- •Основные международные стандарты в области информационной безопасности План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
6. Краткая классификация
Такова классификация, введенная в «Оранжевой книге». Коротко её можно сформулировать так:
уровень С — произвольное управление доступом;
уровень В — принудительное управление доступом;
уровень А — верифицируемая безопасность.
Конечно, в адрес «Критериев ...» можно высказать целый ряд серьёзных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует подчеркнуть, что с публикацией «Оранжевой книги» появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.
Однако следует отметить, что описанный подход был ориентирован на оценку отдельных программно-технических комплексов, поэтому в 1987 году Национальным центром компьютерной безопасности США была дополнительно опубликована интерпретация «Оранжевой книги» для сетевых конфигураций .
Многие требования « Оранжевой книги» уже устарели. Например, согласно ей, минимальная длина пароля, равная шести символам, считается безопасной. В те времена, когда писалась « Оранжевая книга», мощность вычислительной техники была невысокой, и указанная длинна паролей действительно обеспечивала безопасность, но на современном компьютере пароль такой длины может быть подобран всего за несколько минут.
В « Оранжевой книге» не уделяется должного внимания некоторым важным в настоящие время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после её написания.
В тоже время, следует отметить, что огромный идейный потенциал «Оранжевой книги» пока во многом остается невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы — от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях, теряется информация о семантике программ.