ОЦЕНКА БЕЗОПАСНОСТИ ИС.

США.Вопросами стандартизации и разработки нормативных требований на защиту информации занимается Национальный центр компьютерной безопасности министерства обороны США (NCSC – National Computer Security Center). В 1983 г. центр разработал критерии оценки безопасности компьютерных систем (TCSEC – Trusted Computer System Evaluation Criteria). Этот документ обычно называют «оранжевой книгой». В. 1985 г. ОК утверждена в качестве правительственного стандарта. В ОК приводятся следующие уровни безопасности систем:

- Высший класс – А

- Промежуточный класс – В

- Низкий уровень безопасности С

- Класс систем не прошедших испытания – D.

Класс С разбивается на два подкласса: С1 и С2; класс В на три подкласса: В1, В2, В3.

Чем выше уровень, тем более высокие требования предъявляются к системе.

 

В части стандартизации аппаратных средств ИС и телекоммуникационных сетей в США разработаны правила стандарта TEMPES (Transient Electromagnetic Pulse Emanations Standard).

РОССИЯ.Руководящие документы в области защиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования этих документов обязательны для исполнения только в государственном секторе и в коммерческих организациях, обрабатывающих информацию, содержащую гос.тайну. Для остальных структур документы носят рекомендательный характер.

В одном из документов, носящем название «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации», приведена классификация АИС на классы по условиям их функционирования в целях разработки мер по достижению требуемого уровня безопасности. Устанавливается 9 классов защищенности, каждый из которых характеризуется определенной минимальной совокупностью требований по защите. Система информационной безопасности (СИБ) включает в себя следующие подсистемы:

- подсистема управления доступом;

- подсистема регистрации и учета (ведение журналов и статистики);

- криптографическая подсистема (использование различных механизмов шифрования);

- подсистема обеспечения целостности;

- подсистема законодательных мер;

- подсистема физических мер.

 

В документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности» определены 7 классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.

Методика оценки защищенности ИС в России (как и в США) состоит в отнесении оцениваемой системы к определенному классу защищенности. Класс защищенности ИС – определенная совокупность требований по защите ИС.