Базовые требования безопасности согласно Критериям безопасности компьютерных систем (“Оранжевая книга”)
Данные критерии или стандарт TCSEC, получившие название «Оранжевая книга», ориентированы на обеспечение безопасности информации в компьютерных системах. При этом понятие «обеспечение безопасности информации» основывается на следующем предположении: компьютерная система является безопасной, если она обеспечивает контроль за доступом к информации так, что только надлежащим образом уполномоченные лица или процессы, функционирующие от их имени, имеют право читать, писать, создавать или уничтожать информацию.
Критерии безопасности, изложенные в «Оранжевой книге», ориентированны в основном на разработку и сертификацию многопользовательских операционных систем и требуют определенной интерпретации для применения в других областях, например для баз данных и сетей.
«Критерии безопасности компьютерных систем» (Trusted Computer System Evalualion Сriteria) были разработаны и опубликованы Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем и выработки методики и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения.
Без преувеличения можно утверждать, что в «Оранжевой книге» заложен понятийный базис информационной безопасности. Достаточно лишь перечислить содержащиеся в нем понятия: безопасная и доверенная системы; монитор обращений; ядро и периметр безопасности; критерии (требования), политика, уровни и классы безопасности.
|
|
|
Безопасная система – система, управляющая доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию.
Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.
Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.
Классификация систем безопасности согласно Критериям безопасности компьютерных систем (“Оранжевая книга”)
Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.
|
|
|
Критерии, часто упоминающиеся как Оранжевая книга, занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности — подразделением Агентства национальной безопасности в 1983 году и потом обновлённые в 1985.
8. Основные положения ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий и РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий”
Требования к стандартам безопасности.
Обеспечение безопасности — одно из важнейших требований, которое должны выполнять все, везде и всегда, так как любая деятельность потенциально опасна. Безопасность связана с риском (они взаимозависимы). Рассмотрим определения этих понятий, приведенные в стандартах
Безопасность — отсутствие недопустимого риска
Опасность — потенциальный источник возникновения ущерба
Риск — эффект от неопределенности целей
|
|
|
Основные положения COBIT.
COBIT (сокращение от англ. Control Objectives for Information and Related Technologies — «Задачи управления для информационных и смежных технологий») — методология управления информационными технологиями, принадлежащая и разрабатываемая некоммерческой организацией ISACA (Information Systems Audit and Control Association). Представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности, основанных на анализе и гармонизации существующих стандартов и ведущих практик в области управления IT.
Дата добавления: 2019-07-15; просмотров: 432; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!