ГЛАВА 3. ОЦЕНОЧНЫЕ СТАНДАРТЫ

Перед началом рассмотрения оценочных стандартов, необходимо упомянуть о том, что существуют и другие виды стандартов, такие как стандарты управления информационной безопасностью, стандарты безо­пасности информационных технологий и многие другие. В данном изда­нии мы ограничимся исследованием именно оценочных стандартов.

Критерии оценки доверенных компьютерных систем Министерства обороны США

«Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria - ТС SEC), получившие неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны и опубликованы Министерством обороны США в 1983 г. с целью опреде­ления требований безопасности, предъявляемых к аппаратному, про­граммному и специальному программному и информационному обеспе­чению компьютерных систем, и выработки методологии и технологии анализа степени поддержки политики безопасности в компьютерных сис­темах, в основном военного назначения (полный перечень «Радужной се­рии» книг можно прочитать в Приложении 1).

В данном документе были впервые определены такие понятия, как «политика безопасности», «корректность» и др. Согласно «Оранжевой книге» безопасная компьютерная система - это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы (субъекты), действующие от их имени, получают возможность читать, за­писывать, создавать и удалять информацию. Предложенные в этом доку­менте концепции защиты и набор функциональных требований послужи­ли основой для формирования всех появившихся впоследствии стандартов безопасности.