стандарты по оценке защищенных систем

Стандарты по оценке защищенных систем. Стандарты министерства обороны США («Оранжевая книга»). Стандарт «Критерии оценки безопасности информационных технологий». 

Специалистам в области информационной безопасности почти невозможно обойтись без знаний соответствующих стандартов и спецификаций.

Стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Выделяются две существенно отличающиеся друг от друга группы стандартов и спецификаций: ·                   оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;·                   спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты. Первым оценочным стандартом, получившим международное признание стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем, более известный под названием "Оранжевая книга". В "Оранжевой книге" заложен понятийный базис информационной безопасности. Понятия: безопасная и доверенная системы, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро и периметр безопасности, добровольное (дискреционное) и принудительное (мандатное) управление доступом, безопасность повторного использования объектов, принципы классификации по требованиям безопасности. Стандарт ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий" ("Общие критерии" (ОК)).ОК содержат два основных вида требований безопасности: ·       функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам; ·       требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.ОК способствуют формированию двух базовых видов нормативных документов - это профиль защиты и задание по безопасности. Профиль защиты - типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса. Задание по безопасности - совокупность требований к конкретной разработке. Профили защиты, в отличие от заданий по безопасности, носят универсальный характер: они характеризуют определенный класс изделий вне зависимости от специфики условий применения. Именно официально принятые профили защиты образуют используемую на практике нормативную базу в области информационной безопасности.