Критерії безпеки інформаційних технологій

8.1. ЗАГАЛЬНІ ВІДОМОСТІ ПРО ВИМОГИ ТА КРИТЕРІЇ ОЦІНКИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

8.1.1. Основні поняття про стандарти інформаційної безпеки

Одними з найбільш важливих нормативно-технічних доку­ментів, які стимулюють розвиток захищених інформаційних сис­тем, мереж і засобів є документи, що стандартизують вимоги та критерії оцінки безпеки.

Стандарти інформаційної безпеки — це стандарти забезпе­чення захисту, призначені для взаємодії між виробниками, спо­живачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.

Стандарти забезпечення захисту звичайно містять опис по­слідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину характеристик безпеки, які повинна забез­печити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або відповід­но до загальної стратегії захисту.

Найбільш значними стандартами інформаційної безпеки є (у хронологічному порядку): Критерії безпеки комп'ютерних сис­тем, Європейські критерії безпеки інформаційних технологій, Федеральні критерії безпеки інформаційних технологій, Канад­ські критерії безпеки комп'ютерних систем, Загальні критерії безпеки інформаційних технологій.

Розділ 8. Критерії безпеки інформаційних технологій

8.1.2. Критерії безпеки комп'ютерних систем

Критерії безпеки комп'ютерних систем [Trusted Computer

System Criteria (TCSC)] — стандарт інформаційної безпеки, роз­роблений міністерством оборони США у 1983 р. з метою визна­чення вимог безпеки, що ставляться до апаратного, програмного і спеціального забезпечення комп'ютерних систем і вироблен­ня відповідної методології аналізу політики безпеки, що реалі­зується в комп'ютерних системах воєнного призначення. Інша назва — «Жовтогаряча книга». У критеріях пропонуються три категорії вимог безпеки — політика безпеки, аудит і коректність, в рамках яких сформульовані шість базових вимог безпеки:

• політика безпеки, мітки — в рамках політики безпеки;

• ідентифікація та автентифікація, реєстрація та облік — в рам­
ках аудиту;

• контроль коректності функціонування засобів захисту, безпе­
рервність захисту — в рамках коректності.

Перші чотири вимоги спрямовані безпосередньо на забезпе­чення безпеки інформації, а дві останні — на якість самих засобів захисту.

«Жовтогаряча книга» передбачає чотири групи критеріїв, які відповідають різним ступеням захищеності: від мінімальної (група D) до формально доведеної (група А). Кожна група включає один або декілька класів.

Групи D (мінімальний захист) і А (верифікований захист) містять по одному класу [класи D1 (мінімальний захист) і А1 (формальна верифікація) відповідно], група С (дискреційний за­хист) — класи СІ (дискреційний захист) С2 (керування доступом), а група В (мандатний захист) — В1 (захист із застосуванням міток безпеки), В2 (структурований захист), ВЗ (домени безпеки), який характеризуються різними наборами вимог безпеки. Рівень безпе­ки збільшується при русі від групи D до групи А, а всередині групи — із збільшенням номера класу.

Критерії безпеки комп'ютерних систем зробили великий вплив на розробку керівних документів інших країн, зокрема на

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

розробку керівних документів Державної технічної комісії при Президенті Російської федерації [14,15,16,17,18]. Цей вплив в основному відображається в орієнтованості цих документів на системи воєнного призначення та у використанні єдиної універ­сальної шкали оцінки ступеню захищеності.

8.1.3. Європейські критерії безпеки інформаційних технологій

Поиск по сайту: