Требования к безопасности информационных систем в США

Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр комп’ютерної безопасности Министерства обороны США (NCSC). Этот центр в 1983 г. выдал критерии оценки безопасности комп’ютерних систем (ТСSEC). Достаточно часто настоящий документ называют «оранжевою книгою». Утвержденная как правительственный стандарт, она вмещает основные требования и специфицирует классы для оценки уровня безопасности комп’ютерних систем. В этой книге приведены такие уровни безопасности систем: высший класс — А; промежуточный класс — В; низший уровень безопасности — С; класс систем, которые не прошли испытания — D.
К классу D отнесены такие системы, которые не прошли испытание на высший уровень защищенности, а также системы, которые используют для защиты лишь отдельные мероприятия или функции (подсистемы) безопасности.
Класс С1: выборочная защита. Средства безопасности систем класса С1 должны удовлетворять требования выборочного управления доступом, обеспечивая разделения пользователей и данных. Для каждого об’єкта и суб’єкта задается перечень допустимых типов доступа (чтение, запись, печатание, и т.п.) суб’єкта к об’єкта. В системах этого класса обов’язковою есть идентификация и аутентификация суб’єкта доступу, а также поддержка со стороны оборудования.
Класс С2: управляемый доступ. К требованиям класса С2 добавляются требования уникальной идентификации суб’єкта доступу, защите за умалчиванием и регистрации событий. Уникальная идентификация значит, что любой пользователь системы должен иметь уникальное им’я. Защита за умалчиванием предусматривает назначение полномочий доступа пользователям по принципу «усе, что не разрешено, заборонено», то есть все те ресурсы, которые явно не разрешены пользователю, рассматриваются как недоступные. В системах этого класса обов’язковим есть ведение системного журнала, в котором должны отмечаться события, пов’язані с безопасностью системы.
В системах класса В должен быть полностью контролируемый доступ. Каждый суб’єкт и об’єкт системы обеспечиваются метками (или уровнями) конфиденциальности и решения относительно доступа суб’єкта к об’єкта принимается по предварительно определенному правилу на базе сопоставления информации обеих меток.
Класс В1: миточний защита. Метки безопасности должны быть присвоены всем суб’єктам системы, которые могут содержать конфиденциальную информацию. Доступ к об’єктів позволяется в том случае, если метка суб’єкта удовлетворяет определенный критерий относительно метки об’єкта.
Класс В2: структурированная защита. В этом классе дополнительно к требованиям класса В1 добавляются требования наличия хорошо определенной и задокументированной формальной модели политики безопасности, которая нуждается в действии выборочного и полномочного управления доступом ко всем об’єктів системы. Требования управления информационными потоками вводятся согласно политике безопасности. (Политика безопасности — это набор законов, правил и практического опыта, на основе которых строятся управление, защита и распределение конфиденциальной информации).
Класс В3: области безопасности. В системах этого класса определяются области безопасности, которые строятся за иерархической структурой и защищенные одна от другой с помощью специальных механизмов. Все взаимодействия суб’єктів из об’єктами жестко контролируются специальным монитором. Система контроля сообщает администратору безопасности и пользователя о нарушении безопасности.
Класс А1: верификация. Системы этого класса отличаются от класса В3 тем, что для проверки спецификаций применяются методы формальной верификации — анализу спецификаций системы на предмет неполноты или противоречия, которое может привести к появлению прорывов в безопасности.
Анализ классов защищенности показывает, что чем он более высок, тем более жесткие требования выдвигаются к системе.