йної таємниці. В»[10, стор 160]. br/>
Глава 2. Основні нормативні документи з оцінки безпеки
В«При оцінці надійності різних засобів захисту інформації застосовуються певні критерії.
Вводиться ієрархія функціональних класів безпеки, де кожному класу відповідає конкретне безліч обов'язкових функцій. Конкретний засіб розмежування доступу відноситься до того класу, в якому реалізовані всі відповідні йому функції безпеки. p align="justify"> У різних країнах розробляють відповідні документи і перевіряють засоби розмежування доступу на відповідність вимогам, зазначеним у цих документах, певні організації.
Так, Міністерство оборони США в 2003 р. опублікував присвячену питанням інформаційної безпеки книгу В«Критерії оцінки безпеки комп'ютерних системВ», названу за кольором обкладинки В«Помаранчевої книгоюВ». У США випущені та інші керівні документи: В«Програми оцінки безпеки продуктівВ», В«Керівництво по застосуванню критерію оцінки безпеки комп'ютерних систем в специфічних середовищахВ» (В«Жовта книгаВ»), серія матеріалів з безпеки інформації в комп'ютерах, мережах і базах даних (В«Райдужна серія В»), що складається з 28 нормативних методичних документів.
У В«Помаранчевої книзіВ», що зробила величезний вплив на роботи з інформаційної безпеки в усьому світі, викладені єдині вимоги до забезпечення безпеки комп'ютерних систем і порядок визначення їх захищеності.
Державною технічною комісією при Президентові РФ в 1992 р. опубліковано безліч керівних документів, що відносяться до проблеми захисту інформації від несанкціонованого доступу.
Ідейною основою всього набору документів є керівний документ В«Концепція захисту засобів обчислювальної техніки і автоматизованих систем від несанкціонованого доступу до інформаціїВ».
Концепція встановлює два напрямки в області захисту інформації:
Захист засобів обчислювальної техніки, що забезпечується комплексом програмно - технічних засобів захисту;
Захист автоматизованих систем, що забезпечується організаційними заходами.
У концепції сформульовані основні принципи захисту від несанкціонованого доступу до інформації:
Захист автоматизованих систем повинна забезпечуватися на всіх етапах роботи і режиму функціонування (включаючи проведення ремонтних і регламентних робіт);
Захист автоматизованих систем повинна передбачати контроль (періодичний або в міру необхідності) ефективності засобів захисту від несанкціонованого доступу;
Комплекси програмно - технічних засобів захисту не повинні суттєво погіршувати функціональні характеристики автоматизованих сист...
