Интерпретация и развитие TCSEC

Опубликование ТС SEC стало важным этапом как в постановке ос­новных теоретических проблем компьютерной безопасности, так и в ука­зании направления их решения. Тем не менее, в ходе применения ее ос­новных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени ряд положений устарел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безопасности ком­пьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к «Оранжевой книге»:

• «Интерпретация TCSEC для компьютерных сетей».

• «Интерпретация TCSEC для систем управления базами данных».

Эти документы содержат трактовку основных положений «Оранже­вой книги» применительно к соответствующим классам систем обработки информации.

Устаревание ряда положений TCSEC обусловлено прежде всего ин­тенсивным развитием компьютерных технологий и переходом с вычисли­тельных комплексов типа IBM-360 к рабочим станциям, высокопроизво­дительным персональным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением ап­паратной платформы некорректность некоторых положений «Оранжевой книги», адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и бы­ла проделана значительная работа по интерпретации и развитию положе­ний этого стандарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие из которых стали ее неотъемле­мой частью. К наиболее часто упоминаемым относятся:

• «Руководство по произвольному управлению доступом в безопас­ных системах».

• «Руководство по управлению паролями».

• «Руководство по применению критериев безопасности компью­терных систем в специфических средах».

• «Руководство по аудиту в безопасных системах».

• «Руководство по управлению конфигурацией в безопасных сис­темах».

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального доку­мента, и в 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация крите­риев безопасности компьютерных систем", объединяющий все дополне­ния и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разра­ботчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, про­интегрировавший все изменения и дополнения к TCSEC, сделанные с мо­мента ее опубликования, что привело к обновлению стандарта и позволи­ло применять его в современных условиях.

Критерии TCSEC Министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на

проектировщиков, разработчиков, потребителей и специалистов по серти­фикации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в области безопасности информа­ционных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого доку­мента, как уже отмечалось, является его ориентация на системы военного применения, причем в основном на операционные системы. Это предо­пределило доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации и исключение воз­можностей ее разглашения. Большое внимание уделено меткам конфи­денциальности (грифам секретности) и правилам экспорта секретной ин­формации.

Требования по гарантированию политики безопасности отражены достаточно поверхностно, соответствующий раздел по существу ограни­чивается требованиями контроля целостности средств защиты и поддер­жания их работоспособности, чего явно недостаточно.