Основные регламенты классификации

Все это критерии определения уровня безопасности систем. Наиболее известные из них следующие:

• Оранжевая книга (DoD 5200.28-STD – Trusted Computer Systems Evaluation Criteria) – выпущенные Министерством обороны США критерии оценки уровня безопасности компьютерных систем как таковых.
• Красная книга (NCSC-TG-005 – Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria) – расширение этих критериев для случаев использования компьютерных систем в информационной сети.

Если вам доводилось слышать термин “система сертифицирована по классу С2”, то это как раз термин, обозначающий уровень информационной безопасности по данным критериям.

При этом необходимо отметить, что в России существуют свои нормативные документы по данному вопросу. Это документы, выпущенные Государственной технической комиссией при Президенте Российской Федерации: Классификация автоматизированных систем и требования по защите информации, Показатели защищенности от несанкционированного доступа к информации, Положение по аттестации объектов информатизации по требованиям безопасности информации и другие.

Если отсутствуют соответствующие регламенты на использование того или иного подхода к оценке конкретной информационной системы, то можно выбрать наиболее понравившийся – практически все указанные документы доступны в Интернете. Хотелось бы только предостеречь от поверхностного подхода к таким оценкам.

Например, ряд руководителей, услышав, что С2 – это уровень, рекомендованный для использования в коммерческих учреждениях, начинают в качестве требований к поставщикам указывать необходимость соответствия данному уровню, до конца не понимая из чего он складывается. В таких случаях мы бы рекомендовали пройтись хотя бы по названиям подпунктов раздела С2 “Красной книги”, чтобы иметь общее представление о данном стандарте.

Далее мы рассмотрим классификацию объектов, в данном случае информации. Широко используемая во времена бумажных документов классификация – секретная, для служебного пользования (ДСП) и открытая – перекочевала и в век электронной информации. Однако, на наш взгляд, данная классификация не является исчерпывающей и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности.

А для успешной работы необходимо как минимум охватить также понятия целостности и доступности информации. На классификацию информации не существует известных (во всяком случае, нам) устоявшихся моделей. Причина этого может скрываться в том, что процесс такой классификации довольно специфичен для каждого предприятия. Тем не менее мы попытаемся привести одну модель, которая может служить наиболее обшей основой для построения собственной схемы.