- •Стандартизация
- •Стандартизация в области информационной безопасности
- •Основные международные стандарты в области информационной безопасности План лекции
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2. Критерии оценки доверенных компьютерных систем («Оранжевая книга»)
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Гармонизированные критерии европейских стран
- •2. Германский стандарт bsi
- •2.1. Структура германского стандарта bsi.
- •3. Британский стандарт bs 7799
- •4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
- •Критерии оценки доверенных компьютерных систем (тсsес)
- •Европейские критерии (iтsес)
- •Канадские критерии безопасности компьютерных систем (стсрес)
- •Общие критерии оценки безопасности информационных технологий
- •Стандарты безопасности в Интернете
2. Критерии оценки доверенных компьютерных систем («Оранжевая книга»)
2.1.Основные сведения
Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе.
Критерии ТСSЕС разработаны на основе принципа достоверной вычислительной базы (англ. - ТСВ Trusted Computer Base). В «Оранжевой книге» ТСВ определяется как «совокупность механизмов защиты, входящих в вычислительную систему и включающих в себя аппаратные и программно- аппаратные и программные средства, сочетание которых и обеспечивает реализацию стратегии защиты».
Критерии используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии, часто упоминающиеся как «Оранжевая книга» (англ. “Orange Book”) из-за цвета обложки. , занимают центральное место среди публикаций «Радужной серии» (англ. “ Rainbow”) Министерства обороны США. Изначально они были выпущены Центром национальной компьютерной безопасности США в качестве орудия для Агентства национальной безопасности в 1983 году и потом обновлённые в 1985г.
В «Оранжевой книге» ИС разбивают на четыре широких иерархических класса повышенного обеспечения секретности. Они являются основой для оценки эффективности средств управления защитой, встроенных в продукты типа автоматизированных систем обработки данных.
При разработке критериев имелись ввиду три цели:
предложить пользователям критерий, с помощью которого можно было бы оценивать степень доверия к вычислительной системе с точки зрения обеспечения безопасности обработки секретной и другой критически важной информации;
создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты;
обеспечить основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.
Этот стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты).
Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.
Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций (англ. National Computer Security Center. Trusted Network Interpretation, NСSС-ТG-005, 1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.