Правовые аспекты системы безопасности. Александр Кришталюк

Чтение книги онлайн.

СКАЧАТЬ вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, объединивший все изменения и дополнения к «Оранжевой книге», сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.

      Выводы: «Критерии безопасности компьютерных систем» министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точной для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам (грифам секретности) и правилам экспорта секретной информации.

      При этом критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.

      Высший класс безопасности, требующий осуществления верификации средств защиты, построен на доказательстве соответствия программного обеспечения его спецификациям с помощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает корректность и адекватность реализации политики безопасности.

      «Оранжевая книга» послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.

      Вопрос 2. Европейские критерии по обеспечению ИБ

      Проблемы информационной безопасности актуальны не только для Соединенных Штатов. Вслед за выходом «Оранжевой книги» страны Европы совместно разработали общие «Критерии безопасности информационных технологий» («Information Technology Security Evaluation Criteria», далее «Европейские критерии») [9]. Данный обзор основывается на версии 1.2, опубликованной в июне 1991 года от имени соответствующих органов четырех стран: Франции, Германии, Нидерландов и Великобритании.

Основные понятия

      «Европейские критерии» рассматривают следующие задачи средств информационной безопасности:

      • защита информации от несанкционированного доступа с целью обеспечения конфиденциальности;

      • обеспечение целостности СКАЧАТЬ