Критерии защищенности информации

Определенные требования к аппаратному, программному и специалному программному обеспечению были разработаны в 1983 году министерством обороны США под названием «Критерии оценки безопасности компьютерных систем», получившее неофициальное, но прочно утвердившееся название «Оранжевая книга».

Критерий 1. Политика безопасности. Любая компьютерная система должна поддерживать точно определенную политику безопасности. Должны существовать правила доступа субъектов (пользователь, процесс) к объектам (любой элемент компьютерной системы, доступ к которому может быть ограничен).

Критерий 2. Метки. Каждый объект доступа в компьютерной системе должен иметь метку безопасности, которая используется в качестве исходной информации для осуществления процедур контроля доступа.

Критерий 3. Идентификация и аутентификация. Все субъекты и объекты компьютерной сети должны иметь уникальные идентификаторы, которые должны быть защищены от несанкционированного доступа, модификации и уничтожения.

Критерий 4. Регистрация и учет. Все события, происходящие в компьютерной системе должны отслеживаться и регистрироваться в защищенном объекте, доступ к которому может быть разрешен только специальной группе пользователей.

Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты должны быть независимы, но проверяться специальными техническими и программными средствами.

Критерий 6. Непрерывность защиты. Защита должна быть постоянной и непрерывной в любом режиме функционирования компьютерной сети.