Критерії оцінки захищеності комп'ютерної системи
Крите́рії оці́нки за́хисту комп'ю́терної системи (англ. Trusted Computer System Evaluation Criteria, TCSEC) - стандарт Міністерства оборони США, що встановлює базові вимоги щодо контролю комп'ютерної безпеки вбудованої в обчислювальну систему. TCSEC використовався щоб оцінювати, класифікувати та обирати комп'ютерні системи які використовуються для обробки, зберігання та надання доступу до класифікованої інформації.
На TCSEC, часто посилаються як на Оранжеву книгу, яка є основною в серії "веселкових публікацій". Перше видання було зроблене в 1983 Національним центром комп'ютерної безпеки (NCSC). Пізніше перевидана у 1985. TCSEC було замінено у 2005 на міжнародний стандарт Критерії інформаційної безпеки.
Класи захисту
За допомогою критеріїв оцінки гарантовано захищених обчислювальних систем можна визначити сім класів захисту систем.
Клас D
Мінімальний захист (англ. Minimal protection). Цей клас зарезервований для тих систем, що були піддані оцінці, але в яких не вдалося досягти виконання вимог більш високих класів оцінок.
Клас C1
Вибіркового захисту (англ. Discretionary protection) Гарантовано захищена обчислювальна база (TCB) систем класу С1 забезпечує поділ користувачів і даних. Вона містить засоби управління, здатні реалізувати обмеження до доступу, щоб захистити проект або приватну інформацію і не дати іншим користувачам випадково читати або руйнувати їх дані. Передбачається, що середовище класу С1 є таким середовищем, у якому можуть кооперуватися користувачі, що обробляють дані, які належать до того самого рівня секретності.
Клас C2
Захист, заснований на керованому контролі доступом. Всі вимоги до класу С1 переносяться на клас С2. Крім того, системи цього класу реалізують структурно більш «тонке» управління доступом порівняно із системами класу С1 за рахунок додаткових засобів управління розмежуванням доступу і поширенням прав, а також за рахунок системи реєстрації подій (аудит), що мають відношення до безпеки системи і поділу ресурсів. Спеціально вводиться вимога щодо «очищення» ресурсів системи при повторному використанні іншими процесами.
Клас B1
Мандатне керування доступом, засноване на присвоюванні міток об'єктам і суб'єктам, що перебувають під контролем цільової комп'ютерної системи. Вимоги для систем класу В1 припускають виконання усіх вимог, які були необхідні в класі С2. Крім цього, необхідно навести неформальне визначення моделі, на якій будується політика безпеки, присвоювання міток даним і мандатним управлінням доступом іменованих суб'єктів до об'єктів. У системі необхідно мати засіб, що дозволяє точно і надійно присвоювати мітки експортованій інформації.
Клас B2
Структурований захист. Усі вимоги класу В1 мають виконуватися для системи класу В2. У системах класу В2 TCB заснована на чітко визначеній і формально задокументованій моделі, в якій управління доступом поширюється на всі суб'єкти й об'єкти даної системи автоматичної обробки даних. Крім цього, має бути проведений аналіз, пов'язаний із наявністю побічних каналів витоків. Необхідно провести розбивку структури TCB як за критичними із погляду захисту елементами, так і за некритичними. Інтерфейс TCB добре визначений, а її проект і реалізація виконані так, що вони дозволяють проводити ретельне тестування і повний аналіз. Механізми аутентифікації посилені, управління захистом передбачається у вигляді засобів, що призначаються для адміністратора системи і для оператора, а на управління конфігурацією накладаються жорсткі обмеження. Система відносно стійка до спроб проникнення в неї.
Клас B3
Домени безпеки. Усі вимоги для систем класу В2 включені у вимоги до систем класу ВЗ. TCB класу ВЗ має реалізовувати концепцію монітора звертань, гарантовано захищеного від несанкціонованих змін, пошкодження і підробки, який обробляє всі звертання. Передбачається введення адміністратора безпеки системи, механізми контролю (аудит) розширені так, щоб забезпечити обов'язкову сигналізацію про всі події, пов'язані з можливим порушенням встановлених у системі правил безпеки. Обов'язковою також є наявність процедур, що забезпечують відновлення працездатності системи. Система даного класу найвищою мірою стійка відносно спроб проникнення в неї.
Клас A1
Верифікований проект. Системи цього класу А1 функціонально еквівалентні системам класу ВЗ у тому відношенні, що і них не з'являються будь-які нові вимоги до політики забезпечення безпеки. Характерна риса систем даного класу — формальна специфікація проекту; і верифікації захисту, тобто високий ступінь впевненості в тому, що гарантовано захищена обчислювальна база реалізована правильно.