logo search
БОГУШ,ЮДИН

8.1.2 Критерії безпеки комп'ютерних систем

Критерії безпеки комп'ютерних систем [Trusted Computer

315

Частина II Основи безпеки інформаційних технологій

System Criteria (TCSC)] — стандарт інформаційної безпеки, розро­блений міністерством оборони США у 1983 році з метою визначення вимог безпеки, що пред'являються до апаратного, програмного і спе­ціального забезпечення комп'ютерних систем і вироблення відповід­ної методології аналізу політики безпеки, що реалізується в комп'ю­терних системах воєнного призначення. Інша назва - "Жовтогаряча книга". У критеріях пропонуються три категорії вимог безпеки — політика безпеки, аудит і коректність, в рамках яких сформульовані шість базових вимог безпеки:

Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, а дві останні — на якість самих засобів захисту.

"Жовтогаряча книга" передбачає чотири групи критеріїв, які від­повідають різним ступеням захищеності: від мінімальної (група D) до формально доведеної (група А). Кожна група включає один або декілька класів.

Групи D (мінімальний захист) і А (верифікований захист) містять по одному класу [класи D1 (мінімальний захист) і А1 (формальна ве­рифікація) відповідно], група С (дискреційний захист) — класи СІ (дискреційний захист) С2 (керування доступом), а група В (ман­датний захист) — В1 (захист із застосуванням міток безпеки), В2 (структурований захист), В3 (домени безпеки), який характеризую­ться різними наборами вимог безпеки. Рівень безпеки збільшується при русі від групи D до групи А, а всередині групи - із збільшенням номера класу.

Критерії безпеки комп'ютерних систем зробили великий вплив на розробку керівних документів інших країн, зокрема на розроб­ку керівних документів Державної технічної комісії при Президенті Російської федерації [14,15,16,17,18]. Цей вплив в основному від­ображається в орієнтованості цих документів на системи воєнного призначення та у використанні єдиної універсальної шкали оцінки ступеню захищеності.

316

Розділ 8 Критерії безпеки інформаційних технологій