«Оранжевая книга» как первый оценочный стандарт информационной безопасности

1.

Министерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего образования
“Тамбовский государственный технический университет”
Кафедра: “Информационные системы
и защита информации”
«Оранжевая книга» как первый оценочный
стандарт информационной безопасности
Выполнила: студент группы СИБ-21
Самодурова У.С.
Проверил руководитель:
доцент Гриднев В.А.

2.

Содержание:
Введение
История создания «Оранжевой книги»
Базовые требования безопасности
Критерии оценки степени доверия ИС
Основные понятия «Оранжевой книги»
Монитор обращений
Механизмы реализации безопасности
Средства подотчетности
Гарантированность
Классы безопасности

3.

Введение
Актуальность темы :
стандарт «Критерии оценки
доверенных компьютерных систем» был
разработан Министерством Обороны
США в 1983 г. и стал первым в истории
общедоступным оценочным стандартом
в области информационной
безопасности. Критерии используются
для определения, классификации и
выбора компьютерных систем,
предназначенных для обработки,
хранения и поиска важной или
секретной информации. Выход в свет
«Оранжевой книги» можно считать
знаковым событием в области
информационной безопасности, ведь
среди прочих заслуг этого документа
выделяют и разработку
общепризнанного понятийного базиса,
использование которого сделало
возможным рассмотрение проблем
защиты информации в вычислительных
компьютерных системах в том числе и
на теоретическом уровне.
Цель: познакомиться с первым оценочным
стандартом информационной
безопасности, называемый чаще всего по
цвету обложки «Оранжевой книгой».
Узнать его историю создания,
предназначение, основные понятия, а
также прописанные в нем классы
безопасности.
Задачи:
1) Ознакомиться с историей стандарта и его
предназначением
2) Ознакомиться с основными понятиями стандарта
3 Узнать про механизмы реализации безопасности
4) Рассмотреть классы защищенности компьютерных
систем.
1

4.

История создания «Оранжевой книги»
«Оранжевая книга»
Критерии определения безопасности
компьютерных систем
Trusted Computer System Evaluation Criteria
2

5.

Базовые требования безопасности
Политика безопасности.
Метки.
Идентификация и аутентификация.
Регистрация и учет.
Контроль корректности функционирования средств защиты.
Непрерывность защиты.
3

6.

Критерии оценки степени доверия ИС
Политика безопасности – набор законов, правил и норм
поведения, определяющих, как организация обрабатывает,
защищает и распространяет информацию. В частности, правила
определяют, в каких случаях пользователь может оперировать
конкретными наборами данных.
Уровень гарантированности – мера доверия, которая может
быть оказана архитектуре и реализации ИС. Уровень
гарантированности показывает, насколько корректны
механизмы, отвечающие за реализацию политики безопасности.
4

7.

Основные понятия «Оранжевой
книги»
Механизм подотчетности.
Доверенная вычислительная база.
Периметр безопасности.
5

8.

Монитор обращений
Изолированность. Необходимо предупредить возможность
отслеживания работы монитора.
Полнота. Монитор должен вызываться при каждом обращении,
не должно быть способов обойти его.
Верифицируемость. Монитор должен быть компактным, чтобы
его можно было проанализировать и протестировать, будучи
уверенным в полноте тестирования.
6

9.

Механизмы реализации
безопасности
Произвольное управление доступом.
Безопасность повторного использования
объектов.
Метки безопасности.
Принудительное управление доступом.
7

10.

Средства подотчетности
Идентификация и
аутентификация.
Предоставление доверенного
пути.
Анализ регистрационной
информации.
8

11.

Гарантированность
Гарантированность
Операционная
Технологическая
9

12.

Классы безопасности
10

13.

Спасибо за внимание !
11