Требования к безопасности информационных систем в США

Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компьютерной безопасности Министерства обороны США (NCSC - National Computer Security Center).

Этот центр в 1983 г. издал «Критерии оценки безопасности компьютерных систем» (Trasted Computer Systems Evaluation Criteria - TCSEC). Этот документ часто называют «Оранжевой книгой». Данная разработка широко использовалась вплоть до принятия международного стандарта по безопасности информационных технологий ISO 15408. «Оранжевая книга» была утверждена в 1985 г. в качестве правительственного стандарта. Она содержит основные требования и специфицирует классы для оценки уровня безопасности компьютерных систем. Используя эти критерии, NCSC тестирует эффективность механизмов контроля безопасности. Следует подчеркнуть, что критерии делают безопасность величиной, допускающей ее измерение, и позволяют оценить уровень безопасности той или иной системы. Подобная возможность эмпирического анализа степени безопасности систем привела к международному признанию федерального стандарта США. NCSC считает безопасной систему, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации».

Стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США».

Наиболее известным документом, четко определяющим критерии, по которым должна оцениваться защищенность вычислительных систем, и те механизмы защиты, которые должны использоваться в системах обработки секретной конфиденциальной - в более общей постановке информации, является так называемая «Оранжевая книга», представляющая собой стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США» (Trusted Computer Systems Evaluation Criteria - TCSEC), принятый в 1983 г. Его принятию предшествовали 15-летние исследования, проводившиеся специально созданной рабочей группой и Национальным бюро стандартов США.

Стандартом предусмотрено 6 фундаментальных требований, которым должны удовлетворять те вычислительные системы, которые используются для обработки конфиденциальной информации. Требования разделены на три группы: стратегия, подотчетность, гарантии - в каждой группе по два требования следующего содержания: