ГЛАВА 3. ОЦЕНОЧНЫЕ СТАНДАРТЫ
Перед началом рассмотрения оценочных стандартов, необходимо упомянуть о том, что существуют и другие виды стандартов, такие как стандарты управления информационной безопасностью, стандарты безопасности информационных технологий и многие другие. В данном издании мы ограничимся исследованием именно оценочных стандартов.
Критерии оценки доверенных компьютерных систем Министерства обороны США
«Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria - ТС SEC), получившие неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны и опубликованы Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах, в основном военного назначения (полный перечень «Радужной серии» книг можно прочитать в Приложении 1).
В данном документе были впервые определены такие понятия, как «политика безопасности», «корректность» и др. Согласно «Оранжевой книге» безопасная компьютерная система - это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, записывать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.