ISMS

© Христо Тужаров,  

април 2009

 

ОРАНЖЕВА КНИГА

Критерии за оценка на доверени компютърни системи

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

ОРАНЖЕВА КНИГА

ПРЕПОРЪКИ X 800

СТАНДАРТ ISO/IEC 15408

 

СЕРИЯ СТАНДАРТИ ISO 2700х

 

СТАНДАРТ ISO/IEC 27001

СТАНДАРТ IS0/IЕС 1779 

Оранжева книга

Стандарт на министерството на отбраната на САЩ, който се явява първия стандарт за оценка и оказва огромно влияние на развитие стандартизацията на сигурността на информацията в много страни.

 

Названието си «Оранжева книга» получава от цвета на обложката на стандарта.

 

За пръв път е публикуван през август 1983г.

 

В стандарта става дума не за сигурни, а за доверени системи, т.е. системи на които може да се окаже доверие.

 

Доверена система, съгласно Оранжевата книга

Система, използваща достатъчно апаратни и програмни средства, за да осигури едновременна обработка на информация с различна степен на секретност за група потребители, без нарушаване правата на достъп.

 

        Критерии за оценка степента на доверие:

 

Критерии за оценка степента на доверие:

 

       

         Политика на сигурност

Набор от закони, правила и норми на поведение, определящи, как организацията обработва, защитава и разпространява информацията.

 

Активна страна на защитата, включваща анализ на възможните заплахи и избор на мерки за противодествие.

 

                  Характеристики на политиката на сигурност

  • Колкото е по голяма степента на доверие, толкова по-строга и многообразна трябва да бъде политиката на сигурността.

  • Избора на конкретните механизми за сигурност са в пряка зависимост от политиката за сигурност.

        Ниво на гарантираност

Мярка на доверие, която може да бъде оказана на архитектурата и реализацията на информационна система.

 

Показател на коректността на механизмите отговарящи за реализацията на политиката на сигурност.

 

Доверието в сигурността може да произтича от:

  • Анализа на резултатите от тестване на информационна система;

  • Проверка на общия замисъл и реализацията на системата, като цяло и на отделни нейни компоненти.

  • Проверка на механизма за подотчетност – анализ на регистрираната информация, относно събития, касаещи сигурността.

Доверена изчислителна база ДИБ, съгласно Оранжевата книга

Концепцията за ДИБ се явява централна при оценка степента на доверие в сигурността на системата.

 

Доверена изчислителна база ДИБ, съгласно Оранжевата книга

 

 

Доверена изчислителна база ДИБ

Съвкупност от защитни механизми (включително апаратното и програмно осигуряване), отговарящи за реализиране на политиката за сигурност.

 

Монитор на обръщенията

Основна функция на ДИБ за контрол на допустимостта на изпълняваните от потребителите (активни обекти) на определени операции над обектите (пасивни обекти).

 

Мониторът проверява всяко обръщане на потребителя към програми или данни за съответствие с правилата, допустими за конкретния потребител.

 

Характеристики на ДИБ:

 

Изолираност – необходимост от предотвратяване възможността за проследяване работата на монитора.

 

Пълнота мониторът трябва да се активира при всеки опит за достъп, без да съществуват начини за заобикалянето му.

 

Верификация – мониторът трябва да бъде компактен, за да може да се анализира и тества, като съществува увереност, че тестването е пълно.

Реализацията на монитора се нарича ядро на безопастността.

 

Ядро на безопастността – основа на която се строят механизмите за защита. Ядрото трябва да гарантира невъзможност за извършване на промени в него.

 

Границата на ДИБ се нарича периметър на безопастността. Компонентите извън периметъра на безопастността могат да не са доверени.