Критерии оценки информационной безопасности

Для оценки степени информационной безопасности в различных странах разработаны свои критерии оценки безопасности компьютерных технологий и систем.

В 1988 году Национальным центром компьютерной безопасности США разработан «Критерий оценки безопасности компьютерных систем», который называют стандарт TCSEC (Trusted Computer System Evaluation Criteria). В данном документе изложены единые для Министерства обороны США требования к обеспечению безопасности компьютерных систем и порядок определенияклассов их защищенности. Этот стандарт называют «Оранжевой книгой» из-за цвета его переплета. Определенные в стандарте категории безопасности какой либо информационной системы изменяются от степени D с минимальными требованиями до степени A с наиболее жесткими требованиями. В пределах этой шкалы категории делятся на подкатегории. Информационные системы, относящиеся к категории C2 удовлетворяют большинству требований коммерческой безопасности. В системах С2 обязательным является условие, чтобы права на доступ к данным определялись для конкретных лиц и чтобы всегда была возможность установить, какой пользователь к каким данным обращался.

В европейских «Критериях оценки безопасности информационных технологий» (ITSEC) классу С2 соответствует класс F2.

В аналогичном документе России определены семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий – первый. Все классы подразделяются на четыре группы.

Первая группа включает только один седьмой класс минимальной защищенности.

Вторая группа характеризуется избирательной защитой и включает шестой и пятый классы.

Избирательная защита предусматривает контроль доступа поименованных субъектов к поименованным объектам системы. При этом для каждой пары «субъект-объект» должны быть определены разрешенные типы доступа.

Третья группа характеризуется полномочной защитой и включает четвертый, третий и второй классы. Полномочная защита предусматривает присвоение каждому субъекту и объекту системы классификационных меток, указывающих место субъекта (объекта) в соответствующей иерархии. Классификационные метки на объекты устанавливаются пользователем ил и администратором системы. Обязательным требованием для классов, входящих в эту группу, является реализация диспетчера доступа (монитора ссылок). Контроль доступа должен осуществляться применительно ко всем объектам при явном или скрытом доступе со стороны любого из субъектов. Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и избирательными, и полномочными правилами разграничения доступа.

Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Концепция информационной безопасности, таким образом, состоит из

- целей защиты;

- критериев защищенности объектов информационной безопасности;

- анализа угроз объектам информационной безопасности;

- программно-технической, правовой и организационно-экономической подсистем защиты информационных ресурсов и средств информатизации;

- модели адаптивного управления системой защиты объектов информационной безопасности.

Организация подобной защищенной среды позволяет гарантировать определенный уровень безопасности автоматизированной информационной системы.