Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам классаВЗ, и к ним не предъявляется никаких дополнительных функ­циональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные ме­тоды верификации, что позволяет с высокой уверенно­стью получить корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии разработки с построения формальной модели политики безопасности и специфи­каций высокого уровня. Для обеспечения методов вери­фикации системы класса А1 должны содержать более мощные средства управления конфигурацией и защи­щенную процедуру дистрибуции.

Приведенные классы безопасности надолго опреде­лили основные концепции безопасности и ход развития средств защиты.

2.5.4. Интерпретация и развитие «Оранжевой книги»

Опубликование «Оранжевой книги» с гало важным этапом и сыграло значительною роль в развитии техно­логий обеспечения безопасности компьютерных систем. Тем не менее в ходе применения ее положений выясни­лось, что часть практически важных вопросов осталась за рамками данного стандарта и, кроме того, с течением времени (с момента опубликования прошло пятнадцать лег) ряд положений устарел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безо­пасности компьютерных сетей и систем управления ба­зами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безо­пасности США в виде дополнений к «Оранжевой кни­ге» — «Интерпретация <«Оранжевой книги»> для ком­пьютерных сетей» («Trusted Network Interpretation» [8]) и «Интерпретация <«Оранжевой книги»> для систем управления базами данных» («Trusted Database Manage­ment System Interpretation» [9]). Эти документы содержат трактовку основных положений «Оранжевой книги» применительно к соответствующим классам систем, об­работки информации.

Потеря актуальности рядом положений «Оран­жевой книги» вызвана прежде всего интенсивным раз­витием компьютерных технологий и переходов с мэйнфреймов (типа вычислительных комплексов IBM-360, 370; советский аналог — машины серии ЕС) к рабочим станциям, высокопроизводительным персо­нальным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптиро­вать их к современным условиям и сделать адекватны­ми нуждам разработчиков и пользователей программ­ного обеспечения, и была проделана огромная работа по интерпретации и развитию положений этого стан­дарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие их которых стали ее неотъемлемой частью. К наиболее часто упо­минаемым относятся:

Руководство по произвольному управлению досту­пом в безопасных системах («A guide to understanding discretionary access control in trusted systems») [10].

Руководство по управлению паролями («Password management guideline») [11].

Руководство по применению Критериев безопасности компьютерных систем в специфических средах («Gui­dance for applying the Department of Defence Trusted Com­puter System Evaluation Criteria in specific environment») [12].

Руководство по аудиту в безопасных системах («A Guide to Understanding Audit in Trusted Systems») [13].

Руководство по управлению конфигурацией в безо­пасных системах («Guide to understanding configuration management in trusted systems) [14].

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 году Нацио­нальным центром компьютерной безопасности США был опубликован документ под названием «Пояснения к кри­териям безопасности компьютерных систем» [15]. объе­диняющий все дополнения и разъяснения. При его подго­товке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях раз­работчиков и пользователей защищенных систем обра­ботки информации. В результате открытого обсуждения была создана база данных, включающая все спорные во­просы, которые затем в полном объеме были проработа­ны специально созданной рабочей группой. В итоге по­явился документ, объединивший все изменения и допол­нения к «Оранжевой книге», сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.

2.5.5. Выводы

«Критерии безопасности компьютерных систем» ми­нистерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов но сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого доку­мента является его ориентация на системы военного при­менения, в основном на операционные системы. Это пред­определило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое вни­мание уделено меткам (грифам секретности) и правилам экспорта секретной информации.

При этом критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел ограничивастся требованиями кон­троля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.

Высший класс безопасности, требующий осуществ­ления верификации средств защиты, построен на доказа­тельстве соответствия программного обеспечения его спецификациям с помощью специальных методик, одна­ко это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операци­онных систем) не подтверждает корректность и адекват­ность реализации политики безопасности.

«Оранжевая книга» послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в каче­стве руководящего документа при сертификации компь­ютерных систем обработки информации.

2.6. Европейские критерии безопасности информационных технологий.

Проблемы информационной безопасности актуаль­ны не только для Соединенных Штатов. Вслед за выхо­дом «Оранжевой книги» страны Европы совместно раз­работали общие «Критерии безопасности информаци­онных технологий» («Information Technology Security Evaluation Criteria», далее «Европейские критерии») [16]. Данный обзор основывается на версии 1.2. опублико­ванной в июне 1991 года от имени соответствующих ор­ганов четырех стран: Франции, Германии, Нидерландов и Великобритании.

2.6.1. Основные понятия

«Европейские критерии» рассматривают следующие задачи средств информационной безопасности:

· защита информации от несанкционированного доступа с целью обеспечения конфиденциально­сти;

· обеспечение целостности информации посредст­вом защиты от ее несанкционированной модифи­кации или уничтожения;