Критерии оценки информационной безопасности
Для оценки степени информационной безопасности в различных странах разработаны свои критерии оценки безопасности компьютерных технологий и систем.
В 1988 году Национальным центром компьютерной безопасности США разработан «Критерий оценки безопасности компьютерных систем», который называют стандарт TCSEC (Trusted Computer System Evaluation Criteria). В данном документе изложены единые для Министерства обороны США требования к обеспечению безопасности компьютерных систем и порядок определенияклассов их защищенности. Этот стандарт называют «Оранжевой книгой» из-за цвета его переплета. Определенные в стандарте категории безопасности какой либо информационной системы изменяются от степени D с минимальными требованиями до степени A с наиболее жесткими требованиями. В пределах этой шкалы категории делятся на подкатегории. Информационные системы, относящиеся к категории C2 удовлетворяют большинству требований коммерческой безопасности. В системах С2 обязательным является условие, чтобы права на доступ к данным определялись для конкретных лиц и чтобы всегда была возможность установить, какой пользователь к каким данным обращался.
В европейских «Критериях оценки безопасности информационных технологий» (ITSEC) классу С2 соответствует класс F2.
В аналогичном документе России определены семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий – первый. Все классы подразделяются на четыре группы.
Первая группа включает только один седьмой класс минимальной защищенности.
Вторая группа характеризуется избирательной защитой и включает шестой и пятый классы.
Избирательная защита предусматривает контроль доступа поименованных субъектов к поименованным объектам системы. При этом для каждой пары «субъект-объект» должны быть определены разрешенные типы доступа.
Третья группа характеризуется полномочной защитой и включает четвертый, третий и второй классы. Полномочная защита предусматривает присвоение каждому субъекту и объекту системы классификационных меток, указывающих место субъекта (объекта) в соответствующей иерархии. Классификационные метки на объекты устанавливаются пользователем ил и администратором системы. Обязательным требованием для классов, входящих в эту группу, является реализация диспетчера доступа (монитора ссылок). Контроль доступа должен осуществляться применительно ко всем объектам при явном или скрытом доступе со стороны любого из субъектов. Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и избирательными, и полномочными правилами разграничения доступа.
Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Концепция информационной безопасности, таким образом, состоит из
- целей защиты;
- критериев защищенности объектов информационной безопасности;
- анализа угроз объектам информационной безопасности;
- программно-технической, правовой и организационно-экономической подсистем защиты информационных ресурсов и средств информатизации;
- модели адаптивного управления системой защиты объектов информационной безопасности.
Организация подобной защищенной среды позволяет гарантировать определенный уровень безопасности автоматизированной информационной системы.
Дата добавления: 2016-04-19; просмотров: 2621;