Стандарты на создание систем защиты данных

При создании корпоративных ЭИС возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация специализи­рованными организациями на соответствие международным и национальным стандартам. В этом случае повышаются эффек­тивность и качество разрабатываемых систем защиты данных, и возрастает степень доверия заказчиков к внедряемым ЭИС.

Основные понятия, требования, методы и средства проек­тирования и оценки системы информационной безопасности для ЭИС отражены в следующих основополагающих докумен­тах:

• «Оранжевая книга» Национального центра защиты компью­теров США (TCSEC);

• Гармонизированные критерии Европейских стран (ITSEC);

• Рекомендации Х.800;

• Концепция защиты от НСД.

Знание критериев оценки информационной безопасности, из­ложенных в этих документах, способно помочь проектировщикам при выборе и комплектовании аппаратно-программной конфигу­рации ЭИС. Кроме того, в процессе эксплуатации администратор системы защиты информации должен ориентироваться на действия сертифицирующих органов, поскольку обслуживаемая система,
скорее всего, время от времени будет претерпевать изменения, и нужно, во-первых, оценивать целесообразность модификаций и их последствия, во-вторых, соответствующим образом корректиро­вать технологию пользования и администрирования системой. При этом целесообразно знать, на что обращают внимание при серти­фикации, поскольку это позволяет сконцентрироваться на анали­зе критически важных аспектов, повышая качество защиты.

Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защи­ты информации в ЭИС, изложенных в этих документах.

«Оранжевая книга» Национального центра защиты компьютеров США (TCSEC)

«Оранжевая книга» - это название документа, который был впервые опубликован в августе 1983 г. в Министерстве обороны США. В этом документе дается пояснение понятия «безопасная система», которая «управляет посредством соответствующих средств доступом к информации так, что только должным обра­зом авторизованные лица или процессы, действующие от их име­ни, получают право читать, писать, создавать и удалять инфор­мацию». Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.

В «Оранжевой книге» надежная система определяется как «си­стема, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку инфор­мации разной степени секретности группой пользователей без нарушения прав доступа». Степень доверия, или надежность про­ектируемой или используемой системы защиты или ее компонен­тов, оценивается по двум основным критериям:

1) концепция безопасности;

2)гарантированность.