Критерий оценки безопасности компьютерных систем сша «оранжевая книга»

Решение проблемы предотвращения кибератак было приоритетом еще
до первой кибератаки, порожденной Интернетом, - червя Морриса. Это была
атака переполнения буфера, которая быстро распространилась и
превратилась в вирусную атаку типа "отказ в обслуживании", она была
обрушена на мир в 1988 году.
За пять лет до этой атаки Министерство обороны США опубликовало
Критерии оценки доверенных компьютерных систем (TCSEC), более
известные как Оранжевая книга, с целью установления желаемых конечных
состояний для доверенных компьютерных систем. Министерство обороны
забило тревогу о том, что кибератаки скоро станут реальностью, и
разработало перспективную структуру для надежных и защищенных
компьютерных систем. Эта структура включала в себя первое предложение о
эталонном мониторе, который позже стали называть системой надзора.
TCSEC не только предвидела кибератаки, но и стала требованием к
системам, оцениваемым как высокозащищенные, которые по сей день
требуют применения концепции эталонного монитора или системы надзора.
Разработка Концепции Системы Надзора
Андерсон был ведущим автором "Оранжевой книги" Министерства
обороны, где впервые был введен термин "система надзора". В книге он
призвал к глубокому оборонному подходу к кибербезопасности,
предвосхищая тот день, когда кибератаки станут нормой и даже могут
нанести физический ущерб или угрожать человеческой жизни.
В рамках стратегии углубленной защиты в книге содержится призыв к
созданию системы управления, которая включает в себя две части: (1)
систему выполнения (например, главный процессор) и (2) систему надзора с
возможностью просмотра и записи системы выполнения.

Оранжевая книга на самом деле является частью серии руководств и
стандартов по безопасности компьютерных систем, которые в совокупности
известны как серия Rainbow.
В серии Rainbow задокументированы требования безопасности для
таких контекстов, как сети, базы данных, системы аудита, указания паролей и
другие системные компоненты. Акцент был сделан на конфиденциальности и
защите государственной секретной информации.
Оранжевая книга содержит методы оценки безопасности конкретной
компьютерной системы, а также предлагает производителям оборудования и
программного обеспечения рекомендации о том, как создавать продукты,
которые могут быть сертифицированы как безопасные.
Например, Microsoft Windows Server в определенных конфигурациях
соответствует стандартам безопасности C2 (Защита от контролируемого
доступа), изложенным в Оранжевой книге. C2 применяется не к
операционным системам, а к специально протестированным физическим
компьютерам, работающим под управлением этих операционных систем.C2
является одним из классов безопасности, которые Оранжевая книга
применяет к компьютерным системам.
Обеспечение безопасности должно быть тщательно структурировано
на элементы, критически важные для защиты, и элементы, не относящиеся к
защите.
Краткое изложение классов критериев оценки:
Класс (D): Минимальная защита
Этот класс зарезервирован для тех систем, которые были оценены, но
которые не соответствуют требованиям для более высокого класса оценки.
Класс (C1): Дискреционная Защита Безопасности

Он включает в себя некоторую форму надежных средств контроля,
способных обеспечивать соблюдение ограничений доступа на
индивидуальной основе.
Класс (C2): Защита от Контролируемого Доступа
Системы этого класса обеспечивают более детальный контроль
дискреционного доступа, чем системы (C1), предоставляя пользователям
индивидуальную ответственность за свои действия с помощью процедур
входа в систему, аудита событий, связанных с безопасностью, и изоляции
ресурсов.
Класс (B1): Маркированная защита безопасности
Системы класса (B1) требуют присутствия неофициального описания
модели политики безопасности, маркировки данных и обязательного
контроля доступа к именованным субъектам и объектам. Любые недостатки,
выявленные в результате тестирования, должны быть устранены.
Класс (B2): Структурированная защита
В системах класса (B2) четко определена и задокументирована
формальная модель политики безопасности, которая требует, чтобы
дискреционное и обязательное применение контроля доступа, обнаруженное
в системах класса (B1), распространялось на все субъекты и объекты в
системе.
Класс (B3): Домены безопасности
Элементы класса (B3) должны удовлетворять требованиям эталонного
монитора, чтобы он обеспечивал все доступы субъектов к объектам, был
защищен от несанкционированного доступа и был достаточно мал, чтобы его
можно было анализировать и тестировать.
Класс (A1): Проверенный дизайн

Отличительной особенностью систем этого класса является анализ,
проведенный на основе формальной спецификации проекта и методов
проверки. В соответствии с обширным анализом проектирования и
разработки, требуемым для систем класса (A1), требуется более строгое
управление конфигурацией и установлены процедуры для безопасного
распределения системы по сайтам.
Методология оценки TCSEC имеет три фундаментальных проблемы:
1. Нестабильность критериев
Постепенное расширение требований, определяющих классы оценки
TCSEC, неизбежно. По мере разработки новых продуктов, критерии
необходимо было интерпретировать так, чтобы они применялись к этим
продуктам.
2. Непонимание глубины оценки и требуемого времени
3. Сосредоточен на ОС: к 90-м годам проблемы безопасности вышли за
рамки операционных систем.
Оранжевая книга была кодифицирована как военный стандарт, что
делает ее обязательным требованием для оборонных систем, и ее
распространение было направлено в основном на крупных поставщиков
централизованных систем.
Оранжевая книга создала прецедент для государственной оценки
коммерческих ИТ-продуктов, а также, несомненно, повысила
осведомленность продавцов о безопасности и заинтересованности
правительства в безопасности. Также, книга увела значительные усилия со
стороны сообщества исследователей безопасности и некоторые усилия со
стороны поставщиков в тупик: обязательная безопасность и формальные
модели безопасности, чрезмерная документация и дискреционные функции
безопасности, которые никогда не использовались клиентами.

Оранжевая книга направила правительства по пути, который спустя 20
лет привел к международному сотрудничеству в области оценки
безопасности продукции. Но правительство не предоставляло достаточного
рынка, чтобы коренным образом изменить способ создания продуктов
поставщиками, а конкретные изменения, требуемые Оранжевой книгой, не
были оценены коммерческими или государственными заказчиками.
Из-за недостатков стандарта, которые обсуждались в сообществе
компьютерной безопасности в течение нескольких лет, Оранжевую книгу
следует рассматривать лишь как промежуточный этап в кодификации
разумных методов защиты.

Список использованных источников

1. Department of defense trusted computer system evaluation
criteria [Электронный ресурс] URL:
https://web.archive.org/web/20061002160143/http://csrc.ncsl.nist.gov/public
ations/secpubs/rainbow/std001.txt (дата обращения:17.04.22)
2. Статья - Оранжевая книга [Электронный ресурс] URL:
http://veteranov.net/content/seti-teoriya/basesecuretyautosystem/46-part3-2
(дата обращения:17.04.22)
3. Основные положения критериев TCSEC (“Оранжевая книга”).
Фундаментальные требования компьютерной безопасности. Требования
классов защиты. [Электронный ресурс] URL: http://ofsky0.narod.ru/21.htm
(дата обращения:17.04.22)