht BS2000 SC Version 10 0 2 Sicherheitsanforderungen 2 0 System berblick ber die Grundversion BS2000 V10 0 BS2000 ist ein Universal General Purpose Betriebssystem das den Teilnehmerbetrieb mit den Betriebsarten Stapel und Dialogbetrieb sowie den Teilhaberbetrieb mit den Betriebsarten transakti onsorientierter Betrieb und freier Anwendungsbetrieb unterst tzt Diese Betriebsarten k nnen sowohl unabh ngig voneinander als auch kombiniert auf einem Rechen system genutzt werden Der Teilnehmerbetrieb umfa t die Abwicklung von Stapel und Dialogauf tr gen Ein Au
44. des evaluierten Systems 1 1 System Konfiguration BS2000 ist das Betriebssystem der Siemens Nixdorf Systemfamilie 7500 in der Rechner g ngiger Mainframe Architekturen 370 und 370 XA verwandte Architekturen zusammengefa t sind BS2000 l uft auf einer Anzahl von verschiedenen Zentraleinheiten an die wiederum eine Vielzahl von unterschiedlichen Peripherieger ten angeschlossen werden k nnen Die HW Komponenten Zen tralprozessor CPU Arbeitsspeicher ASP Ein Ausgabeprozessor mit Kan len Plattenspeicher Bandlaufwerke Operateurkonsolen Serviceprozessor SVP werden vom Basissystem BASYS be trieben das somit die wichtigste Br cke zwischen Hardware und Software darstellt Das Datenfern verarbeitungsnetz Drucker und Floppy Disks Nichtstandard Ger te werden von den Subsystemen DCM bzw SPOOL bzw ber die Zugriffsmethode ADAM betrieben BS2000 SC Version 10 0 ist der um das Sicherheitspaket SECOS Version 1 0 erweiterte Grund ausbau des BS2000 Version 10 0 Dabei sind die Rechnerkopplung und der Teilhaberbetrieb nicht Bestandteil der F2 Q3 Zertifizierung Mit dem Sicherheitspaket SECOS werden Funktionen zur Verf gung gestellt die einen Betrieb von BS2000 im Rahmen der F2 Q3 Anforderungen erm glichen SECOS besteht aus den Komponenten SRPM FACS SAT SATUT und SATSTAT Das SRPM Subsystem SRPMNUC ist Bestandteil des Grundausbaus von BS2000 V 10 0 SRPM System Resources and Privileges Management erm glicht im wesentlich
45. e Kan le Ein Ausgabeprozessoren und Zentralprozessoren betreffen ber die Nutzung des Dual Recording by Volume DRV werden speziell Plattenausf lle berbr ckt Als Softwarefehler erkannte Fehlersituationen werden standardm ig der direkt auftraggebenden Softwareinstanz entweder eine Funktionseinheit des Systems oder ein Benutzerprogramm zur ck gemeldet in schweren F llen wird entweder der Programmlauf des Benutzers abgebrochen oder so gar der Auftrag Job des Benutzers beendet Dabei wird entsprechende Diagnoseinformation Be nutzerdump oder Systemdump erzeugt In beiden F llen ist der verursachte Schaden relativ begrenzt Der Programmlauf oder der Auftrag kann wiederholt werden Soweit Betriebsmittel von der Fehlersituation nicht betroffen sind stehen diese dann erneut zur Bearbeitung zur Verf gung Fehler die die Funktionsf higkeit des Gesamtsystems betreffen l sen eine abnormale Systembeendi gung CRASH aus Hierbei werden die Daten des Systems und der Benutzer eingefroren um sie mit Diagnosefunktionen sicherstellen und auswerten zu k nnen ber ein Kommando des Operateurs kann das automatische Sicherstellen ohne manuelle Eingriffe veranla t werden Die Ursachenanalyse f r die Fehlersituationen wichtiger Funktionseinheiten im BS2000 wird durch permanent mitlaufende bzw einschaltbare Traces unterst tzt Gew hrleistung der Funktionalit t Eine Gew hrleistung der Funktionalit t bei Hardware und Softwarefe
46. e der im Aufruf spezi fizierten Parameter und der Pr fung deren Legalit t wird in den privilegierten Systemzustand ge wechselt und die angeforderte Aktion ausgef hrt Abgrenzung von Systemdiensten f r Kommandos Die Kommandos einschlie lich aller Operanden werden ber eine Eingabedatei vom SDF Kom mandoprozessor eingelesen Vor der Ausf hrung der darin formulierten Anweisungen findet eine Syntaxpr fung statt die sicherstellt da nur die vordefinierten Funktionalit ten des Systems vom Benutzer angesto en werden k nnen Abgrenzung von Systemdateien Systemdateien liegen unter besonders gesch tzten Benutzerkennungen z B TSOS Sie sind ber die Dateischutzmechanismen gesch tzt Einige Systemdateien sind w hrend des gesamten System laufs ge ffnet auf sie Kann nur ber definierte Schnittstellen zugegriffen werden Datenschnittstellen Eine dem Benutzer zug ngliche und von ihm manipulierbare Datei z B Lademodule wird vom Sy stem im privilegierten Zustand ge ffnet gelesen und ausgewertet Vor der Interpretation wird durch die berpr fung des Inhalts der eingelesenen Daten sichergestellt da das Systemverhalten nicht durch gef lschte oder manipulierte Daten beeinflu t werden kann Unterbrechungen Vom Benutzer initiierbare nicht ber einen SVC Interrupt abgewickelte Unterbrechungen sind programmbezogene Fehler programmbezogene Ereignisse Zeitgeberereignisse R ckmeldungen von E A Auftr gen Diese Unterbrechun
47. einander abgegrenzt werden Privilegienvergabe ber die Vergabe von Systemprivilegien wird Benutzerkennungen die Wahrnehmung von Aufgaben der Systemverwaltung erm glicht auch wenn sie nicht zu den ausgezeichneten Benutzerkennungen TSOS und SYSPRIV geh rt TSOS sind standardm ig alle Systemverwalterrechte zugeordnet bis auf Systemverwalterrechte an Benutzerkennungen zu vergeben und ihnen zu entziehen Audit Dateien auswerten zu d rfen OMNIS Verwaltungsfunktionen auszuf hren Hardware Wartungsfunktionen anzusto en WeiteresSystemverwalterrecht das delegiert werden kann Verwaltung des Bandkatalogs Subsystem MAREN Systemverwalterrechte zu vergeben ist der ausgezeichneten Benutzerkennung SYSPRIV vorbehal ten wobei SYSPRIV keine Rechte an sich selbst vergeben darf zur Abwehr von B 4 SYSPRIV ist damit f r die Aufgaben und Gewaltenteilung der Systemverwaltung allein verantwortlich Zur tat s chlichen Etablierung von Benutzerkennungen mit PUBSET Nutzungsrechten Benutzerrechten und verf gbarem Kommandosatz sind allerdings Zulieferungen insbesondere von der Benutzerver waltung n tig Auch die Zuordnung zu nat rlichen Personen ein wesentlicher Aspekt bei der Durch setzung einer Rollenseparierung ist Aufgabe der Benutzerverwaltung Die OMNIS Verwaltungsfunktion ist ber eine netzweit wirkende von den Benutzerkennungen ei ner einzelnen Anlage unabh ngige Authentisierung mittels Pa w rter zug nglich Die H
48. en Dezentralisierung von Privilegien der Systemverwaltung wodurch eine B ndelung oder Entb ndelung von deren Aufgaben m glich ist Die Privilegienvergabe erfolgt durch den Si cherheitsbeauftragten unter einer besonderen Benutzerkennung Identifikation und Authentisierung von Benutzern durch erweiterten Zugangsschutz Batch und Dialogberechtigung Berechtigung nur f r bestimmte Terminals und erweiterten Kennwortschutz Lebensdauerbegrenzung minimale L nge Komplexit t Einrichtung von Benutzergruppen mit deren Hilfe ein differenzierter Zugriffsschutz m glich ist Gruppenverwalter bernehmen dadurch Teile der Systemverwaltungsaufgaben Bereich Benutzerverwaltung FACS File Access Control System erm glicht dem Benutzer durch Eintr ge in die Zugriffskontrol listen Access Control List ACL seiner Dateien deren Zugriffsschutz bis auf die Ebene von Einzel benutzern zu regeln SAT Security Audit Trail erm glicht Beweissicherung durch Protokollierung sicherheitsrelevanter Ereignisse in eine besonders gesch tzte Datei SAT Logging File Die SAT Protokollierung kann nur vom Sicherheitsbeauftragten aktiviert deaktiviert werden Mit Hilfe von SATUT k nnen die SAT Logging Files von einem autorisierten Benutzer ausgewertet werden Mit SATSTAT lassen sich Statistiken ber Umfang und Inhalt der Protokolldateien erstellen 1 1 1 Detaillierte Hardware Konfiguration Die von BS2000 V10 0 unterst tzten Ger te sind in den
49. en 3 3 3 Mechanismen zur Rechtepr fung beim Dateizugriff ACL Mechanismus Wurde f r eine Datei der erweiterte Zugriffsschutz durch den ACL Mechanismus aktiviert so wird im Katalogeintrag dieser Datei ein entsprechendes Attribut gesetzt Ist dies Attribut gesetzt so stellt das System vor dem ffnen der Datei sicher da die zugeh rige Datei ACL ausgewertet wird Nur die als Ergebnis dieser Auswertung f r den aufrufenden Benutzer als zul ssig erkannten Zugriffsarten sind m glich Das sequentielle Lesen der ACL Datei ist nur dem Benutzer mit dem Systemverwalterrecht TSOS m glich Wird eine Datei gel scht so wird auch ihre Datei ACL gel scht Wenn eine Benutzerkennung gel scht oder neu vergeben wird oder aber eine Benutzergruppe ver n dert oder gel scht wird so wird dies bez glich der Datei ACLs nicht ber cksichtigt Dies bedeutet da hier organisatorisch Vorsorge zu treffen ist Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 59 3 3 4 Mechanismen zur Beweissicherung 3 3 4 1 SAT Mechanismus Im BS2000 ist die Auswahl und die Aufzeichnung der Protokollinformationen zu Aktionen von Sy stemverwaltung und Benutzern durch eine zentrale Komponente SAT realisiert ber eine stan dardisierte Schnittstelle wird diese Protokollierungskomponente von denjenigen Systemkomponenten aufgerufen in denen zu protokollierende Ereignisse anfallen Die zu protokollierenden Informat
50. en f r Kommandos die ber benutzerkontrollierte Syntaxdateien umbenannt sein k nnen invariante Standardnamen protokolliert werden Benutzern dienen diese Ablaufprotokolle blicherweise nur f r ihre eigene Kontrolle oder um bei vermutetem Fehlverhalten des Systems Unterlagen zu haben Systemverwaltern und Gruppenverwal tern kann im Rahmen des Auditing des Gesamtbetriebs auferlegt werden Ablaufprotokolle in geeig neter Ausf rlichkeit zu erstellen und revisionssicher aufzubewahren zur Abwehr von B 4 um die zentral im Security Audit Trail erfa ten Informationen zu erg nzen Da solche Ablaufprotokolle bli cherweise sowieso anfallen und als Unterlagen aufgehoben werden wird dadurch das zentrale Audi ting entlastet Revisionsf higkeit des Gesamtbetriebs Es werden f nf Logdateien gef hrt die eine globale Beweissicherung ggf unter Einbezug von Ab laufprotokollen einzelner Systemverwalter und Gruppenverwalter erm glichen Security Audit Trail SAT CONSLOG in dem alle Aktivit ten der Systembedienung aufgezeichnet werden SKP LOG f r SKP Benutzer und SKP Startup OMNIS LOG f r Ereignisse von OMNIS Benutzern DADM LOG f r Netzverwalter Kommandos Die in SAT aufzuzeichnenden Ereignisse werden vom Sicherheitsverantwortlichen Benutzerkennung SYSPRIV gesteuert Der Umfang der in CONSLOG aufgezeichneten Ereignisse ist nicht steuerbar da diese l ckenlos nachvollziehbar sein sollen Die aktuelle CONSLOG Datei wird in SLED
51. en in den Prozedurbeschreibungen der Designdokumente und den Modulen des Quellcodes dokumentiert Tests erg nzt durch Quellcodeanalysen und Nebenwirkungsanalysen wurden zur Aufkl rung von Unklarheiten und Schwachstellen durchgef hrt Unklarheiten und Schwachstellen Konnten aufgekl rt bzw behoben werden Wege durch die Sicherheitsfunktionen umgangen oder au er Kraft gesetzt werden k nnen wurden nicht gefunden Die Pr fung der Testbibliothek ergab da alle Systemteile durch Tests erfa t werden Durch eine eingehende inhaltliche Analyse ausgew hlter Tests zu SRPM FACS STATUS ist nachgewiesen da die Testf lle im jeweiligen Kontext umfassend und plausibel sind und sicherheitsrelevante Aspek te ausreichend ber cksichtigen Diese Tests wurden nachvollzogen und lieferten die in der Dokumen tation beschriebenen Ergebnisse Das vom Auftraggeber verwendete Verfahren zur Versions und nderungskontrolle wurde anhand einiger ausgew hlter Programmodule deren Weg von der Entwicklung bis zum tats chlich ausgelie ferten Datentr ger nachvollzogen wurden gepr ft Die Versionen und Anderungen der einzelnen Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 63 Komponenten sind in den Versionsst nden erkennbar Bei den gepr ften Modulen bestehen keine Unstimmigkeiten zwischen dem vom Hersteller generierten und dem ausgelieferten System Die Unterlagen zur Software Integration u
52. en Designspezifika tionen geleistet Die Abbildung der Prozeduren einer Funktionseinheit auf die Module des Quellcodes erfolgt bis auf einige nicht sicherheitsrelevante Ausnahmen explizit in den Designspezifikationen In Verbindung mit der Pr fliste Sicherheitseigenschaften ist dadurch die Abbildung der Sicherheitsanforderungen bis auf den Quellcode nachvollziehbar Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 55 Die als Spezifikation vorgelegten Dokumente sind insgesamt formal konsistent Es sind keine Nebeneffekte vorhanden durch die Sicherheitsfunktionen umgangen oder au er Kraft gesetzt werden k nnen Durch stichprobenhafte Quellcode Untersuchungen wurde die Erf llung der Sicherheitsanforderun gen best tigt 3 3 Qualit t der verwendeten Mechanismen Die Mechanismen und Algorithmen sind in den zur Spezifikation des Systems geh renden Design spezifikationen in Verbindung mit den Quellcodes im Detail beschrieben Die Mechanismen decken in ihrer Gesamtheit alle Sicherheitsanforderungen ab und erreichen eine Bewertung von stark In einem begr ndeten Ausnahmefall wurde ein Mechanismus mit mittelstark bewertet 3 3 1 Mechanismen zur Identifikation und Authentisierung Das Betriebsystem BS2000 in der nach F2 Q3 bewerteten Konfiguration bietet dem Benutzer die Zugangsklassen Dialog und Batchzugang Das System ist in beiden F llen durch den Zwang zur Identifikation
53. en sind unter dieser Benutzerkennung abgelegt Datenpflege Der Datenpflege unterliegen alle Aufgaben der Archivverwaltung bzgl Datentr ger der halbauto matisierten Datenmigration und des Schl sseldienstes in Bezug auf verlorene oder auszutauschende Pa w rter Zur Einschr nkung der Mi brauchsm glichkeiten sollten diese T tigkeiten in feste Verfahren einge bettet sein die Benutzern nicht erlauben beliebige Programme zu starten Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 33 Systemgenerierung und Installierung Hierunter f llt die M glichkeit ein neues BS2000 System zu generieren wobei die zum Ablauf kommende Systemsoftware festgelegt wird Die Festlegung umfa t hierf r drei Teile das Ladesystem das zum Generierungszeitpunkt vorgebunden wird so da einzelne Teile nicht mehr ausgetauscht werden k nnen und das die Generierungsoptionen enth lt eine Menge nachgeladener Systemteile die ber im Ladesystem festgelegte Namen angesprochen werden eine Menge von automatisch bei Installierung oder bei Bedarf nachzuladender Subsysteme die ber den Subsystemkatalog verankert werden wobei dieser noch zur Laufzeit des Systems ver n dert werden kann Die beim Ladevorgang zur Anwendung kommenden Korrekturdateien Repfiles werden per Namen festgelegt Die Hardware Konfiguration der Peripherie bei CFCS3 wird aus einer Datei in den Serviceprozessor f r ei
54. er Absatz zweite Zeile ersetze systemglobaler Benutzerverwalter USER ADMINI STRATION durch Systemverwalter TSOS 4 Hinweise und Auflagen Zur Installation und Generierung sowie zum Betrieb des BS2000 SC V 10 0 sind die Vorgaben der in Kapitel 1 2 des Zertifizierungsberichtes aufgef hrten Anwenderdokumente insbesondere jene in den Sicherheitshandb chern unbedingt zu beachten Das zertifizierte Betriebssystem BS2000 SC V10 0 ist nur auf Sonderfreigabe erh ltlich Der Ver trieb erfolgt ausschlie lich durch den Software Kundendienst in M nchen Die Auslieferung der Software mu auf sicherem Vertriebsweg Kuriertransport erfolgen Die Erstinstallation und Gene rierung des BS2000 SC V10 0 erfolgt durch Mitarbeiter des Herstellers Die Systeminstallation und Generierung ist von mindestens zwei vertrauensw rdigen Personen Vier Augen Prinzip und aus schlie lich auf dem rudiment ren Rumpfbetriebssystem SIROS oder unter einem F2 Q3 System durchzuf hren Bei der Systemgenerierung sind weitgehende die sp tere Wirksamkeit der Sicherheitsfunktionen des System beeinflussende Eingriffe bzw Einflu nahmen m glich Da verschiedene T tigkeiten des Sy stemverwalters vom UGEN Protokoll nicht erfa t werden ist eine l ckenlose Beweissicherung im Sinne von Vollst ndigkeit Korrektheit und Nachvollziehbarkeit durch die im Sicherheitshandbuch f r die Systemverwaltung beschriebenen administrativen Ma nahmen sicherzustellen Unter der Vor
55. erglichen wird Bei drei Fehlversu chen in Folge wird die Chipkarte gesperrt War die Authentisierung des Benutzers gegen ber der Chipkarte erfolgreich so erfolgt die Authentisierung der Chipkarte durch ein kryptographisches Ver fahren Die Schl ssel und der Verschl sselungsalgorithmus sind nicht im BS2000 System sondern in einem seperaten Rechner dem zentralen Autorisierungs Terminal ZAT gespeichert Das ZAT ist ein PC mit dem Betriebssystem MS DOS Hierdurch bedingt sind zum Schutz des ZAT besondere organisatorische Ma nahmen erforderlich Die Nutzung der Chipkarte gestattet es mehrere Personen einer Benutzerkennung zuzuordnen Die Identifikation der Benutzer erfolgt dann eindeutig anhand der Chipkarten ID CID Im taskspezifi schen SRPM Kontrollblock wird das Feld AUDIT_ID mit der Chipkarten Id CID versorgt Hier durch ist sichergestellt da jede Aktion eines Benutzers im System auf diesen auch eindeutig r ck f hrbar und somit eine personenbezogene Beweissicherung m glich ist Chipkarten werden mit Hilfe eines Personalisierungsrechners mit der CID und dem Kartenspezifi schen Schl ssel versehen Im System sind wie auch bei der Vergabe von Benutzerkennungen keine Mechanismen implementiert die eine mehrfache Vergabe einer Chipkarten ID an verschiedene Per sonen ausschlie en Die Eindeutigkeit bei der Vergabe der Chipkarten ID ist durch organisatorische Ma nahmen sicherzustellen Der Personalisierungsrechner wird getrennt v
56. ericht BS2000 SC Version 10 0 3 3 5 Mechanismen zur Wiederaufbereitung Speicherobjekte werden vor einer Wiederverwendung so aufbereitet da keine R ckschl sse auf ih ren fr heren Inhalt m glich sind Betroffene Speicherobjekte sind Banddatentr ger Datei Memory Pool Page EAM Datei Jobvariable Event Serialisation Item FITC Port Zeitpunkt der Wiederaufbereitung des Speichers Banddatentr ger Einrichten einer Datei mit dem Attribut DESTROY BY DELETE auf Band Datei Abh ngig von Generierungsoption DESTLEV durch Eigent mer schaltbar L schen der Datei Memor Pool Anlegen des Memory Pools Page Anfordern der Seite BAM Date L schen einer EAM Datei Jobvariable L schen einer Jobvariablen Event Serialisation Item Bei Freigabe FITC Port Beim Einrichten eines Ports 3 4 Qualit t der Abgrenzung zu nicht zu evaluierenden Systemteilen Die Schnittstellen zu den zu evaluierenden Systemteilen und die entsprechenden Abgrenzungsme chanismen sind in den Sicherheitsanforderungen in Verbindung mit den relevanten Teilen der Spezi fikation und der Manuale und weiteren speziellen Dokumenten beschrieben Die zu evaluierenden Systemteile sind diejenigen Systemteile die nicht im unprivilegierten Prozes sorzustand TU Task Unprivileged zum Ablauf gelangen Zus tzlich z hlen dazu einige ausgezeich nete Dienstprogramme Die Schnittstellen im Sinne der Abgrenzung zu den nicht zu evaluierenden Systemteilen si
57. ertes und installiertes System gewisse Re gelvorgaben nur beschr nkt durch den Betreiber ver ndert werden k nnen Zur Abwehr von B 7 mu der Betreiber vorrangig ein unverf lschtes BS2000 installieren sein eige nes Wohlverhalten ist hierf r Voraussetzung Ver nderungen des Systems selbst werden im Rahmen des geregelten Betriebs ausgeschlossen gewisse Sicherheitsgarantien werden durch Wahl spezieller Generierungsoptionen gegeben Durch Loggingverfahren wird die Voraussetzung f r einen revisi onsf higen Betrieb geschaffen Das System enth lt Funktionen um auch bei externen und internen St rungen den Betrieb aufrechtzuerhalten Die im laufenden Betrieb m glichen nderungen durch die Administration und die Operateure k nnen allerdings immer noch zur Verf lschung des Systems f hren wenn nicht besondere Vorkehrungen insbesondere zur Abwehr von BA und B 2 getroffen werden Erst wenn alle Vorkehrungen wirksam werden ist f r die geregelte Kooperation von Benut zern im System eine sichere Umgebung geschaffen 2 1 2 Voraussetzungen f r den sicheren Betrieb Auslieferung und Installation F r den sicheren Betrieb sind die Installierung eines unverf lschten Systemcodes sowie dessen richtiger statischer dynamischer Parameterisierung und sein Arbeiten ber zuverl ssig erstellte Steuerdateien f r Subsysteme prim re Bedingungen Ihre Erf llung obliegt dem Betreiber zur Abwehr von B 7 Hierbei bestehen f r den Betreiber verschie
58. esamt f r Sicherheit in der Informationstechnik Bestandteil Name NKISTRAC NLMSERVE NTAC2 NTAC2 NTAC2 NTAC2E OMNIS MENU OMNIS MENU OMNIS PROP OSS OSS PASCAL PASCAL XT PASCAL XT PASCAL XT PASSAT PCS Zertifizierungsbericht BS2000 SC Version 10 0 Version Sicherheits Gruppe Sr mm mmm rm rz D ZS D zc GGG E Oo GC E EE EE Bemerkung Ben tigt Lese Schreibprivi legierung 8 8 da sonst nur beschr nkt einsetzbar BSI Bundesamt f r Sicherheit in der Informationstechnik 21 22 Bestandteil Name RSOSERVE RSO RSOCONV RSOSERVE SCA SDF A SECOS FACS SATCP SATUT SRPMOPT Zertifizierungsbericht BS2000 SC Version 10 0 Sicherheits Bemerkung Gruppe Version Produktionstool mu im F2 Q3 System angewendet werden D D EB D u E D D B B B D D A B B A B A A A A A Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 23 Bestandteil Sicherheits Bemerkung Gruppe Name Version SESAM SESAM SQL SM2 SM2 IBIS SM2 PA SORT SPL SPL SPL TDA TDA TDDIAG UDS SQL UTM UTM UTM D U U Soo om SS D D D D D D DD E Oo TM D JX BASIC UX BASIC VM2000 VTSU X 29 XAF Oo DO OO wu Tabelle 10 Ausgew hlte Teile der im Vertriebshandbuch ausgewiesenen SNI Produkte aus sicher heitstechnischer Sicht 1 2 Liste der zum evaluierten System geh rigen Anwen
59. ewertung wie Zentraleinheit 7 In Zentraleinheit eingebaute 3418 21 Sicherheitsbewertung wie 3418 21 Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 15 1 1 1 8 ADAM Ger te Markierungsblattleser 4264 und 3262 j Lochstreifenleser 4229 und 4223 Lochstreifenstanzer 4228 Floppy Disk Ger t Ressmann Floppy Disk Ger t Ressmann I Kanal Pr fautomat f r Logikbaugruppen PALOG B 560 Plotter BENSON 1330 Plotter BENSON 936 QADRAMET Lichtsetzmaschine DIGISET Lochkartenleser 4239 4235 und 3150 Lochkartenstanzer 4238 und 3160 Schaltereinheit 3070 Datenaustauschsteuerung 627 Floppy Disk Ger te 317X und 302XX Floppy Disk Ger t F443 I Kanal Mechanikdrucker ohne Formularkontrollpuffer Mechanikdrucker 333X mit Formularkontrollpuffer Mechanikdrucker 3339 mit Formularkontrollpuffer I Kanal Plattenspeicher IBM 3380 I Kanal Scientific Computer FPS 364 I Kanal ZYCAD Logical Evaluator I Kanal Adapter NSC HYPER CHANNEL Adapter NSC HYPER CHANNEL I Kanal ETHERNET Verbindung f r lokale Netze I Kanal Kassettenger t MULTISTREAM 300 Kassettenger t MULTISTREAM 300 I Kanal Datenbank Rechner DBC 1012 Drucker 333X mit Formularkontrollpuffer Drucker 333X mit Formularkontrollpuffer I Kanal SVP Hard Disk SVP Hard Disk I Kanal SVP Hard Disk I Kanal C40 ZAS Laden und Dump ZAS Laden und Dump I Kanal Anschlu steuerung f r LOCAL AREA NETWORK Anschlu steuerun
60. fsrechte an der Datei festzulegen Die Vergabe und der Entzug von Zugriffsrechten an einer Datei erfolgen durch den Eigent mer oder den Systemverwalter TSOS als Ersatzeigent mer Damit ist die Weitergabe von Zugriffsrechten kontrollierbar Das Einbringen L schen Sperren neuer Benutzer Benutzergruppen ist nur m glich durch autorisierte Benutzer die das Systemverwalterrecht USER ADMINISTRATION bzw das Gruppenverwalter recht MANAGE MEMBERS bzw MANAGE GROUPS haben Ein automatisches Sperren nach Fehlversuchen erfolgt nicht Neben den Zugriffsrechten zwischen Benutzer Benutzergruppen als Subjekten und Dateien als Objekten und den Zugangsberechtigungen zum System werden im BS2000 noch weitere Rechte verwaltet Das folgende ist eine Aufstellung weiterer von BS2000 verwalteter Rechte ihres Umfangs und des zur Rechteverwaltung Berechtigten Bond Datentr ger Eigent merrecht gegeben entweder durch ausschlie lichen Eigent mer der er sten Datei auf dem Band und oder durch Eintrag im MAREN Katalog Umfang ndern von Bandattributen Zur Rechteverwaltung Berechtigter Eigent mer oder autorisierter Benutzer mit dem Privileg TAPE ADMINISTRATION Bond Datentr ger Zugriffsrecht Umfang Zugriffsmodus Schreiben Lesen durch Zugreifer oder autorisierten Benutzer mit PrivilegTAPE ADMINISTRATION Zugriff durch Nicht Eigent mer Retention Period Zur Rechteverwaltung Berechtigter Eigent mer SPOOL Ger t Verwalterrecht
61. ftr ge sind jeweils einer Benutzerkennung zugeordnet und k nnen nur von Auftr gen dieser Benutzerkennung modifiziert bzw beeinflu t werden Hier ebenso wie bei exklusiv einem Taskproze zugeordneten Betriebsmitteln er brigt sich eine explizite Festlegung von Zugriffsrechten durch den Eigent mer Abpr fung von Zugriffen gegen Schutzattribute Die Abpr fung von Zugriffen erfolgt f r Dateien bei jeder Dateier ffnung OPEN f r Jobvariablen bei jedem Zugriff f r B nder beim Einspielen des Bandes und dem Open auf die erste Datei des Bandes Die Abpr fung des Zugriffs auf Memory Pools und Event Serialisation Items erfolgt ber die Funk tionseinheit NAME MANAGER bei einem den eigentlichen Zugriffen vorgeschalteten Anmeldevor gang Ausnahmeregelungen Die Eigent merschaft einer Benutzerkennung an Dateien Jobvariablen und Auftragsbeschreibungen gestarteter Auftr ge kann vom Systemverwalter Benutzerkennung TSOS ersatzweise wahrgenom men werden zur Abwehr von B 5 Ausgabeauftr ge an einen RSO Drucker haben als zus tzliche Ersatzeigent mer den Verwalter des RSO Ger ts auf dem der Ausgabeauftrag ausgegeben werden soll Schutz der Information nach dem L schen eines Objekts Alle Adre raumbereiche werden im BS2000 SC aufgrund der hier vorgeschriebenen Systempara metersetzung DESTLEV gr er gleich 4 vor der n chsten Zuweisung mit bin ren Nullen berschrie ben Bei Jobvariablen ist immer nur der aktuell zugew
62. ftrag besteht aus einer Folge von Aufrufen von Funktionen des Systems ber die Kommandosprache Im Teilhaberbetrieb nutzt eine Anwendung oder ein Anwendungssystem als Benutzerprogramm die Funktionen des Betriebssystems und seiner h heren Subsysteme und stellt selbst Funktionen f r sog Endbenutzer zur Verf gung Die T tigkeit des Planens und Steuerns gem strategischen und sicherheitspolitischen Vorgaben ist Aufgabe der Systemverwaltung Die Aufgaben der Systemverwaltung k nnen auf mehrere weitge hend voneinander unabh ngige Rollen aufgeteilt werden Laufende berwachungs und Steuerungst tigkeiten werden weitgehend durch die Systembedienung wahrgenommen Ausgenommen hiervon sind die Aufgaben die wegen ihrer zentralen Bedeutung f r den Betrieb des BS2000 nur von der Systemverwaltung durchgef hrt werden k nnen Das BS2000 besteht aus einer Anzahl von Subsystemen als einer Menge ausgezeichneter Funktions einheiten Subsysteme sind Einheiten der Montage und der Installation und werden aus Programm bausteinen montiert die entweder einzelne Komponenten sind oder eine vormontierte oder logisch zusammengeh rige Komponentengruppe bilden Zugeordnet zu Subsystemen sind sog Nebenkomponenten wie Kommandosyntaxbeschreibungen Syntax Files Meldungstextdateien Message Files und generative Komponenten die von anderen Subsystemen zur Benutzung der angebotenen Programmierschnittstellen ben tigt werden z B Schnittstellen Makros und sog Inc
63. g f r LOCAL AREA NETWORK I Kanal C40 Floppy Disk Tabelle8 Im F2 Q3 Betrieb ber ADAM anschlie bare Ger tetechnik Anmerkung Sollen im F2 Q3 Betrieb weitere Ger te ber ADAM angeschlossen werden so ist dies nur mit einer sicherheitsbewerteten und vom Hersteller ausgelieferten ADAM Ger tetabelle m glich BSI Bundesamt f r Sicherheit in der Informationstechnik 16 Zertifizierungsbericht BS2000 SC Version 10 0 1 1 2 Detaillierte Software Konfiguration Die folgenden Tabellen weisen den Sicherheitsstatus von BS2000 Produkten aus Dieser Anhang besteht aus zwei Teilen I BS2000 Grundausbau aus sicherheitstechnischer Sicht I Ausgew hlte Teile der im Vertriebshandbuch ausgewiesenen BS2000 Produkte aus sicher heitstechnischer Sicht Definition der Sicherheitsgruppen f r die Software Bestandteile Gruppe A Software Bestandteile die das F2 Q3 System bilden Gruppe B Software Bestandteile die unter Steuerung des F2 Q3 Systems sicher ablaufen aber nicht evaluiert werden m ssen da sie die Sicherheitsstufe des Systems nicht ver ndern k nnen Gruppe D Gegenw rtig nicht sicherheitsbewertete Produkte die im zertifizierten System nicht eingesetzt werden k nnen Gruppe D Gegenw rtig nicht sicherheitsbewertete Produkte die im zertifizierten System nicht eingesetzt werden k nnen da sich das F2 Q3 Zertifikat nur auf den Betrieb eines Einzelsystems bezieht Produkte der Gruppen D und D sind im folgenden du
64. gen entsprechen genau definierten Interrupts im System und l sen fest vorgege bene Aktionen des Systems aus die nicht weiter beeinflu t werden k nnen Schutz von Systemanwendungen Das Transportsystem BCAM Basic Communication Access Method des Datenkommunikations systems DCM Data Communication Methods mu bereitgestellt werden da die Verbindung zwi BSI Bundesamt f r Sicherheit in der Informationstechnik 62 Zertifizierungsbericht BS2000 SC Version 10 0 schen Zentralprozessor PDN Vorrechnern Konsolprozessoren und verschiedenen Verwaltungsin stanzen im Host in der Systemarchitektur als ein vernetztes System betrieben wird Da BCAM beim Aufbau von angeforderten Verbindungen keine Privilegierungen kennt hat jeder unprivilegierte Be nutzer grunds tzlich Zugang zu BCAM und somit auch ber die vom System genutzten Zug nge zum BCAM Netz zu Komponenten des Systems Diese Anwendungen sind vor nicht autorisiertem Zugriff durch unterschiedliche Mechanismen gesch tzt oder eine Adressierung wird erkannt und ab gelehnt Die folgenden BCAM Anwendungen d rfen im zertifizierten System nicht eingesetzt werden ADS ATOP FJAM MRSAPP NDMS OBSERVE RBATCH 3 5 Qualit t des Herstellungsvorgangs Die zur Implementierung des Systems verwendeten Sprachen weisen eine eindeutig definierte Syntax und gut dokumentierte Semantik auf Der Hersteller f hrte die Entwicklung des Systems in einem im Methodenhandbuch definierten und
65. genen Gruppe oder der ihr untergeordneten Gruppenstruktur angeh ren zu verwalten Er hat kein Recht Benutzerkennungen anzulegen zu l schen und von einer Benutzergruppe zur an deren zu transferieren Er hat kein Recht die Organisation Hierarchie der Benutzergruppen zu ndern d h er kann Benut zergruppen weder anlegen noch transferieren oder l schen MANAGE MEMBERS Der Gruppenverwalter ist berechtigt Benutzerkennungen innerhalb seiner eigenen oder einer dieser untergeordneten Benutzergruppe neu anzulegen zu modifizieren zu l schen und zu deaktivieren Die MANAGE MEMBERS Berechtigung impliziert die MANAGE RESOURCES Berechtigung MANAGE GROUPS Der Gruppenverwalter ist berechtigt die Organisation der hierarchisch unter seiner Benutzergruppe liegenden Gruppen durch Neuanlage L schen und Transferieren von Benutzergruppen zu ver ndern Die MANAGE GROUPS Berechtigung impliziert das MANAGE MEMBERS Recht Jede Gruppe kann mu aber nicht notwendigerweise einen Gruppenverwalter haben Gruppenver walter der Wurzelgruppe UNIVERSAL sind alle Benutzerkennungen mit Privileg USER ADMI NISTRATION Ein Gruppenverwalter wird entweder durch den Gruppenverwalter einer h heren Gruppe sofern dies Recht in dessen Gruppenpotential enthalten ist oder einem Benutzer mit dem Privileg USER ADMINISTRATION ernannt Gruppen k nnen neben dem Gruppenverwalter auch jederzeit von einem Benutzer mit dem Privileg USER ADMINISTRATION verwaltet werd
66. gs auf dieses Programm bestand sondern nur ein Ausf hrungsrecht werden ebenfalls unter einer speziellen Benutzerkennung des Systemverwalters SYSUSER abgelegt so da die Information nur auf Anfrage und in der Regel nur dem Eigent mer der Auftragsbeschreibung oder des Programms zur Verf gung gestellt werden kann Hierf r stellt das System beschr nkten Platz bereit um bei Mi brauch eine Beeintr chtigung des Gesamtbetriebs BSI Bundesamt f r Sicherheit in der Informationstechnik 28 Zertifizierungsbericht BS2000 SC Version 10 0 m glichst gering zu halten Bei Ersch pfung des Speicherplatzes wegen berm iger Beanspruchung k nnen keine Diagnoseunterlagen lesegesch tzter Programme mehr erstellt werden Der Verursacher der Platzbelegung ist ermittelbar zur Abwehr von BA B 6 Eine Sonderrolle spielen Informationen im Adre raum eines Benutzerauftrags die gegen die ber nahme in Diagnoseunterlagen besonders gekennzeichnet sind sog Secret Pages Bei geeignetem Betriebsmodus werden solche Daten nicht in einen Benutzerdump aufgenommen zur Abwehr von B 3 B 4 Der Zugriff ber Diagnosetools zu Adre raumteilen des Systems ist ber Testlevel f r Lesen und Schreiben geregelt Revisionsf higkeit Revisionsf higkeit einzelner Auftr ge F r alle Auftr ge werden gesteuert ber Auftragsparameter und Kommandos Ablaufprotokolle er zeugt die z B alle Kommandos und die durch sie bewirkten Ereignisse enthalten Bei Bedarf k nn
67. gsaufkommen Die Kommandoprofile beschreiben eine zwi schen beiden T tigkeiten stabile Zwischenschicht da sie die grunds tzliche Arbeitsteilung in einer Installation widerspiegelt und deshalb nur geringen nderungen unterworfen ist Im Falle von nde rungen werden von seiten des Gruppenverwalters die Anforderungen bzgl Einf hrung neuer Kom mandoprofile oder nderung bestehender an den Verwalter von Kommandoprofilen gestellt Die Zuweisung zu Benutzerkennungen erfolgt durch den Gruppenverwalter Diese Rollentrennung dient zur Abwehr von B 4 in Kombination mit B 6 Die Benutzerverwaltung mu auch die Vorleistungen bringen f r T tigkeiten der Systemverwaltung wie die Performance und Ablaufsteuerung z B die Festlegungen ber Abrechnungsdaten Account Kennzeichen verbrauchbare CPU Zeit etc und Platzbelegungen PUBLIC SPACE LIMIT RE SIDENT PAGES CSTMP MACRO ALLOWED F r Sonderrechte bzgl der Ablaufsteuerung NO CPU LIMIT START IMMEDIATE gilt da dieses Sonderrecht wahlweise auch durch eine bei der Ablaufsteuerung Subsystem JMS Dienstprogramm JMU erfolgte Zuweisung erworben werden kann Audit Auswertung Die Audit Auswertung wird als Systemverwalterrecht vergeben und ist der standardm ig vorgese henen Benutzerkennung SYSAUDIT immer zugewiesen Dieser Benutzerkennung geh ren die Da teien des System Audit Trail ohne da ein nderungsrecht auf diese Dateien besteht Auch die CONSLOG Dateien ebenso wie die SAVEREP Datei
68. hlern erfordert z T die Mit hilfe des Operateurs Fehlersituationen die nicht vom System selbst behandelt werden k nnen wer den dem Operateur gemeldet z B Leistungsabfall Auch aus anderen ihm vom System ausgege benen Informationen kann der Operateur auf den Defekt einzelner Hardware oder Softwarekompo nenten schlie en Dem Operateur wird dazu die M glichkeit gegeben von sich aus die Hardware oder Softwarekonfiguration des Systems zu ver ndern insbesondere Hardware Komponenten zu BSI Bundesamt f r Sicherheit in der Informationstechnik 30 Zertifizierungsbericht BS2000 SC Version 10 0 und wegzuschalten oder einzelne Subsysteme soweit hierf r die Voraussetzung gegeben ist neu zu starten oder sogar auszuwechseln Dies betrifft bei Mehrprozessoranlagen einzelne Zentralprozesso ren Ein Ausgabeprozessoren Kan le und periphere Ger te Das System sorgt bei Prozessoren und Pfaden daf r da dabei soweit m glich keine Information verloren geht bei speichernden Kompo nenten daf r da die gespeicherte Information soweit m glich konsistent bleibt Durch Wegschalten von Hardware Komponenten oder Pfaden zu diesen darf die prinzipielle Funkti onsf higkeit des Systems nicht beeintr chtigt werden Daher werden Auftr ge zum Wegschalten ei ner wichtigen Komponente letzter Ein Ausgabeprozessor letzte Konsole letzte Pfad zu einem Ge r t zur ckgewiesen Wegschalten von Prozessoren f hrt zur Verringerung der Leistu
69. hnet relativ zu CAT ID bzw CAT ID USER ID oder LINK Name Pubset Cat Id Benutzergruppen Name Catalog Kataloge in ihrer Gesamtheit stehen nur dem Systemverwalter zur Verf gung Sie sind ei nem PVS zugeordnet und werden durch die CAT ID im CMS identifiziert Category Name Jobstream Name Shared Program Program Name Subsystem Name optionale Version TSAP Transport Service Access Point Prozessorname Stationsname Bei nicht erfolgreicher Identifikation von Subjekten Objekten werden die entsprechenden Operationen mit Fehlermeldung z B Returncode abgewiesen Die angesto ene Funktion wird nicht ausgef hrt 2 2 2 Rechteverwaltung Benutzer werden nach ihrer erfolgreichen Identifikation und Authentisierung innerhalb des BS2000 durch eine Task repr sentiert diese ist mit der Benutzerkennung gekennzeichnet die im Auftrag des Benutzers arbeitet Die Objekte des BS2000 die der Rechteverwaltung im F2 Sinne unter liegen sind im BS2000 die Dateien Die Dateien sind mit einer Datei ACL Access Control List versehen die f r einzelne Benutzerkennungen Benutzergruppen die Zugriffsrechte festlegt M gliche Datei Zugriffsrechte sind Lesen Schreiben und Ausf hren Mit Hilfe des ACL Mechanismus ist es m glich Benutzern bzw Benutzergruppen den Zugriff auf eine ACL gesch tzte Datei zu verwehren den Zugriff auf einen nicht modifizierenden Zugriff zu beschr nken sowie f r jeden Benutzer separat die Zugrif
70. i dieser Vorgehensweise dunkelgesteuert Das LOGON Kommando gestattet aber auch die direkte Eingabe des Pa wortes als nicht dunkelgesteuerten Kommando Operanden des LOGON Kommandos Im Sicherheitshandbuch f r den Benutzer wird durch einen Warnhinweis auf diesen Umstand hingewiesen Der Bedrohung durch Spoofing Programme auch als LOGON Fallen bezeichnet wird im BS2000 durch organisatorisch technische Ma nahmen im wesentlichen durch die Nutzung eines Fluchtsym bols des sogenannten TUI Indikators begegnet Die erforderlichen Ma nahmen sind im Sicherheits handbuch f r den Systemverwalter sowie dem Sicherheitshandbuch f r den Benutzer beschrieben 3 3 1 2 Authentisierung durch Chipkarte Wird die Chipkarte zur Authentisierung genutzt so ist neben dem Besitz der Chipkarte Authentisierung durch Besitztum die Kenntnis der Personal Identification Number PIN Authentisierung durch Wissen erforderlich Beim Systemzugang identifiziert das BS2000 System den Benutzer zun chst anhand seiner Benut zerkennung Ist f r diese Benutzerkennung der Chipkartenschutz festgelegt so wird der Benutzer aufgefordert seine Chipkarte in das Chipkarten Terminal einzuf hren Der Benutzer authentisiert sich zun chst durch Eingabe der Personal Identification Number PIN am Chipkarten Terminal ge gen ber der Chipkarte Hierzu leitet das Chipkarten Terminal die PIN direkt an die Chipkarte weiter wo sie mit der dort verschl sselt gespeicherten Referenz PIN v
71. iben eines Briefes wo besondere Privilegien nicht erforderlich sind sich einer unprivilegierten Benutzer kennung bedient Beispiel f r 2 ist da der Vertreter einer Person deren Aufgaben erledigen kann ohne jedes einzelne Privileg oder Recht der zu vertretenden Person gesondert bertragen bekommen zu m ssen F r Revisionszwecke zur Abwehr von B 4 ist allerdings bei Chip Karten Nutzung die Vorausset zung gegegeben da eine personenbezogene Protokollierung der von einer Person angesto enen T tigkeiten erfolgen kann Das personenbezogene Logging dient im Fall 1 dazu da bergreifend ber einzelne Benutzerken nungen die von einer Person angesto enen T tigkeiten r ckverfolgt werden k nnen Im Fall 2 dient es dazu zwischen den einzelnen Personen bei der R ckverfolgung ihrer Verantwortlichkeit unter scheiden zu k nnen Fa t man die Benutzerkennung als den juristischen Vertragspartner des Betreibers einer BS2000 Anlage auf so hei t dies da eine Person mehrere Vertr ge abschlie en kann 1 und da ein ein zelner Vertrag mit mehreren Personen geschlossen werden kann 2 Dies erm glicht die Freiheit Benutzerkennungen projektbezogen und aufgabenbezogen einzurichten Bietet das personenbezoge ne Logging bei 1 dem BS2000 Betreiber eine weitergehende M glichkeit Sicherheitsverletzung zu erkennen so bietet es bei 2 dem Vertragspartner die M glichkeit die Verantwortlichkeit intern weiterzuverfolgen Die ges
72. iesene String auslesbar so da ein L schen des In halts beim L schen einer Jobvariablen entfallen kann Bei B ndern erfolgt ein L schen des Inhalts nur durch Einrichten einer neuen leeren Datei mit dem Hinweis nachfolgende Information zu l schen 2 2 Sicherheitsfunktionalit ten Dieses Kapitel stellt die Sicherheitsfunktionen nach Grundfunktionen geordnet dar Diejenigen Funktionalit ten die ber die Forderungen der Klasse F2 hinausgehen sind durch Einr ckung und eine kleinere Schrifttype kenntlich gemacht 2 2 1 Identifikation und Authentisierung Das System identifiziert und authentisiert Benutzer die nat rliche Personen sind durch Pr fung ei ner vom Benutzer eingegebenen Benutzerkennung und des zugeh rigen Pa worts oder der PIN beim Chip Karten Verfahren Diese Identifikation erfolgt vor jeder anderen Interaktion des Systems mit Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 41 dem Benutzer Nur nach einer erfolgreichen Identifikation und Authentisierung sind andere Interak tionen m glich Nach der erfolgreichen Identifikation und Authentisierung wird die nat rliche Person innerhalb des BS2000 durch Subjekte des BS2000 repr sentiert die mit der Benutzerkennung gekennzeichnet sind Die Authentisierungsinformation ist im BS2000 in speziellen Dateien gespeichert auf die au er dem Authentisierungsmechanismus nur explizit dazu autorisierte Benutzer ber defi
73. in der in den Dokumenten be schriebenen Form ist im Falle von Unklarheiten oder vermuteten Schwachstellen durch Tests und Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 61 durch stichprobenhafte Quellcodeuntersuchungen nachgewiesen In einigen F llen von Unklarheiten oder vermuteten Schwachstellen wurden anstelle von Tests Quellcodeuntersuchungen vorgenom men Abgrenzung des Systemadre raums Durch einen hardwarem ig verankerten Schutzmechanismus Schlo Schl ssel Mechanismus wird gew hrleistet da ein nicht privilegierter Benutzer nicht auf den Systemspeicherbereich zugreifen kann Im Wartungsfall sind unter Anwendung von Autorisierungsmechanismen bestimmte Zugriffe auf den Systemspeicher m glich Abgrenzung der Taskadre r ume Jeder Adre raum bildet eine Dom ne Die Abschottung wird durch die Adre umsetzung erreicht die sich bei der Transformation einer virtuellen Adresse stets auf den eingeschalteten Adre raum bezieht Der einer Task zugeordnete Adre raum wird bei der Initiierung der Task durch die Versorgung eines speziellen Hardware Registers eingeschaltet Alle folgenden Transformationsvorg nge beziehen sich damit nur auf den eingeschalteten Adre raum Abgrenzung von Systemdiensten f r SVCs Die einzelnen Programmierschnittstellen werden durch gezielte Unterbrechungen des Programmlaufs eines Benutzerprogramms realisiert Supervisor Calls SVCs Nach der Analys
74. ionen erh lt die Protokollierungskomponente ber diese standardisierte Schnittstelle Die Nichtumgehbarkeit der Beweissicherung wird wesentlich durch diejenigen Systemkomponenten des BS2000 gew hrleistet die die Protokollierung durch den Aufruf von SAT ansto en Bei der Bearbeitung eines Ereignisses entscheidet SAT anhand eigener Datenstrukturen und anhand SRPM Informationen ob und wie ein Ereignis zu protokollieren ist 3 3 4 2 Zugriff zu den Protokollinformationen Der Zugriff zu den Protokollinformationen ist nur autorisierten Benutzern m glich da diese Infor mationen in Dateien abgelegt sind die nicht autorisierten Benutzern nicht zug nglich sind Die Da teien CONSLOG SAT SKP LOG und SAVEREP sind unter der Benutzerkennung SYSAUDIT abgelegt Die Datei OMNIS LOG ist unter der Benutzerkennung TSOS abgelegt Die Datei DADM LOG ist unter der Benutzerkennung NAC abgelegt Die Dateien werden systemseitig geschrieben wobei die Auswahl der zu schreibenden Information f r SAT von SYSPRIV gesteuert wird ber die Einstellung von Vorselektionskriterien Der Zugriff auf diese Protokolldateien ist nur unter der Benutzerkennung SYSAUDIT m glich Ausnahme TSOS wobei der Zugriff f r SYSAUDIT ber geeignete Dienstprogramme eingeschalt ist F r SAT S tze ist eine besondere Engpa behandlung vorgesehen K nnen S tze nicht geschrieben werden weil der Schreibpuffer gef llt ist wird der schreibende Taskproze angehalten Nur Task pr
75. ische Authentisierungsvorgaben f r die berechtigten Perso nen und durch spezifische Zugangseinschr nkungen weitgehend getrennt gesch tzt werden Authentisierung Zugangseinschr nkung Bei 1 Pa wort 1 Chipkarte Datensichtger te ber Anschlu adresse identifiziert einzeln gemeinsam oder Jobklassensperrung keines erforderlich Bei 2 Pa wort 1 oder keine Absetzende Benutzerkennung Authentisierung Jobklassensperrung 2 Bei 3 Pa wort 1 oder keine Jobklassensperrung 2 Authentisierung Mit 1 und 2 wird angezeigt da der Wert der entsprechenden Steuergr e f r die betroffenen Zu gangsklassen nur gemeinsam gesetzt werden kann Es ist z B m glich f r Dialog Logon die Chipkarte zu verlangen f r den Stapel Logon nur Zutritt von vorgegebenen vertrauensw rdigen Benutzerkennungen zu erlauben und den Zugang ber Re mote Batch Logon g nzlich zu verbieten F r das Pa wort einer Benutzerkennung kann eine Vorgabe bzgl seiner G ltigkeit f r den Zugang gemacht werden Es ist dann Aufgabe des Benutzers dieses h ufig genug zu ndern Zus tzlich kann die Lebensdauer eines Pa worts einer Benutzerkennung begrenzt werden Die getrennte Sch tzbarkeit der Zugangsklassen zur Abwehr von B 1 und B 6 dient z B folgenden Zwecken Sperren des Zugangs zu hochprivilegierten Benutzerkennungen Einschr nken des Zugangs auf besonders gesch tzte Zugangswege z B f r spezielle phy sikalisch vom Betreiber gesch tzte D
76. ise entsprechen den nat rlichen Personen Subjekte au erhalb des BS2000 mehrere Subjektbegriffe innerhalb des BS2000 Zur Beschreibung prinzipieller Beziehungen von Subjekten untereinander und prinzipieller Nutzungsm glichkeiten von Objekten wird systemintern eine Be schreibung von Repr sentanten der Benutzer Benutzerkennung User id gehalten Jeder Vorgang Benutzerauftrag Job Taskproze etc der dann gestartet wird wird einem so beschriebenen Benutzer zugeordnet und die ihm m glichen Beeinflussungsm glichkeit anderer Vorg nge bzw Nutzungsm glichkeiten von Objekten werden entsprechend den in bezug auf Benutzer gemachten statischen Vorgaben begrenzt Eine wesentliche Leistung des BS2000 zur Abwehr von B 1 B 2 B 3 ist deshalb die Zuordnung von nat rlichen Personen zu ihren systeminternen Repr sentanten sicherzustellen diese auf aktive Sub jekte zu bertragen und dem Benutzer entsprechende Steuerungsm glichkeiten zu geben Objekte mit anderen Benutzern gemeinsam nutzen zu k nnen Da das BS2000 einerseits die hierzu ben tigten Steuer und Regelvorgaben sicherstellen mu ande rerseits erlaubt diese weitgehend flexibel zu ndern spielt das Zusammenwirken zwischen den Sub jekten im BS2000 und dem BS2000 als Ganzem eine Rolle Das BS2000 mu sicherstellen da Re gelvorgaben f r Subjekte nicht umgangen und nur kontrolliert ver ndert werden k nnen Dar ber hinaus kann es w nschenswert sein da f r ein fest generi
77. lbstladende Produkt SIR die Generierung ber BS2000 kontrolliert erfolgen zur Abwehr von B 7 Kontrolle von Installations nderungen Um einen 24 Stundenbetrieb organisieren zu k nnen wird eine nderung der installierten Softwa rekonfiguration im laufenden Betrieb geboten Diese beschr nkt sich auf einzelne ausgew hlte Sub systeme die entladen und oder hinzugef gt werden k nnen und als solche besonders im Systemka talog gekennzeichnet sind Kritisch sind hierbei solche Subsysteme die mit System Privileg ablaufen oder die von einer privilegierten Systemverwalterkennung eingesetzt werden Verantwortlich f r die korrekte Subsystemkonfiguration ist der Systemverwalter und der Operateur dessen T tigkeit ber das CONSLOG Protokoll kontrolliert werden kann zur Abwehr von B 4 B 6 und B 7 Bei schwerwiegenden Systemfehlern und oder aufgrund der Entscheidung des Operateurs wird ein Systemlauf abgebrochen Es kann dann ein SLED Dump als Unterlage f r eine nachfolgende Dia gnose erstellt werden und ein neuer Systemlauf begonnen werden Aufgrund der CONSLOG Pro tokolle zu den zugeh rigen Systeml ufen kann dieses Ereignis erkannt und nachgepr ft werden ob die Referenzen zu Systemcode Parameterisierung oder Steuerdateien gewechselt wurden zur Ab wehr von B 4 und B 7 Unter der Voraussetzung da die zugeh rigen Dateien unverf lscht geblie ben sind kann eine unentdeckte Verf lschung des installierten Systems ausgeschlossen werden
78. llierung untersucht Bei der Systemgenerierung sind weitgehende die sp tere Wirksamkeit der Sicherheitsfunktionen des System beeinflussende Eingriffe bzw Einflu nahmen m glich Da verschiedene T tigkeiten des Sy stemverwalters vom UGEN Protokoll nicht erfa t werden ist eine l ckenlose Beweissicherung im Sinne von Vollst ndigkeit Korrektheit und Nachvollziehbarkeit durch administrative Ma nahmen si cherzustellen Unter der Voraussetzung da die Auflagen korrekt und vollst ndig befolgt werden sind keine nicht protokollierten Eingriffe m glich die die Sicherheitsfunktionen au er Kraft setzen k nnen Die Generierung des Sytems ist anhand der Protokolle nachvollziehbar Die bertragung der Software erfolgt mit Hilfe von Magnetb ndern und nach dem Verfahren SO LIS Durch einen Pr fbitmechanismus Parity Bits werden bertragungsfehler erkannt die bertra gungsprozedur mu neu gestartet werden Manipulationen des Masterbandes auf dem Weg zum Kunden werden durch Kuriertransport ausgeschlossen Die Erstinstallation erfolgt durch ein Team des Herstellers Durch diese Mechanismen bzw Ma nahmen ist die Integrit t der eingespiel ten Software sichergestellt Die Wartungssituation mit der damit verbundenen geringeren Systemsicherheit kann nur durch die Systemverwaltung oder durch autorisierte Benutzer herbeigef hrt werden Die Sicherheitsfunktionen des Systems gelten zumindest f r den mit der Durchf hrung von Wartungsarbeiten beauf
79. ludes Abh ngig davon ob sie im vorgenerierten Ladesystem vorhanden sein m ssen oder nicht sind Subsysteme in obligate und optionale unterteilt Einige Subsysteme k nnen ihrerseits untergeordnete Funktionseinheiten oder einzelne Programmbausteine erst bei Bedarf vom Peripheriespeicher laden 2 1 Sicherheitsphilosophie 2 1 1 Sicherheitsgrunds tze im BS2000 SC Version 10 0 Die Abk rzung BS2000 wird im folgenden f r das zertifizierte System verwendet Die Sicherheitsgrunds tze des BS2000 legen fest wie es durch Personen benutzt werden kann und welche M glichkeiten der Betreiber des BS2000 hat die Nutzungsm glichkeiten zu steuern zu re geln und zu berwachen Die dabei aus dem potentiellen Einsatz stammenden Bedrohungen sind B 1 Zugang unberechtigter Personen zum System B 2 Unbefugte Aus bung von privilegierten T tigkeiten B 3 Unbefugter Zugriff auf Betriebsmittel und auf gespeicherte Information B 4 Fahrl ssige und mi br uchliche Nutzung von Privilegien B 5 Fehlfunktionen des Systems B 6 Fehlbedienung durch Systemadministration oder Benutzer Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 25 B 7 Verf lschung des Systemcodes oder zentraler Systemdaten Alle diese Bedrohungen haben gleicherma en Bez ge zu den drei Grundbedrohungen Verlust der Vertraulichkeit Verlust der Integrit t Verlust der Verf gbarkeit denial of service blicherwe
80. nachfolgenden Tabellen unterteilt in Zentraleinheiten Ger te mit Ger tetypcode Datensichtstationen Daten bertragungsvorrechner BSI Bundesamt f r Sicherheit in der Informationstechnik A Zertifizierungsbericht BS2000 SC Version 10 0 Chipkarten Ger te RSO Drucker Plattenspeichersteuerungen ADAM Ger te Da nicht alle von BS2000 V10 0 unterst tzten Ger te die Sicherheitsanforderungen an einen F2 Q3 Betrieb erf llen ist f r jedes Ger t ausgewiesen ob es zur zertifizierten Konfiguration geh rt oder nicht Sind f r den zertifizierten Betrieb besondere Ma nahmen zu ergreifen oder Re geln einzuhalten so wird explizit darauf hingewiesen Die nicht unter das Zertifikat fallenden Komponenten sind durch Fettdruck und Kennzeichnung des Sicherheitsstatus hervorgehoben Sicherheitsstatus j Ger t im F2 Q3 Betrieb einsetzbar n Ger t nicht f r den F2 Q3 Betrieb vorgesehen 1 1 1 1 Zentraleinheiten Zentraleinheiten Adressierungsbreite Sicherheitsstatus 7 500 C40 7 500 H60 7 500 H90 7 500 H120 71 560 EX FX HX 7 570 CX FX GX PX 7 580 7 590 Tabelle 1 In V10 0 unterst tzte Zentraleinheiten Anmerkung VO Prozessoren und Serviceprozessoren sind integrale Bestandteile der Zentraleinhei ten Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 1 1 1 2 Ger te mit Ger tetypcode 1 FAMILY Code 2 Ger tekanalklasse
81. nd Abgrenzung der systemintern genutzten Speicherseiten vor dem Zugriff durch unprivilegier te Benutzerprogramme Abgrenzung der Speicherseiten verschiedener Benutzerprozesse untereinander Kontrollierter Zugriff auf Systemdienste durch SVC Aufrufe Programmierschnittstelle Kontrollierter Zugriff auf Systemdienste ber Kommandos Schutz von systemseitig genutzten Daten bei der externen Speicherung durch Vergabe vor geschriebener Schutzattribute z B Dateipassw rter Datenschnittstellen d h vom Benutzer definierbare Dateien mit nicht trivialer Syntax des Inhalts der vom System interpretiert wird z B Lademodule vom Benutzer initiierbare Unterbrechungen Interrupts im System Mit diesen Schnittstellen bzw den entsprechenden Schutzmechanismen ist die Abgrenzung zu den nicht zu evaluierenden Systemteilen grunds tzlich gegeben Anhand der Dokumentation ist nach vollziehbar warum aufgrund der genannten Abgrenzungsmechanismen eine Beeintr chtigung oder Umgehung der Funktionen insbesondere Sicherheitsfunktionen der TCB Trusted Computing Base zu evaluierende Systemteile nicht m glich ist Die Aufgaben Parameter und Effekte der Schnitt stellen sind ausreichend dokumentiert Die Abgrenzungsfunktionen werden jeweils durch mehrere in der Regel voneinander unabh ngige Einzelmechanismen realisiert die einzeln und im Zusammenhang untersucht wurden und in ihrer Ge samtheit mit stark bewertet sind Die Existenz der Mechanismen
82. nd abnahme sind insgesamt vollst ndig Die im Sinne ei ner Stichprobe untersuchte bergabeerkl rung zwischen der Qualit tssicherung und der Ausliefe rung die im wesentlichen den erfolgreichen Abschlu der Testaktivit ten zum Ausdruck bringt er wies sich im Abgleich mit den Planungsvorgaben als vollst ndig und konsistent 3 6 Betriebsqualit t Unterschiedliche M glichkeiten in der Konfiguration der Hardware sind im Sicherheitshandbuch f r die Systemverwaltung dokumentiert cf Kap 1 3 2 Sie haben keinen Einflu auf die Sicherheits anforderungen Unterschiedliche M glichkeiten der Konfiguration der Software sind nicht vorgese hen Einige Subsysteme die Sicherheitsfunktionen enthalten sind jedoch insofern optional als sie zwar generiert werden aber nicht in jedem Fall gestartet werden m ssen Dies bedeutet aber keine Beeintr chtigung anderer Sicherheitsfunktionen Diejenigen Subsysteme auf deren Funktionalit t nicht ohne Verlust der Sicherheit verzichtet werden kann sind genau festgelegt cf Kap 1 4 Sie sind im Sicherheitshandbuch f r die Systemverwaltung entsprechend gekennzeichnet Der Proze der Generierung wird im Manual Systeminstallation und im Sicherheitshandbuch f r den Systemverwalter beschrieben Die Generierung wird von dem vielf ltig einsetzbaren Werkzeug UGEN unterst tzt und protokolliert UGEN geh rt als Produktionstool nicht zum zu evaluierenden Systemteil und wurde nur hinsichtlich der Protoko
83. nen nachfolgenden Ladevorgang hinterlegt Die zum Einsatz ben tigten Syntax Dateien und Meldungs Dateien f r das System und f r die ein zelnen Profile ids k nnen von vorangehenden Systeml ufen des F2 Q3 Systems bernommen wer den wobei ein Bezug ber Startup Parameter Options hergestellt werden kann Die Generierung des Datenfernverarbeitungssystems erfolgt unabh ngig von der Generierung des BS2000 Systems Die Kopplung der beiden Systeme erfolgt ber den Anschlu der PDN Rechner ans BS2000 Die Initialisierung von Datentr gern insbesondere von Plattendatentr gern die dann z B zur Instal lierung eines Systems ben tigt werden ist Teil der Generierung eines Systems Da hiermit auf diesem Datentr ger hinterlegte Schutzinformation berschrieben wird ist diese T tigkeit wie die gesamte Generierung und Installation nur unter besonderer Kontrolle und von vertrauensw rdigem Personal auszuf hren Vor der Installierung eines Systems oder einzelner Komponenten wie Syntax Dateien sollte das Er gebnis einer Generierung einem Review unterzogen werden um z B das Einbringen von als unsicher bekannten Subsystemen oder gar von Trojanischen Pferden in das System zu erschweren Eine m gliche Ma nahme ist die R ckverfolgung der Bestandteile des montierten Systems und deren Modifikationen Hierbei ist insbesondere zu beachten da es bei Einsatz von betreiberspezifischen Systemerg nzungen als System Exits geladene Subsysteme zu Verf
84. nfern S 61 TD960 9631 1 2 3 j verarbeitung TD ZAS DUMP 9631 50 51 52 55 j ZAS BCAM j 6C ZAS SIN TRANSDATA ZAS mit n Anschlu an SINIX 6D ZAS LAN 9632 100 n DAST 3612 n I TD960 9631 1 2 3 j ZAS DUMP 9631 60 61 671 65 j ZAS BCAM j 6D ZAS LAN 9632 200 n DAST 3801 B n physikalisch name des Die Namen werden von unterst tzte exoten ger ADAM festgelegt Die Zu Ger te tes ordnung zum Ger tetyp code erfolgt durch die UGEN Anweisung ADT ADAM Ger te siehe Ta belle 8 Disketten S 92 FD30243 3171 j1 ger te DISKETTE FD3171 3171 mit Zusatz 31712 j 1 I 9 FD75407 75407 2 C40 iD 1 Die bertragenen Dateien sind mit den Sicherheitsma nahmen entsprechend Sicherheitshandbuch f r die Systemverwaltung Abschnitt 5 4 zu sch tzen BSI Bundesamt f r Sicherheit in der Informationstechnik 8 Zertifizierungsbericht BS2000 SC Version 10 0 Ger tefamilie Sicherheits sta nummer tus Plattenger te 80 1 ei all TI I D3490 30 3490 3A4 3A8 3B4 j TT fae 1 SF D3475 8F 74305 12 13 140 141 j a Leen 1 lm mmm ES anaa a passa ELSE CE a oas asco A7 D3490 10 3490 1A4 1A8 1B4 j Pe ee ajap pa 2 speicher S I AC D3480 3480 1 2 11 12 j 111 112 R 3848 A4 B4 AD4 BD4 j AD D348E 3480 21 22 j SS esma D o poa AF D3490 20 3490 2A4 2A8 2B4 j Pe 1 Diese Ger te sind dann in einem F2 Q3 Betrieb einsetzbar wenn sie in einem abs
85. ngsf higkeit Durch die priorit ts und zeitscheibengesteuerte Prozessorvergabe wird sichergestellt da Systemprozesse nicht durch Benutzerprozesse dominiert werden k nnen Benutzerprozesse auch in Engpa situation entsprechend der ihnen zugewiesenen relativen Priori t ten bearbeitet werden Ma nahmen gegen Datenverlust Jeder Benutzer kann alle Daten Dateien Jobvariable die unter seiner Benutzerkennung abgelegt sind auf Hintergrunddatentr ger i a B nder sichern wobei er Umfang und Art der Sicherung w hlen Dateiauswahl Deltatechnik etc und die Daten bei Bedarf wieder einspielen kann Die Be nutzerkennung TSOS hat da sie f r alle Datenobjekte Ersatzeigent mer ist die M glichkeit Da tensicherung und Wiederherstellung bergreifend zu allen Benutzerkennungen durchzuf hren Betrieb und Bedienung Die Betriebs berwachung und Steuerung erfolgt ber Benutzerkennungen denen Systemverwal tungsprivilegien zugewiesen worden sind Die Bedienung erfolgt ber als Bedienungskonsolen aus gezeichnete Terminals oder ber sog privilegierte Anwendungen die als Stapelauftr ge laufen als Dialogauftr ge ber Terminals bedient werden oder einen eigenst ndigen Terminalbetrieb organisie ren z B Subsystem OMNIS Beides erfolgt durch speziell ausgew hltes Personal dessen T tigkei ten speziell organisiert z B Aufgabentrennung Einbindung in feste Verfahren und berwacht wer den kann zur Abwehr von B 2 B 4 B
86. nierte Schnitt stellen zugeifen k nnen Bei jeder durchgef hrten Interaktion kann das System die Identit t des Benutzers aufgrund der Kennzeichnung der f r ihn agierenden BS2000 Subjekte feststellen Bei nicht erfolgreicher Identifikation und Authentisierung des Benutzers wird der Rechnerzugang verweigert Neben der Identifikation und Authentisierung von Benutzern werden vom System auch Objekte auf die der Benutzer bzw Systemverwalter zugreifen kann identifiziert Die Identifikation und Authentisierung der in der folgenden Liste aufgez hlten Subjekte Objekte stellt zum Teil eine zus tzliche ber die Grundforderungen der Funktionalit tsklasse F2 hinausgehende Funktionalit t dar Identifizierte Objekte in Klammern das Identifikationsmerkmal Ausgabe und Benutzerauftrag TSN oder JOB SPOOLOUT Name oder MONJV Band Datentr ger VSN Benutzerkennung relativ zu einem PVS durch CAT ID und USER ID Benutzerschalter relativ zu USER ID ber Numerierung Bibliothekselement relativ zu Bibliothek und Bibliothekstyp ber Elementname und optionaler Ver sions und Varianten Angabe Datei Dateien sind durch die Katalogeintr ge in Verbindung mit dem Dateiinhalt gegeben Sie werden relativ zu CAT ID bzw CAT ID USER ID oder LINK Name identifiziert Datei ACL ist einer Datei zugeordnet und wird daher relativ zu CAT ID bzw CAT ID und USER ID identifiziert Datei Linkeintrag Name DCAM Anwendung Name oder
87. nis und spezifische Information SAT CHANGE FILE Dateiname Success Fall Primary Allocation Secondary Allocation Block Size VSN Device Type Objekt Benutzergruppe Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 53 Protokolliertes Ereignis und spezifische Information DEFINE GROUP MODIFY GROUP REMOVE GROUP Group Id Pubset Group Id der bergeordneten Gruppe User Id des Gruppenverwalters SHOW GROUP Group Id Pubset Objekt Benutzerkennung Protokolliertes Ereignis und spezifische Information ADD USER MODIFY USER USER LOCK USER UNLOCK REMOVE USER MODIFY LOGON PROTECTION SET LOGON PROTECTION MODIFY USER PROTECTION User Id Pubset Zus tzlich wird im Header des nachfolgenden SAT Files die Ursache f r den letzten Wechsel Kdo DMS Fehler etc vermerkt 2 2 5 Wiederaufbereitung Speicherobjekte Dateien Banddatentr ger Memory Pool Page EAM Datei Jobvariable Event Serialisation Item FITC Port werden vor einer Wiederverwendung so aufbereitet da keine R ckschl sse auf ihren fr heren Inhalt m glich sind 2 2 6 Fehler berbr ckung Bez glich Fehler berbr ckung stellt die Funktionalit tsklasse F2 der IT Sicherheitskriterien keine For derungen BS2000 V10 0 bietet aber auch in diesem Bereich eine gewisse Funktionalit t Die Aufgabe der Fehler berbr ckung ist es Auswirkungen von Fehlverhalten des Systems zu begren
88. nnten Adre r umen zugeordnet Nur ber Objekte Dateien Memorypools Event Items deren gemeinsame Nutzung von allen Partnern gezielt zum Zwecke einer Kooperation organisiert wird ist eine wechselseitige Beeinflussung oder St rung m glich Auftr ge der Systemadministration k nnen deshalb vollst ndig gesch tzt vor St rungen durch Auftr ge anderer Benutzer ablaufen indem sie auf eine Kooperation mit diesen verzichten Die zu diesen Auftr gen geh renden Daten werden dadurch gesch tzt da auf sie nur von entspre chend privilegierten Benutzerkennungen zugegriffen werden kann Hierzu geh ren insbesondere der zentrale Datei und Jobvariablen Katalog in dem die Eigent merschaft von Dateien und Jobvariablen verzeichnet ist sowie die SRPM Datei die alle Rechte und Privilegien von Benutzerkennungen ent h lt F r die SRPM Datei besteht noch ein Schutz ber die privilegierte Eigent merschaft hinaus auf sie kann w hrend des Betriebs von keinen Auftr gen unter Umgehung der SRPM Task zugegriffen werden auch nicht von privilegierten Benutzern Schutz von Daten des Betreibers gegen Zugriffe des Bedien und des Wartungspersonal Durch die Generierungsoption der Pa wort Verschl sselung Logon Datei und JV Pa w rter mit einer Einwegfunktion sind diese sicherheitskritischen Daten auch aus Diagnoseunterlagen i a nicht gezielt zu entnehmen Ausnahmen sind kurzfristige Phasen zwischen Eingabe und Verschl sselung in denen unvers
89. nsistenz der Dokumentation und Vollst ndigkeit und Plausibilit t der Selbsttesteinrichtung an sich gepr ft Es wurden keine M ngel festgestellt 3 7 Qualit t der anwenderbezogenen Dokumentation Die vom Hersteller ausgelieferten Dokumente beschreiben in ihrer Gesamtheit die durch die Sicher heitsanforderungen definierten Rollen und deren relevante Sicherheitsfunktionen ihre Aufgaben und Benutzung Sie stellen teils die sicherheitsrelevanten Schnittstellen zu Sicherheitsfunktionen teils die Zusammenh nge zwischen verschiedenen Sicherheitsfunktionen und ggf vorhandene Abh ngigkeiten zwischen diesen dar Die Dokumentation ist vollst ndig verst ndlich und handhabbar Es gibt keine Abweichungen der benutzerbezogenen Dokumentation vom durch die Inspektion der Spezifikation oder durch Tests er kannten realen Systemverhalten Die Angaben zum Sicherheitsstatus der vom BS2000 unterst tzten Ger te im Sicherheitshandbuch f r die Systemverwaltung entsprechen stellenweise nicht den Vorgaben f r den Betrieb des zertifi zierten BS2000 SC V10 0 Die f r den zertifizierten Betrieb zugelassenen Ger te sind den Tabellen in Kapitel 1 1 1 des vorliegenden Zertifizierungsberichtes zu entnehmen Nach dem Druck des Sicherheitshandbuches f r den Systemverwalter wurden folgende Druckfeh ler entdeckt S 435 Ger tetyp 3590 ersetze 3590 BO4 BO4 durch 3590 BO2 BO4 S 437 ersetze 9763 C Monochrom durch 9763 C Colour S 470 letzt
90. nverwalter kontrollierte Syntaxdatei f r spezifische Einschr nkungen und Erg nzungen die ber das Kommandoprofil adressiert werden 3 Systemverwalter kontrollierte Syntaxdatei Diese Aufteilung dient folgenden Zwecken ber 3 k nnen die in einem System ber Kommandos zug nglichen Funktionen generell modifiziert und eingeschr nkt werden ber 2 kann dies vom Gruppenverwalter bzgl einzelner Benutzer unabh ngig erfolgen 1 erlaubt da der Benutzer wei tere Modifikationen vollst ndig unter seiner Kontrolle machen kann ohne die unter 2 und 3 getrof fenen Vorgaben zu gef hrden Abwehr von B 2 und B 6 Ein wichtiges Beispiel f r die Einschr nkbarkeit eines einzelnen Benutzers ist da nur einige vorge gebene Programme durch spezifische Kommandos aufrufbar sind Dies dient neben der Abwehr von B 3 insbesondere der Abwehr von B 4 da Privilegien einem Benutzer streng gekoppelt an ein spe zielles Verfahren gew hrt werden k nnen Eine freie Nutzung bei der Fahrl ssigkeit oder Mi brauch m glich ist Kann dabei vermieden und ausgeschlossen werden Die freie Wahl des Programms kann durch die Sperrung des Kommandos START PROGRAM bzw auch LOAD PROGRAM EXEC LOAD verhindert werden Eine andere M glichkeit ist Programme nur ber Prozeduren und Pro zeduren nur ber die in der durch den Gruppenverwalter kontrollierten Syntaxdatei definierten Kommandos aufrufbar zu machen Hierbei k nnen noch spezifische nur ber Kommandos
91. ocationtyp shared exclusive CLOSE VOLUME VSN DMS Returncode falls Ergebnis Mi erfolg CATALOG EXPORT CATALOG IMPORT Cat Id MODIFY SDF PARAMETER Name des eingestellten Syntaxfiles Typ des eingestellten Syntaxfiles SS CREATION SS DELETION SS HOLD SS RESUME Subsystem Name Subsystem Version SS ADD Subsystem Katalog Bereich TSOS Utilities Protokolliertes Ereignis und spezifische Information UPDATE VSN Original VSN Kopie Device Device Typ VOLUME RELEASE ACQUIRE VSN Device Device Typ INIT PROTECTED VOLUME INIT UNPROTECTED VOLUME VSN alt VSN neu Eigent mer Neuer Eigent mer falls definiert Device BSI Bundesamt f r Sicherheit in der Informationstechnik 52 Zertifizierungsbericht BS2000 SC Version 10 0 Device Typ DISK INIT VSN alt VSN neu Device Typ Funktion Init Formatierung IOCF INSTALLATION Level Bereich TAPE ADMINISTRATION Protokolliertes Ereignis und spezifische Information ADD VOLUMES VSN Eigent mer falls definiert REMOVE VOLUMES VSN Eigent mer falls definiert ADMIN MODIFY ATTRIBUTES VSN Eigent mer vorher Eigent mer nachher SHOW VOLUME ATTRIBUTES VSN Eigent mer MODIFY MAREN PAR SHOW MAREN PAR keine weitere Satzinformation Bereich NET ADMINISTRATION Protokolliertes Ereignis und spezifische Information ADAM Device mn Device Typ Bereich SAT EVALUATION Protokolliertes Ereig
92. om BS2000 System betrieben Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 57 3 3 2 Mechanismen zur Rechteverwaltung 3 3 2 1 ACL Mechanismus zur Verwaltung der Dateizugriffsrechte Im BS2000 sind die Dateien diejenigen Objekte die der Rechteverwaltung im Sinne der Anforderun gen der Funktionalit tsklasse F2 unterliegen Die Dateien werden in gesch tzten Systemdateien den sogenannten Dateikatalogen verwaltet Hier werden sie durch Katalogeintr ge Catalog Entries repr sentiert Diese enthalten unter anderem den Dateinamen die Benutzerkennung des Datei Eigent mers sowie Dateiattribute Der Zugriff auf einen gesuchten Katalogeintrag erfolgt ber den Pfadnamen Katalog Id User Id Dateiname Die Kata logeintr ge eines Benutzers sind in einer logischen Kette angeordnet wobei jedem Benutzer seine Primary Block Number PBN die den ersten Katalogeintrag des Benutzers kennzeichnet zugeord net ist Die Anforderungen an die Rechteverwaltung nach F2 werden durch den ACL Mechanismus reali siert Dieser erm glicht es die Dateizugriffsrechte f r einzelne Benutzer und Benutzergruppen festzule gen Als Dateizugriffsrechte k nnen das Lese das Schreib oder das Ausf hrungsrecht an dieser Datei vergeben werden Die Benutzerkennungen bzw die Benutzergruppen an die Zugriffsrechte zu einer durch den ACL Mechanismus gesch tzten Datei vergeben wurden sind neben den jeweils an sie
93. orced einzustellen Die Zugangsklasse REMOTE BATCH ist in der nach F2 Q3 bewerteten Konfiguration nicht zuge lassen Die folgenden BCAM Anwendungen d rfen im zertifizierten System nicht eingesetzt werden ADS ATOP FJAM MRSAPP NDMS OBSERVE RBATCH Nach First Start und vor dem Netzstart mu die Pa wortvergabe an die Benutzerkennung TSOS erfolgen Das LOGON Kommando gestattet auch die direkte Eingabe des Pa wortes als weiteren Operanden Diese Form der Pa worteingabe ist nicht zul ssig da sie nicht dunkelgesteuert erfolgt Um der Aussp hung des eigenen Pa wortes durch Spoofing Programme auch als LOGON Fallen bezeichnet zu begegnen ist vor jedem LOGON durch die Eingabe des Umschaltindikators zusam men mit dem Kommando OPNCON eine neue Verbindung zwischen Datensichtstation und System aufzubauen Der lokale Wartungsmodus von Datensichtstationen ist durch Pa wort zu sch tzen Bei Benutzung der Chipkarte sind folgende organisatorische Ma nahmen erforderlich BSI Bundesamt f r Sicherheit in der Informationstechnik 66 Zertifizierungsbericht BS2000 SC Version 10 0 Der Personalisierungsrechner mu vor dem Zugang durch Unbefugte gesch tzt sein insbe sondere gegen die M glichkeit Software unbefugt zu entnehmen oder einzubringen z B Disketten Unpersonalisierte Chipkarten m ssen gegen Entwenden gesch tzt aufbewahrt werden Personalisierte aber noch nicht vergebene Chipkarten m ssen gegen Entwenden
94. ozesse mit den Privilegien des Audit Auswerters und des Sicherheitsbeauftragten k nnen weiterhin S tze schreiben die dann im Adre raum dieses Taskprozesses zwischengepuffert werden um ihnen die M glichkeit zu geben den Dateiengpa zu beseitigen Ein Abbruch LOGOFF CANCEL dieser Tasks ist vor Aufl sung der Engpa situation nicht m glich 3 3 4 3 Auswerte und Verwaltungsprozeduren f r die Protokolldaten Es ist m glich die Protokollierung auf einen oder mehrere beliebig w hlbare Benutzer zu beschr n ken wobei jedoch die Protokollierung von bestimmten Benutzern obligatorisch ist Dies sind Benut zer mit besonders sicherheitskritischen Funktionen wie Sicherheitsbeauftragter Audit Auswerter und Operateure d h Aktionen dieser Benutzer werden immer protokolliert Wie weiter oben beschrie ben Die ausl sende Benutzerkennung ist eines der Selektionskriterien daf r ob ein Protokollsatz geschrieben wird oder nicht Zugriff und Auswertung auf die Protokolldateien CONSLOG SAT SKP LOG und OMNIS LOG ist ber das Dienstprogramm SATUT eingeschalt Der Aufbau der Protokolls tze ist je nach Art des Protokolls verschieden aber immer vollst ndig be schrieben Dadurch da CONSLOG SKP LOG und OMNIS LOG ein Mitschnitt von Interaktionen ist ist der Aufbau dieser Protokolls tze teilweise durch die zugelassenen Kommando und Mel dungsformate festgelegt BSI Bundesamt f r Sicherheit in der Informationstechnik 60 Zertifizierungsb
95. r als 3 besitzt gelten die Schutzmechanismen des Systems als au er Kraft gesetzt Sobald die Benutzerkennung SERVICE aktiv ist mu davon ausgegangen werden da der War tungsfall vorliegt Damit sind die Abgrenzungsmechanismen des Systems nicht mehr gew hrleistet und ein F2 Q3 System ist nicht mehr gegeben Beim Einsatz von nicht evaluierten Korrekturen REPs gilt dauerhaft der Wartungsfall Es darf dann nicht von der Wirksamkeit der Schutzmechanismen ausgegangen werden Nach einer Software Wartung der PDN Vorrechner befindet sich das System dauerhaft im War tungsfall Es darf dann nicht von der Wirksamkeit der Schutzmechanismen ausgegangen werden Bundesamt f r Sicherheit in der Informationstechnik
96. rch Fettdruck hervorgehoben Teil I BS2000 Grundausbau aus sicherheitstechnischer Sicht Bestandteil Sicherheits Bemerkung Gruppe Name Version ADAM AIDSYS ANITA ASSGEN Produktionstool mu im F2 Q3 System angewendet werden BINDER BLSSEC BS2CP DAMP DPAGE DSSM DSSMGEN Produktionstool mu im F2 Q3 System angewendet werden ELFE Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 Bestandteil Name Version ELS ELS ELP ELP ELT ELT GET TIME IDA INIT IOCFCOPY JMS JCGEN JMU JOBSCHED LLMAM LMSCONV MSGEDIT MSGLIB NDCATOP NDM NKS NKV NKISAM PAMCONV PAMINT PASSWORD PDPOOLS PLAM PPD PVSREN RECAT RFUPD RMS SAVECAT SDF SDF SDF I SDF I SDF U SDFSYS BSI Bundesamt f r Sicherheit in der Informationstechnik Sicherheits Gruppe ZS D D DS DU U mo BG U gt U UT DU gt gt gt SD mp u U gt gt UL U gt gt gt OU gt u u Du D D Bemerkung 18 Bestandteil Name Version SHOW FILE SINIX 2000 SIR BSIR SIMSAVE SKP TELESERVICE SODA SPCCNTRL SPOOL FDEXIM FDRIVE PRSERVE SPOOLSERVE SPSERVE SPOOL FDEXIM FDRIVE PRSERVE SPOOLSERVE SPSERVE SRPSAVE STARTUP BOOT HR F HR X HR 6 IPL SLED STRT SYSFILE SYSTEM EXITS SYSUPD TPCOMP2 TSOSLNK TSOSLNK TSOSMT UGEN IOCGEN VOLIN Sicherheits Gruppe DUO uU uU uU uU Do pm gt gt gt gt gt gt gt gt vn L ni gt u Wu UL U DL
97. rden das ist der Standardfall Die Eigent merschaft an einer Datei oder Jobvariablen ist fest an die Benutzerkennung gekn pft un ter der die Datei oder Jobvariable bei der Erzeugung katalogisiert wurde und kann nicht bertragen oder ge ndert werden Die Dateien und Jobvariablen einer Benutzerkennung sind benennungsm ig und wenn Benutzer kennungen aufgabenbezogen eingerichtet werden auch entsprechend aufgabenm ig gruppiert Dies erleichtert die Festlegung der Zugriffsrechte anderer Benutzer auf sie Die System globalen Rechte werden zur Erledigung von Teilaufgaben der Systemverwaltung ben tigt und gelten Pubset bergreifend f r das ganze System Bei den Benutzerrechten also Rechten die nicht Systemverwalterrechte sind spielt das Gruppen verwalterrecht eine besondere Rolle Die Benutzerkennungen im BS2000 k nnen hierarchisch pro PVS unabh ngig voneinander in Gruppen organisiert werden Neben dem organisatorischen Aspekt von Benutzergruppen durch verschiedene Gruppenverwalter k nnen Nutzungsrechte an Betriebsmitteln ber die Zuordnung von Benutzern zu Benutzergruppen abgestuft vergeben werden dient damit auch zur Abwehr von B 3 Die Gruppenzugeh rigkeit eines Benutzers ist hierbei immer durch die Gruppenstruktur des Home Pubsets gegeben Neben dem Gruppenverwalterrecht gibt es noch das Recht Bandkenns tze zu ignorieren das Recht zur Nutzung von Abrechnungskennzeichen Accounts die M glichkeit Teile von Adre
98. rrecht Banddatentr ger Beim ndern Anzeigen von Band Attributen wird von MAREN das Eigent mer recht oder das MAREN Verwalterrecht TAPE AMINISTRATION gepr ft Beim Zugriff auf Band Da tentr ger wird von MAREN und DMSCMDA das Zugriffsrecht gepr ft Systemverwalterrechte Ein Systemverwalterecht ist streng genommen kein Objekt Dahinter verbirgt sich der Zugriff auf das Objekt Benutzerkennung bzw die f r die Benutzerkennung hinterlegten Pri vilegien Bei der Benutzerverwaltung wird von SRPMAU SRPMUG und SRPMUSER das Recht USER ADMINISTRATION gepr ft bevor ein entsprechendes Gruppenverwaltungsrecht MANAGE GROUPS MEMBERS gepr ft wird Bei SHOW LOGON PROTECTION und JOINFOA wird zu s tzliche Information f r Berechtigte geliefert Bei der Privilegienverwaltung bzw nderung der SAT Protokollierungsparameter wird von SR PMPR bzw SAT das Recht PRIVILEGE ADMINISTRATION gepr ft Bei einer Vielzahl von Kommandos und SVCs wird das Recht TSOS gepr ft teilweise nur bzgl einzelner Operanden Einzelheiten siehe Pr fliste Bei der Bandverwaltung wird von MAREN das Recht TAPE ADMINISTRATION gepr ft Bei der Netzverwaltung wird von BCAM und ADAM das Recht NET ADMINISTRATION gepr ft Bei der Auswertung der SAT Protokolldaten wird von SAT das Recht SAT EVALUATION gepr ft Bei der Verwaltung von SPOOL Ger ten wird das SPOOL Ger teverwalterrecht gepr ft Benutzerrecht Beim Laden residenter Programme pr ft VMM anh
99. rund MODIFY JOB TSN RERUN neu FLUSH neu REPEAT neu CANCEL JOB TSN Objekt Ausgabeauftrag Protokolliertes Ereignis und spezifische Information PRINT TSN des erzeugten Auftrags Dateiname ggf zuz glich Elementname mit Version und Typ ggf ERASE DMS Returncode PUNCH TSN Dateiname ggf zuz glich Elementname mit Version und Typ ggf ERASE DMS Returncode CANCEL SPOOL JOB TSN Objekt Banddatentr ger Eigent merrecht Protokolliertes Ereignis und spezifische Information USER MODIFY ATTRIBUTES VSN Userid des Eigent mers Objekt Banddatentr ger Zugriff Protokolliertes Ereignis und spezifische Information VOLUME PROCESSING VSN Eigent mer Dateiname Objekt SPOOL Ger t Verwalterrecht Protokolliertes Ereignis und spezifische Information SPOOL DEVICE ADD SPOOL DEVICE MODIFY Device Administrator Userid TSAP des Administrators SPOOL DEVICE REMOVE Device Objekt Programm Protokolliertes Ereignis und spezifische Information PROGRAM LOAD Dateiname Elementname Elementversion Elementtyp BSI Bundesamt f r Sicherheit in der Informationstechnik 50 Zertifizierungsbericht BS2000 SC Version 10 0 Internal Name Internal Version Internal Datum Load Unit Name Context Name Objekt PUBSET Nutzungsrecht Protokolliertes Ereignis und spezifische Information SHOW FILE Cat Id Datei Name ggf mit Wildcard Pa wort Ausgabe Ja Nein Audit Attribut
100. sonenbezogenes Logging von mehreren Operateuren erreicht werden die parallel und nicht notwendigerweise an physikalisch gesch tzten Konsolen oder Terminals arbeiten Systeminstallierung und berwachung Dem Operateur obliegt der Systemstart STARTUP einschlie lich des Startens des Datenkommuni kationssystems Hierbei sind die Vorgaben der Systemverwaltung zu beachten damit das System auf einer korrekten Hardwarekonfiguration zum Ablauf gebracht wird Bei Betriebssituationen die schwerwiegende Fehlersituationen vermuten lassen Kann der Operateur Diagnoseunterlagen erzeu gen lassen und ggf den Systemlauf beenden Diagnoseunterlagen werden allerdings auch vom Sy stem selbst erzeugt Die physikalische Sicherung von dabei anfallenden Datentr gern obliegt dem Operateur Der Operateur kann Einflu auf die Softwarekonfiguration im laufenden Betrieb nehmen in dem ge zielt Subsysteme gestartet und beendet werden Bei Programmen die von Systemverwaltern zum Ablauf gebracht werden und privilegiert ablaufende Teile enthalten wird der Operateur involviert Bedienung peripherer Ger te Dem Operateur obliegt nicht nur der physische Schutz von Datentr gern sondern auch die korrekte Behandlung von Datentr geranforderungen dies in Ubereinstimmung mit von der Benutzerverwal tung vergebenen Rechte an einzelne Benutzer Dies spielt insbesondere beim Import von Datentr gern die von fremden Anlagen stammen eine wichtige Rolle Bundesam
101. st ndig Die geforderten Sicherheitsfunktionalit ten entsprechen dem angestrebten Evaluationsziel 3 2 Qualit t der Spezifikation F r jede Funktionseinheit als Hauptgliederungseinheit des Systems wurde eine in nat rlicher Sprache gehaltene Design Dokumentation weitere Dokumente die den Zusammenhang zwischen den Funk tionseinheiten bzw ihren Schnittstellen darstellen und alle Manuale vorgelegt Diese Dokumente bil den in ihrer Gesamtheit die Spezifikation und erf llen in Verbindung mit den Sicherheitsanforderun gen und den Quellcodes der Komponenten die Anforderungen Die Designspezifikationen beschreiben ausreichend detailliert die Funktionalit ten der Funktionsein heiten und dabei insbesondere die Sicherheitsmechanismen Der Zusammenhang zwischen den Sicherheitsanforderungen und den Funktionseinheiten wird durch die sogenannte Pr fliste Sicherheitseigenschaften hergestellt die f r jede Sicherheitsanforderung im Detail die sie realisierende Funktionseinheit benennt Der Zusammenhang der Funktionseinheiten untereinander wird durch einen Strukturbaum dokumentiert Die Designspezifikationen beschreiben die jeweilige Funktionseinheit als Ganzes in einer n chsten Stufe die einzelnen logischen Funktionen der Funktionseinheit und in einer weiteren die Prozedu ren die die niedrigste Stufe des hierarchischen Aufbaus darstellen Die Abbildung der einzelnen Hierarchiestufen aufeinander wird durch den Strukturbaum in Verbindung mit d
102. t f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 35 Die Ver nderung der Ger tekonfiguration Schalten von Wegen Zuschalten neuer Abschalten de fekter Ger te ist ebenfalls Aufgabe des Operateurs 2 1 3 Regelvorgaben durch und f r den Benutzer 2 1 3 1 Benutzerkennungen Zuordnung zu nat rlichen Personen Benutzerkennungen repr sentieren nat rliche Personen Nat rliche Personen ben tigen eine Benut zerkennung als deren legaler Eigent mer sie sich authentisieren m ssen um mit dem System zu ar beiten zur Abwehr von BI 1 Eine Person kann f r verschiedene Aufgaben mehrere verschiedene Benutzerkennungen benut zen wird dann aber durch das BS2000 so bedient als w rde es sich um getrennte Personen handeln 2 Umgekehrt k nnen mehrere Personen gemeinsam eine Benutzerkennung benutzen werden dann aber durch das BS2000 bzgl der Abwicklung oder der Abrechnung ihrer T tigkeiten nicht voneinan der unterschieden Dies hei t nicht da f r eine Benutzerkennung nur ein Auftrag Dialog Stapel ausgef hrt wird Das BS2000 unterst tzt hier beliebige Parallelarbeit Insbesondere k nnen mit Hilfe des Subsystem OMNIS auch von einem Datensichtger t aus mehrere Dialoge parallel gef hrt werden Diese Flexibilit t der Zuordnung von Person zu Benutzerkennung erlaubt mehrere Anwendungsf lle Typisches Beispiel f r 1 ist da ein Systemverwalter f r Standardt tigkeiten wie das Schre
103. tifizierungsbericht BS2000 SC Version 10 0 Ger tefamilie Sicherheitsstatus Bandger te Steuerung Laufwerk TAPE Einheit Element bimodale M1662 3513 3557 3559 Bandger te bes BM BIMTAPE 1662 3514 3557 3559 j BM1662 3515 3525 3516 3526 3517 1 3527 1 3519 3529 3535 3525 3536 3526 3537 1 3527 1 Kess 3517 3 3527 3 3519 3 3529 A E3 BM1662S 3518 3528 Ris 3538 3528 Tabelle 2 Ger te mit Ger tetypcode und Sicherheitsrelevanz 1 Steuerung f r 3557 bzw 3559 mikroprogrammiert Mikroprogramm ber Magnetbandger t lad bar deshalb besondere organisatorische Sicherheitsvorkehrungen f r angeschlossene Magnetband ger te erforderlich 2 Steuerung integriert und ber Diskette ladbar Besondere organisatorische Sicherheitsma nahmen erforderlich Ger tekanalklassen S Blockmultiplexkanal Typ 1 SBL oder Bytemultiplexkanal Typ 1 SBY I Blockmultiplexkanal Typ 2 IBL oder Bytemultiplexkanal Typ 2 IBY oder Emulation des Multiplexkanal Typ 2 Buskanal Plattenger te sind immer an Blockmultiplexkan le angeschlossen Magnetbandger te k nnen an Block und an Bytemultiplexkan le angeschlossen sein Bundesamt f r Sicherheit in der Informationstechnik Zertifizierungsbericht BS2000 SC Version 10 0 11 1 1 1 3 Datensichtstationen Datensichtstationen Sicherheitsstatus 9755 9758 9762 9763 f r Chipkarte erforderlich 1 9756 Monochrom 9756 1 9756 5 9756
104. tragten Benutzer und f r die Dauer der Arbeiten als au er Kraft gesetzt Wenn aufgrund des zur Wartung gew hlten Zugangs eine Modifikation des Systems m glich war gilt die Sicherheit des Systems bis zum n chsten Systemstart als nicht mehr gegeben Das Sicherheitshandbuch f r die Systemverwal tung weist auf die sicherheitsrelevanten Aspekte bei der Wartung hin und keine Inkonsistenzen auf Beim Einsatz von nicht evaluierten Korrekturen REPS gilt solange sich die Korrekturen im System befinden der Wartungsfall Es darf nicht von der Wirksamkeit der Sicherheitsmechanismen ausge gangen werden Jede Wartung des PDN Vorrechners zieht den Wartungsfall dauerhaft nach sich d h der Zustand des Systems gilt nach einer Software Wartung des PDN nicht mehr als zertifiziert Die beim Systemstart gegebenen Anweisungen und Parameter werden von den zur Ausf hrung ge langenden Systemkomponenten protokolliert Nicht protokollierte Eingriffe die die Sicherheits BSI Bundesamt f r Sicherheit in der Informationstechnik 64 Zertifizierungsbericht BS2000 SC Version 10 0 funktionen des Systems beeinflussen k nnen sind nicht m glich Umgehungsm glichkeiten der Pro tokollierung wurden nicht aufgedeckt F r die f r das korrekte Funktionieren der Sicherheitsfunktionen wichtigen Hardware Komponten z B Hauptspeicher Zentraleinheit IO Prozessoren existieren Selbsttests Die Selbsttesteinrichtung der Zentraleinheit wurde auf Vollst ndigkeit und Ko
105. ur hierarchische Baumstruktur erm glicht eine Dezentralisierung der Verwal tung von Benutzerkennungen und erleichtert dadurch bei gro en Installationen Benutzer in ber schaubaren Einheiten zu verwalten zur Abwehr von B 6 Wechselspiel zwischen Benutzerverwaltung und briger Systemverwaltung Die Benutzerverwaltung die personell von anderen Systemverwaltungst tigkeiten trennbar ist ist teilweise von Zulieferungen der anderen abh ngig teilweise liefert sie ihnen zu Die detaillierte Auspr gung des einer Benutzerkennung verf gbaren Kommandosatzes wird von der Systemverwaltung mit gesonderten Kommandos festgelegt Die Zulieferung erfolgt zu einer abge sprochenen Profile id die bei der Benutzerkennung eingetragen ist Das Konzept eines Kommandoprofils beruht auf der Annahme da blicherweise die Verwaltung von Benutzergruppen und von Syntaxdateien durch verschiedene Personen erfolgt Besch ftigt sich der Gruppenverwalter neben der Zuordnung von Betriebsmittelkontingenten und Einzelrechten mit der Zuordnung des Kommandoprofils zu Benutzerkennungen so besch ftigt sich eine andere Instanz mit der Pflege der Syntaxdateien die im Zuge von nderungen der Software Konfiguration des Wartungsstandes Fehlerkorrekturen oder funktioneller nderungen in einzelnen Kommandoprofi len notwendig wird Beide T tigkeiten sowohl die Verwaltung von Benutzerkennungen als auch die Pflege von Syntax dateien haben ggf ein gro es nderun
106. zen und so einen m glichst verlustfreien Ablauf zu gew hrleisten Speicherfehler Erkennung HW intern Ma nahmen der berbr ckung Keine extern sichtbaren da intern aufgrund vorhandener Redund anzen korrigiert Plattenfehler Schreib Lesefehler Fehler der Aussteuerung f r alle Platten die nicht als Shared Pub sets verwendet werden Erkennung Fehlerr ckmeldung an Kanal nach Ein Ausgabeauftrag Ma nahmen der berbr ckung Nutzung der DRV Funktion Schreiben Lesen auf und von zwei Platten gleichen Typs wobei alle Pfade hierzu ebenfalls von gleichem Typ sein m ssen Nutzung des fehlerfreien Resultats Egalisierung in Fehlerf lle implizit auch explizit ansto bar Egalisierung bei dynamischem Zuschalten CPU Ausfall bei Mehrprozessoranlagen Erkennung Zentralprozessor bleibt stehen was ber Zeitstempel erkannt wird oder MER setzt Kalt Zustand f r Logische Maschine Ma nahmen der berbr ckung bernahme des auf fehlerhafter CPU unterbrochenen Kontextes durch andere CPU falls Mehrprozessorsystem und Fortsetzung Bei Inkonsistenzen wird unter Um st nden die auf der betroffenen CPU laufende Task oder der Systemlauf beendet BSI Bundesamt f r Sicherheit in der Informationstechnik 54 Zertifizierungsbericht BS2000 SC Version 10 0 2 2 7 Gew hrleistung der Funktionalit t Bez glich der Gew hrleistung der Funktionalit t stellt die Funktionalit tsklasse F2 der IT Sicherheits kriterien
Download Pdf Manuals
Related Search