Формализация подхода к обеспечению информационной безопасности. Классы безопасности

Существует ряд основополагающих документов, в которых регламентированы основные подходы к проблеме информационной безопасности:

• оранжевая (по цвету обложки) книга МО США [2]
• гармонизированные критерии европейских стран [3]
• руководящие документы Гостехкомиссии при Президенте РФ [17-21]
• рекомендации X.800 по защите распределенных систем [7]
• федеральный закон Об информации, информатизации и защите информации.
• и др.

Основополагающие документы открыли путь к ранжированию информационных систем по степени надежности. Так, в Оранжевой книге определяется четыре уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (C1, С2, В1, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять оговоренным требованиям.

В качестве примера рассмотрим требования класса C2, которому удовлетворяют некоторые популярные ОС (Windows NT, отдельные реализации Unix и др.):

• Каждый пользователь должен быть идентифицирован уникальным входным именем и паролем для входа в систему. Система должна быть в состоянии использовать эти уникальные идентификаторы, чтобы следить за действиями пользователя.
• Операционная система должна защищать объекты от повторного использования.
• Владелец ресурса (например, такого как файл) должен иметь возможность контролировать доступ к этому ресурсу.
• Системный администратор должен иметь возможность учета всех событий, относящихся к безопасности.
• Система должна защищать себя от внешнего влияния или навязывания, такого как модификация загруженной системы или системных файлов, хранимых на диске.