Лекция 4. Нормативно-правовые основы информационной безопасности.

Многоплановость проблемы защиты информации повлекла за собой необходимость создания единой системы критериев оценки ситуации (что и от чего надо защищать) и собственно методов реализации информационной защиты (каким образом должна быть осуществлена защита). Поэтому в мировой практике был разработан ряд концепций защиты информации, которые отражены в соответствующих документах государственного и межгосударственного уровня.
4.1 Документы, регламентирующие деятельность по обеспечению защиты информации.

Первые попытки создания единых стандартов информационной безопасности компьютерных систем относятся к 1983 г. «Критерии безопасности компьютерных систем Министерства Обороны США» 1983 г. («Оранжевая книга»), а также их интерпретация для надежных сетей («Красная книга», 1987 г.) и систем управления базами данных («Розовая книга», 1991 г.) составили так называемую «Радужную серию». Стандарты, определенные в «Оранжевой книге», послужили основой для дальнейших исследований и разработок. Этот документ был ориентирован в основном на системы военного применения, главным образом на операционные системы. В связи с развитием сетевых технологий многие положения «Оранжевой книги» утратили свою актуальность и потребовали дальнейшей доработки, что и было реализовано в двух последующих «Красной» и «Розовой» книгах.

«Федеральные критерии безопасности информационных технологий» были созданы Национальным институтом стандартов и технологий США совместно с Агентством национальной безопасности США в 1992 г. Этот документ стал первым стандартом, в котором были определены три независимые группы требований к средствам защиты информации: функциональные требования, требования к технологии разработки и требования к процессу квалификационного анализа.

«Европейские критерии безопасности информационных технологий» были созданы в 1991 г. Коллективными усилиями организаций Франции, Германии, Нидерландов и Великобритании.

« Канадские критерии оценки безопасности компьютерных систем» были разработаны Центром безопасности ведомства безопасности связи Канады в 1993 г. Стандарт ориентирован на широкий спектр компьютерных систем, однако требования к технологии разработки средств защиты выражены недостаточно отчетливо.

«Единые общие критерии оценки безопасности информационных технологий» - результат работы Международной организации по стандартизации, Национального института стандартов и технологий США, Агентства национальной безопасности США, организации Великобритании, Канады, Германии, Франции и Нидерландов — появились в 1999 г. Этот документ стал развитием уже существующих стандартов и соответствует современному состоянию информационных технологий.