Рівні інформаційної безпеки

Захист комп’ютера. На початку 70-х років 20-го століття Девід Белл і Леонард Ла Падула розробили модель безпеки для операцій, виконуваних на комп’ютері (модель Белла і Ла Падули), яка базувалася на урядовій концепції рівнів класифікації інформації (несекретна, конфіденційна, секретна, цілковито секретна) і рівнів допуску. Якщо користувач (суб’єкт) мав рівень допуску вище, ніж рівень файлу (об’єкта) за класифікацією, то він одержував доступ до файла, у протилежному випадку доступ відхилявся. Концепція знайшла свою реалізацію в стандарті 5200.28 TCSEC, створеному в 1983 р. Міністерством оборони США.

Стандарт ранжував комп’ютерні системи у відповідності з наступною шкалою:

D Мінімальний захист (ненормований);

C1 Захист за розсудом;

C2 Контрольований захист доступу;

B1 Захист з мітками безпеки;

B2 Структурований захист;

B3 Захист доменів;

A1 Розробка, що перевіряється.

Мало систем було сертифіковано вище за рівень C2 (тільки одна система за увесь час була сертифікована за рівнем A1 – Honeywell SCOMP). За той час, який був потрібний системам для проходження сертифікації, вони встигали застаріти.

Інші нормативні документи з безпеки:

ü «Зелена книга» Німеччини, 1989 р.;

ü «Критерії Канади», 1990 р.;

ü «Критерії оцінки безпеки інформаційних технологій» ITSEC, 1991 р.;

ü «Федеральні критерії» (відомі як загальні критерії безпеки Common Criteria), 1992 р.

Кожен стандарт пропонував свій спосіб сертифікації безпеки комп’ютерних систем. ITSEC й CC просунулися далі інших, залишивши функціональні вимоги фактично не визначеними.

Сучасна концепція безпеки втілена в CC. Головна ідея зосереджена в так званих профілях захисту, що визначають різні середовища безпеки, у які может бути поміщена комп’ютерна система. Продукти проходять оцінку на відповідність цим профілям і сертифікується.

Захист мережі. В 1987 р. з'являється TNI, або “Червона книга», в якій збережено всі вимоги до безпеки з «Жовтогарячої книги», але зроблено спробу адресації мережевого простору й створення концепції безпеки мережі.

Лише деякі системи пройшли оцінку за TNI, і жодна з них не мала комерційного успіху. Сьогодні проблеми стали ще серйозніше. Організації стали використовувати бездротові мережі, появи яких «Червона книга» не передбачала. Для бездротових мереж сертифікат «Червоної книги» вважається застарілим.

Захист інформації. Надійний захист інформації – це об’єднання всіх способів захисту:

ü Надійний фізичний захист необхідний для забезпечення схоронності матеріальних активів – паперових носіїв і систем;

ü Захист комунікацій COMSEC відповідає за безпеку при передачі інформації;

ü Захист випромінювання EMSEC необхідний, якщо супротивник має потужну апаратуру для читання електронного випромінювання від комп’ютерних систем;

ü Комп’ютерна безпека COMPUSEC потрібна для керування доступом у комп’ютерних системах;

ü Безпека мережі NETSEC необхідна для захисту локальних мереж;

ü Всі види захисту забезпечують інформаційну безпеку INFOSEC.

Дотепер не розроблено процес сертифікації комп’ютерних систем, що підтверджує необхідний рівень безпеки. Оскільки триває пошук нових рішень, залишається визначити безпеку як найкраще, що можна зробити.

Безпека досягається через повсякденну практичну й постійну пильність персоналу.