Опубликование ТС SEC стало важным этапом как в постановке основных теоретических проблем компьютерной безопасности, так и в указании направления их решения. Тем не менее, в ходе применения ее основных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени ряд положений устарел и потребовал пересмотра.
Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к «Оранжевой книге»:
• «Интерпретация TCSEC для компьютерных сетей».
• «Интерпретация TCSEC для систем управления базами данных».
Эти документы содержат трактовку основных положений «Оранжевой книги» применительно к соответствующим классам систем обработки информации.
Устаревание ряда положений TCSEC обусловлено прежде всего интенсивным развитием компьютерных технологий и переходом с вычислительных комплексов типа IBM-360 к рабочим станциям, высокопроизводительным персональным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана значительная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:
|
|
• «Руководство по произвольному управлению доступом в безопасных системах».
• «Руководство по управлению паролями».
• «Руководство по применению критериев безопасности компьютерных систем в специфических средах».
• «Руководство по аудиту в безопасных системах».
• «Руководство по управлению конфигурацией в безопасных системах».
Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, проинтегрировавший все изменения и дополнения к TCSEC, сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.
|
|
Критерии TCSEC Министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на
проектировщиков, разработчиков, потребителей и специалистов по сертификации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа, как уже отмечалось, является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам конфиденциальности (грифам секретности) и правилам экспорта секретной информации.
Требования по гарантированию политики безопасности отражены достаточно поверхностно, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.