Стандарты по оценке защитных систем. Стандарты министерства обороны США. Стандарты ГТК РФ

Стандарты и спецификации бывают двух разных видов:

· оценочные стандартов, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

· технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Степень доверия оценивается по двум основным критериям.

1. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию

2. Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС.

Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская Руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности.

Существует два важных, хотя и не новых, Руководящих документа - Классификацию автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа (НСД) и аналогичную Классификацию межсетевых экранов (МЭ).

Понятие политики безопасности

Политика безопасности – совокупность норм и правил, регламентирующих процесс обработки информации, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз. Политика безопасности составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности. Существуют два типа политики безопасности: дискреционная и ман­датная.

Дискреционная политика безопасности – политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.

Мандатная политика безопасности – политика безопасности основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности субъекта и объекта.
Основу мандатной (полномочной) политики безопасности состав­ляет мандатное управление доступом.