Главная » Безопасность » Защита4 » Основные регламенты классификации

Основные регламенты классификации

Тем, кто начинает свое знакомство с информационной безопасностью, уже на первых стадиях ее изучения попадутся названия «Оранжевая книга», «Красная книга», Общие критерии (Common Criteria), ТСРЕС, ITSEC и др.

Все это критерии определения уровня безопасности систем. Наиболее известные из них следующие:

• Оранжевая книга (DoD 5200.28-STD — Trusted Computer Systems Evaluation Criteria) — выпущенные Министерством обороны США критерии оценки уровня безопасности компьютерных систем как таковых.
• Красная книга (NCSC-TG-005 — Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria) — расширение этих критериев для случаев использования компьютерных систем в информационной сети.

Если вам доводилось слышать термин «система сертифицирована по классу С2», то это как раз термин, обозначающий уровень информационной безопасности по данным критериям.

При этом необходимо отметить, что в России существуют свои нормативные документы по данному вопросу. Это документы, выпущенные Государственной технической комиссией при Президенте Российской Федерации: Классификация автоматизированных систем и требования по защите информации, Показатели защищенности от несанкционированного доступа к информации, Положение по аттестации объектов информатизации по требованиям безопасности информации и другие.

Если отсутствуют соответствующие регламенты на использование того или иного подхода к оценке конкретной информационной системы, то можно выбрать наиболее понравившийся — практически все указанные документы доступны в Интернете. Хотелось бы только предостеречь от поверхностного подхода к таким оценкам.

Например, ряд руководителей, услышав, что С2 — это уровень, рекомендованный для использования в коммерческих учреждениях, начинают в качестве требований к поставщикам указывать необходимость соответствия данному уровню, до конца не понимая из чего он складывается. В таких случаях мы бы рекомендовали пройтись хотя бы по названиям подпунктов раздела С2 «Красной книги», чтобы иметь общее представление о данном стандарте.

Далее мы рассмотрим классификацию объектов, в данном случае информации. Широко используемая во времена бумажных документов классификация — секретная, для служебного пользования (ДСП) и открытая — перекочевала и в век электронной информации. Однако, на наш взгляд, данная классификация не является исчерпывающей и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности.

А для успешной работы необходимо как минимум охватить также понятия целостности и доступности информации. На классификацию информации не существует известных (во всяком случае, нам) устоявшихся моделей. Причина этого может скрываться в том, что процесс такой классификации довольно специфичен для каждого предприятия. Тем не менее мы попытаемся привести одну модель, которая может служить наиболее обшей основой для построения собственной схемы.