Когда был создан центр компьютерной безопасности министерства обороны

Обновлено: 06.07.2024

Содержание

Центр национальной компьютерной безопасности (NCSC) является организацией правительства Агентства национальной безопасности(АНБ)США, которая оценивает вычислительную технику для высокопроизводительных приложений безопасности, чтобы гарантировать, что средства обработки секретной или других чувствительных материалов пользуются только проверенными компьютерными системами и компонентами. Организация работает в сфере промышленности, образования и правительства областях связанных с конфиденциальностью или высокой степенью секретности информации. Также центр поддерживает проведение научных исследований и стандартизацию проектов по разработке систем защиты информации.

Центр компьютерной безопасности распространяет информацию о проблемах компьютерной безопасности в образовательных целях. Также организация проводит ежегодную Национальную конференцию по информационной безопасности систем. Конференция способствует повышению спроса и увеличению инвестиций в области информационных систем безопасности продуктов, решений и исследований. Первой национальной конференцией является NISSC — the National Information Systems Security Conference. На протяжении 23 лет, еще за 10 лет до того как был принят закон о компьютерной безопасности в 1987 году, конференция была лидирующей глобальной форумом по компьютерной и информационным системам безопасности.

Центр национальной компьютерной безопасности отвечает за публикации Оранжевой и Красной книг, подробно описывающих безопасное использование вычислительных систем и сетей с точки зрения сохранности информации.Критерии определения безопасности компьютерных систем и являются частью публикаций «Радужной серии», которая в большинстве повторена в Common Criteria. Также центр компьютерной безопасности выпустил несколько публикаций по тематике компьютерной безопасности.

[CSC] Department of Defense, «Password Management Guideline», CSC-STD-002-85, 12 April 1985, 31 pages.

Руководство описывает шаги по минимизации уязвимости паролей в каждом из случаев аутентификации на основе паролей.

[NCSC1] NCSC, «A Guide to Understanding AUDIT in Trusted Systems», NCSC-TG-001, Version-2, 1 June 1988, 25 pages.

Руководство по аудиту в доверительных системах по обнаружению вторжения в компьютерную систему и выявления неправильного использования её ресурсов.

[NCSC2] NCSC, «A Guide to Understanding DISCRETIONARY ACCESS CONTROL in Trusted Systems», NCSC-TG-003, Version-1, 30 September 1987, 29 pages.

Руководство по аудиту в доверительных системах по дискретному управлению доступом. Дискреционное управление доступом — самый pаспpостраненный тип механизма управления доступом, реализованного в компьютерных системах сегодня.

[NCSC3] NCSC, «A Guide to Understanding CONFIGURATION MANAGEMENT in Trusted Systems», NCSC-TG-006, Version-1, 28 March 1988, 31 pages.

Руководство по аудиту в доверительных системах по контролю за конфигурациями. Контроль за конфигурацией состоит из следующих этапов: идентификация, управление, пpотоколирование состояния и аудирование.

[NTISS] NTISS, «Advisory Memorandum on Office Automation Security Guideline», NTISSAM CONPUSEC/1-87, 16 January 1987, 58 pages.

Этот документ является pуководством для пользователей или администраторов, отвечающих за безопасность и за снабжение пpограммного и аппаратного обеспечения в АС. В этом руководстве описано следующее: физическая безопасность, кадровая безопасность, пpоцедурная безопасность, программно-аппаратные меры, защита от ПЭМИН и коммуникационная безопасность для автономных АС, АС, используемых как терминалы, подключенные к ГВМ, и АС, используемых в ЛВС. Производится дифференциация между АС, оснащенными НГМД (накопитель на гибких магнитных дисках) и НЖМД (накопитель на жестких магнитных дисках).

[NCSC4] National Computer Security Center, «Glossary of Computer Security Terms», NCSC-TG-004, NCSC, 21 October 1988.

Словарь терминов в компьютерной безопасности.

Публикация о Критериях оценки надежных компьютерных систем

[NCSC7] National Computer Security Center, «Guidance for Applying the Department of Defense Trusted Computer System Evaluation Criteria in Specific Environments», CSC-STD-003-85, NCSC, 25 June 1985.

Публикация о применении Министерством обороны критериев оценки надежных компьютерных систем в специфических условиях.

[NCSC8] National Computer Security Center, «Technical Rationale Behind CSC-STD-003-85: Computer Security Requirements», CSC-STD-004-85, NCSC, 25 June 85.

Публикация технически объясняет CSC-STD-003-85: Требования компьютерной безопасности

[NCSC9] National Computer Security Center, «Magnetic Remanence Security Guideline», CSC-STD-005-85, NCSC, 15 November 1985.

Это руководство «Только для официального использования» согласно части 6 закона 86-36(50 U.S. Code 402). Распространение осуществляется только для правительственных агентств США и их агентов для защиты конфиденциальных технических, операционных и административных данных, относящихся к работе АНБ.

[NCSC10] National Computer Security Center, «Guidelines for Formal Verification Systems», Shipping list no.: 89-660-P, The Center, Fort George G. Meade, MD, 1 April 1990.

Публикация об основных принципах для формальных систем верификации.

[NCSC11] National Computer Security Center, «Glossary of Computer Security Terms», Shipping list no.: 89-254-P, The Center, Fort George G. Meade, MD, 21 October 1988.

Глоссарий терминов компьютерной безопасности

[NCSC12] National Computer Security Center, «Trusted UNIX Working Group (TRUSIX) rationale for selecting access control list features for the UNIX system», Shipping list no.: 90-076-P, The Center, Fort George G. Meade, MD, 1990.

Проверка UNIX Working Group (TRUSIX) для разрешения доступа к функциям управления списком для системы UNIX.

[NCSC13] National Computer Security Center, «Trusted Network Interpretation», NCSC-TG-005, NCSC, 31 July 1987. [NCSC14] Tinto, M., «Computer Viruses: Prevention, Detection, and Treatment», National Computer Security Center C1 Technical Report C1-001-89, June 1989.

Компьютерные вирусы: профилактика, диагностика и лечение.

[NCSC15] National Computer Security Conference, «12th National Computer Security Conference: Baltimore Convention Center, Baltimore, MD, 10-13 October, 1989: Information Systems Security, Solutions for Today — Concepts for Tomorrow», National Institute of Standards and National Computer Security Center, 1989.

Основные положения 12-й Национальной конференции по компьютерной безопасности, которая прошла в Балтиморском конференц — центре 10-13 октября 1989 года. Основная тематика: Безопасность информационных систем. Решения сегодня — Концепции завтра",

В январе 1981 года в соответствии с директивой министра обороны США N 5215.1 с целью определения пригодности предлагаемых различными разработчиками компьютерных систем был создан Центр компьютерной безопасности министерства обороны США.

Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр компьютерной безопасности (National Computer Security Center; NCSC).

Требования TCSEC, предъявляемые к компьютерной системе (продукту) в процессе оценивания, условно можно разделить на четыре типа - требования проведения последовательной политики безопасности (security policy), требования ведения учета использования продукта (accounts), требования доверия к продукту (assurance) и требования к документации на продукт.

Согласно TCSEC, для оценивания компьютерных систем выделено четыре основных группы безопасности, которые в свою очередь делятся на классы безопасности:

- группа Д - Minimal Protection (минимальная защита) - объединяет компьютерные системы, не удовлетворяющие требованиям безопасности высших классов. В данном случае группа и класс совпадают;

- группа С - Discretionary Protection (избирательная защита) - объединяет системы, обеспечивающие набор средств защиты, применяемых пользователем, включая средства общего контроля и учета субъектов и их действий. Эта группа имеет два класса:

1) класс С1 - Discretionary Security Protection (избирательная защита безопасности) - объединяет системы с разделением пользователей и данных;

2) класс С2 - Controlled Access Protection (защита контролируемого доступа) - объединяет системы, обеспечивающие более тонкие средства защиты по сравнению с системами класса С1, делающие пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и контроля за событиями, затрагивающими безопасность системы и изоляцию данных.

Примечание: Компьютерные системы, которые могут быть использованы для нужд министерства обороны США, должны как минимум иметь рейтинг безопасности С2.

- группа В - Mandatory Protection (полномочная защита) - имеет три класса:

1) класс В1 - Labeled Security Protection (меточная защита безопасности) - объединяет системы, удовлетворяющие всем требованиям класса С2, дополнительно реализующие заранее определенную модель безопасности, поддерживающие метки субъектов и объектов, полный контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при тестировании недостатки должны быть устранены;

2) класс В2 - Structured Protection (структурированная защита) - объединяет системы, в которых реализована четко определенная и задокументированная формализованная модель обеспечения безопасности, а меточный механизм разделения и контроля доступа, реализованный в системах класса В1, распространен на всех пользователей, все данные и все виды доступа. По сравнению с классом В1 ужесточены требования по идентификации пользователей, контролю за исполнением команд управления, усилена поддержка администратора и операторов системы. Должны быть проанализированы и перекрыты все возможности обхода защиты. Системы класса В2 считаются "относительно неуязвимыми" для несанкционированного доступа;

3) класс В3 - Security Domains (области безопасности) - объединяет системы, имеющие специальные комплексы безопасности. В системах этого класса должен быть механизм регистрации всех видов доступа любого субъекта к любому объекту. Должна быть полностью исключена возможность несанкционированного доступа. Система безопасности должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог в любой момент протестировать механизм безопасности. Системы этого класса должны иметь средства поддержки администратора безопасности; механизм контроля должен быть распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность; должны быть средства восстановления системы. Системы этого класса считаются устойчивыми к несанкционированному доступу.

- группа А - Verified Protection (проверяемая защита) - объединяет системы, характерные тем, что для проверки реализованных в системе средств защиты обрабатываемой или хранимой информации применяются формальные методы. Обязательным требованием является полная документированность всех аспектов проектирования, разработки и исполнения систем. Выделен единственный класс:

1) класс А1 - Verified Desing (проверяемая разработка) - объединяющий системы, функционально эквивалентные системам класса В3 и не требующие каких-либо дополнительных средств. Отличительной чертой систем этого класса является анализ формальных спецификаций проекта системы и технологии исполнения, дающий в результате высокую степень гарантированности корректного исполнения системы. Кроме этого, системы должны иметь мощные средства управления конфигурацией и средства поддержки администратора безопасности.

Основное содержание требований по классам безопасности TCSEC приведено в таблице 1.

Отныне мы живем в мире кибервойн, кибервойск и командований официально, как недавно стало известно из заявления министра обороны. Первопроходцами тут были США, оседлавшие технологическую волну информационных технологий — но кто при этом помнит, что одним из теоретиков информационного оружия был советский маршал? Это самое тихое оружие на свете, но оно может оказаться и самым эффективным, невиданным образом сочетая в себе физические и гуманитарные научные принципы

Информационные технологии в течение ряда лет активно интегрируются в системы управления войсками . На фото: президент РФ Владимир Путин на полигоне Раевский (Краснодарский край) 29.03.2013 во время наблюдения за отработкой действий наземных сил, боевой и военно-транспортной авиации, кораблей ВМФ

Войска информационных операций

В Вооруженных силах России существуют войска информационных операций, сообщил министр обороны страны Сергей Шойгу во время своего выступления на «правительственном часе » в Госдуме 22 февраля. Обычно министр обороны выступает в Госдуме в закрытом режиме, но накануне Дня защитника Отечества заседание решено было сделать открытым.

В ходе обсуждения Владимир Жириновский предложил не забывать и о контрпропаганде — в советское время в структуре Минобороны было специальное седьмое управление, напомнил он, и его можно воссоздать. «Сейчас нужна спецпропаганда, чтобы не только знать армию противника, но и подготовиться к работе с населением», — заявил Жириновский.

«Просто хочу вам сказать, что четыре года как создано. Правда, оно не седьмое называется, а немножко по-другому. За это время созданы войска информационных операций, что гораздо эффективнее и сильнее всего того, что раньше мы создавали в направлении, которое называлось контрпропагандой. Потому что пропаганда должна быть тоже такой умной, грамотной», — рассказал в ответ министр.

По словам главы комитета Госдумы по обороне Владимира Шаманова, войска информационных операций созданы прежде всего «для защиты интересов национальной обороны и противоборства в информационной сфере».

По словам собеседника агентства, в состав войск информационных операций должны были войти части и подразделения в военных округах и на флотах, укомплектованные высококвалифицированными специалистами: математиками, программистами, инженерами, криптографами, связистами, офицерами радиоэлектронной борьбы, переводчиками и другими.

Кибервойна — пятая область войны, после земли, моря, воздуха и космоса

Совсем недавно, на фоне постоянно приходящих новостей о вмешательстве «российских хакеров», в дела государств Евросоюза и США, был опубликован доклад международной фирмы Zecuricon Analytics. «Коммерсантъ» приводит данные, согласно которым Россия тратит на свои киберподразделения до 300 млн. долларов в год. Суммарная численность служащих в соответствующих подразделениях сотрудников доходит до тысячи человек.

Несмотря на высокий потенциал, Россия находится лишь на пятом месте, в неофициальном зачете по кибервойскам. США, Китай, Великобритания и Южная Корея, последовательно расположились в первой четверке. Причем количество служащих может доходить и до 20 тыс. человек, как в Китае, а финансирование — до 7 млрд долларов как США. Стоит отметить, что и в иных странах есть свои, порой даже нашумевшие подразделения кибербезопастности, к примеру, отряд 121 в Северной Корее, запомнившийся взломом американских серверов, на которых хранился шуточный фильм о Ким Чен Ыне.

Первопроходцами были американцы. Глава Агентства национальной безопасности США (АНБ, или NSA) генерал-лейтенант Кит Александр заявил о начале формирования кибервойск, как специального подразделения Стратегического командования США, 5 мая 2009 года. Главной задачей подразделения, по словам генерала, должна была стать защита страны от атак через компьютерные сети и обеспечение безопасности электронных систем. Однако как продемонстрировал Эдвард Сноуден, работавший на ЦРУ и то же АНБ, США использовали свой силовой компьютерный потенциал не только для защиты сетей и систем, но и для достаточно активных действий, создав невиданную сеть глобальной слежки.

Министр обороны РФ Сергей Шойгу и президент России Владимир Путин в Национальном центре управления обороной

Два поля боя и два принципа кибервойны

Известно что в 21-м веке многие науки перешли на междисциплинарные условия существования, это значит, что для рассмотрения какой либо проблемы, нам необходимо исследовать её не только в рамках одной науки, но подключить и смежные дисциплины, а возможно и самые неожиданные подходы. Исключением не стала и военная наука. Многие слышали такие термины как гибридная, сетецентрическая, информационная война. Кибервойна в данном случае, синергетически, как в теории действия сложных систем, входит в каждый из вышеописанных видов войн. В данном случае мы подразумеваем не классические средства радиоэлектронной борьбы, а именно информационные системы.

Начальник Генерального штаба Вооруженных сил России генерал армии Валерий Герасимов подробно разъяснял, что «в современных конфликтах все чаще акцент используемых методов борьбы смещается в сторону комплексного применения политических, экономических, информационных и других невоенных мер, реализуемых с опорой на военную силу». Писал генерал в опубликованной в газете «Военно-промышленный курьер» статье «По опыту Сирии» от 9 марта 2016 года.

Связанные глобальной сетью, спутниковыми передатчиками данных позиционирования, многоуровневой разведывательной системой из беспилотников-разведчиков, самолётов управления и спутников шпионов, современные армии развитых государств действуют как единое целое на неограниченном пространстве. В перерыве между иракскими кампаниями, проводимыми США, суммарная полоса пропускания военной сети Пентагона выросла в 7 раз, до 3 ГГц. И это за 12 неполных лет с 1991 по 2003 год. К сожалению, данные по современному развитию информационных военных систем в США недоступны, что по своему говорит об их важности.

Во время операции по принуждению Грузии к миру в 2008 году российское командование допустило многочисленные вынужденные ошибки в управлении частями на поле боя. Беспилотных систем практически не было, связь работала неудовлетворительно, время принятия решений затягивалось. Дошло до того, что командующий 58 армией генерал Хрулёв из-за отвратительно проведенной разведки попал в засаду и был ранен.

За неполные 8 лет была проделана колоссальная работа по устранению этих недостатков. Вот что министр обороны РФ Сергей Шойгу рассказал о проведенной работе депутатам Госдумы 22 февраля: «В 3 раза повышена оперативность принятия решений по критически важным вопросам. Улучшены характеристики систем обработки данных. Для сравнения: российский Национальный центр превосходит объединённый центр управления вооружёнными силами Франции “Балар” в 19 раз по суммарному объёму хранимых данных и в 3 раза по вычислительной мощности. При этом комплекс зданий Минобороны России построен в 3 раза быстрее и в 2,6 раза дешевле, чем французский центр» — сказал Сергей Шойгу.

Информационная платформа Национального центра позволила собрать в единую систему межведомственного взаимодействия 73 федеральных органа исполнительной власти, органы власти всех 85 субъектов Российской Федерации, 1320 государственных корпораций и предприятий оборонно-промышленного комплекса. Отдельно остановился глава военного ведомства на качественных возможностях Национального центра управления обороной, который круглосуточно осуществляет мониторинг и координацию 6500 мероприятий Плана деятельности Вооружённых Сил: «Впервые создано единое защищённое информационное пространство на федеральном, региональном и местном уровнях», — отметил Сергей Шойгу.

Но информационная война многолика. Во время и после упомянутого конфликта между Россией и Грузией информационная сфера тоже стала полем боя. Не только в боевых операциях и на дипломатических переговорах, но и в ходе «баталий» на сайтах, в прессе и в телестудиях решалось, какая завершающая черта будет поведена под итогами скоротечной войны.

Сам принцип ведения кибервойны разделен на два направления: шпионаж и атаки. Главной целью шпионажа служит как можно менее заметное проникновение во вражескую сеть и похищение необходимой информации. Атаки же проводятся по многим направлениям и могут отличаться друг от друга. Это может быть вандализм сайтов и серверов, например, с подменой их реального содержания на всевозможные непристойности. Это атаки на инфраструктуру, компьютерную сеть, отказ сервисов с целью нарушить нормальную работу ведомства или целого государства. И, наконец, растет роль пропаганды, учитывая современные возможности воздействовать на умы поверх границ.

В развитых странах, включая Россию, интернет давно стал неотъемлемой частью не только повседневной жизни граждан, но и таких серьезных систем как биржи или системы управления, вплоть до городского транспорта или банка. Атака на подобные системы, правительственные серверы, может повлечь за собой вполне серьезные бедствия или социальные потрясения, внести разлад в повседневную жизнь страны, нарушить управление военной или гражданской инфраструктурой.

Как пишет эксперт по безопасности правительства США Ричард Кларк в своей книге «Кибервойна»: «кибервойна — действия одного национального государства с проникновением в компьютеры или сети другого национального государства для достижения целей нанесения ущерба или разрушения». Сети, добавим, не только инфраструктурные, но и медийные.

Самое тихое оружие

Трамп, имея многочисленные конфликты с представителями традиционных СМИ, выиграл свою кибервойну. Сделав ставку на интернет, «твиттер-президент» Трамп был в значительной степени заинтересован в поддержке своей кампании в сети. Значит, помощь в этом ему могла оказать как любая группа хакеров, любой страны, так и он сам себе, сколотив группу собственных специалистов.

При этом системы не стоят на месте, а постоянно совершенствуются, как в свое время броня и противотанковые орудия. Сейчас хакеры любого уровня, как гражданские киберпреступники, так и военные сотрудники, совершенствуют свои навыки и придумывают все новые способы взлома существующих систем. По итогам 2016 года многие мировые лидеры были встревожены возросшим количеством кибератак на свои серверы, к примеру, в ФРГ по сравнению с 2015 годом общее количество киберпреступлений выросло на 70%.

Подобная динамика, в целом, актуальна для всех развитых государств. Хакеры совершенствуют меч кибервойны, а государства создают щит, нанимая в свои компьютерные войска высококлассных специалистов.

В 1980 году никто не мог подумать, что у большинства крупных военных держав появятся свои киберподразделения. Но любопытно будет отметить, что в середине 80-х годов маршал Советского Союза Николай Огарков в книге «История учит бдительности» описывал подобное развитие военной науки, поэтому доля первопроходчества в этой сфере есть и у нашей страны. «В 50–60-е гг., когда ядерного оружия было ещё мало, оно рассматривалось лишь как средство, дающее возможность нарастить огневую мощь войск. Сейчас информационные системы рассматриваются как вспомогательные средства, но однажды, они выведут военное строительство на новый уровень, как уже вывело ядерное оружие». – писал маршал. Очевидно, он оказался прав.

Центр национальной компьютерной безопасности США (англ. National Computer Security Center ) — является частью Агентства национальной безопасности США. Он несёт ответственность за проверку и оценку компьютерного оборудования, в областях связанных с конфиденциальностью или высокой степенью секретности информации [1] .

Центр национальной компьютерной безопасности (NCSC) является организацией правительства Агентства национальной безопасности США, которая оценивает безопасность вычислительной техники для приложений, чтобы гарантировать, что средства обработки секретной или других чувствительных материалов пользуются только проверенными компьютерными системами и компонентами [1] . Организация работает в сфере промышленности, образования и правительства областях связанных с конфиденциальностью или высокой степенью секретности информации. Также центр поддерживает проведение научных исследований и стандартизацию проектов по разработке систем защиты информации. Более старое название Центр национальной компьютерной безопасности DoD Computer Security Center (CSC) — центр компьютерной защиты Министерства Обороны.

Цели Центра национальной компьютерной безопасности США

Основной целью центра, как указано в его уставе [5] , является поощрять широкую доступность надежных компьютерных систем для использования при, обработке секретной или конфиденциальной информации. Критерии представленные в этом документе эволюционировали от более ранних критериев Национального бюро стандартов. Критерии оценки доверенной компьютерной системы, определенные в этом документе, применяются в первую очередь доверенными коммерчески доступными и автоматически обрабатывающими данные системами. Цель создания, указанная в документах:

Обеспечить основу для определения требований безопасности.
Обеспечить стандарт изготовления коммерческой продукции в целях обеспечения широкой доступности системы и удовлетворения требованиям доверия (с особым акцентом на предотвращение утечки и раскрытия данных) для конфиденциальных и секретных приложений.
Предоставить компонентам Министерства обороны СШАметрику для оценки степени доверия, которое может быть оказано компьютерным системам для безопасной обработки секретной и другой конфиденциальной информации. Предоставляя компонентам Министерства обороны метрику оценки безопасности, оценки могут делиться на два типа: оценка может быть выполнена на компьютере, не включая среду приложения; или можно провести оценку того, были ли приняты соответствующие меры безопасности и разрешить системе эксплуатационно использоваться в конкретной среде. Последний тип оценки, т. е. те, которые проводятся с целью оценки атрибутов безопасности системы применительно к конкретной операционной миссии, называется сертификационной оценкой. Необходимо понимать, что получение официальной оценки продукта не является сертификацией или аккредитацией системы для использования в любой конкретной среде приложения. Напротив, отчет об оценке предоставляет только оценка компьютерной системы вместе с сопутствующими данными, описывающими сильные и слабые стороны системы продукта с точки зрения компьютерной безопасности. Сертификация безопасности системы и официальное утверждение или аккредитация - процедура, осуществляемая в соответствии с действующими правилами выдачи, все еще необходима к выполнению, прежде чем систему можно одобрить для использования при обработке секретной информации. Назначенное органами власти утверждение в конечном счете остается решающим в определении безопасности системы.

Центром национальной компьютерной безопасности США было разработано шесть основных требований: четыре касаются контроля доступа к информации; и два касаются получения надежных гарантий того, что доступ к информации будет выполнен на доверенной компьютерной системе [6]

Требование 1 - политика безопасности

Должна быть четко определенная политика безопасности, применяемая системой. С учетом выявленных субъектов и объектов, должен быть набор правил, которые используются системой, чтобы определить, может ли данный субъект получить доступ к конкретному объекту. Компьютерные системы, должны руководствоваться политикой безопасности, которая может эффективно реализовать правила доступа для обработки конфиденциальной и секретной информации. Кроме того, дискреционное обеспечение элементов управления необходимо, чтобы гарантировать, что только выбранные пользователи или группы пользователей могут получить доступ к данным.

Требование 2 - маркировка

Метки управления доступом должны быть связаны с объектами. Для управления доступом к информации, хранящейся в компьютере, согласно правилам обязательной политики безопасности, должна быть возможность пометить каждый объект меткой, которая надежно идентифицирует объект. Например, классификация и/или способы предоставления доступа тем субъектам, которые потенциально могут получить доступ к объекту.

Требование 3 - идентификация

Отдельные субъекты должны быть идентифицированы. Каждый доступ к информации должен осуществляться на основе того, кто запрашивает доступ к информации и к каким классам информации они имеют доступ. Эта идентификация и авторизация должна надежно поддерживаться компьютерной системой и быть связанной с каждым активным элементом, который выполняет некоторые действия, связанные с безопасностью в системе.

Требование 4 - подотчетность

Аудиторская информация должна выборочно храниться и защищаться, так чтобы действия, влияющие на безопасность могли быть отслежены до ответственной за эти действия стороны. Доверенная система должна иметь возможность журналировать события, относящиеся к безопасности. Данные журнала, который ведется с целью расследования по факту нарушений безопасности, должны быть защищены от модификации и несанкционированного уничтожения.

Требование 5 - гарантия

Компьютерная система должна содержать аппаратные или программные механизмы, которые могут быть независимо оценены. Это делается для достаточной уверенности в том, что система обеспечивает выполнение требований 1-4 выше. Чтобы гарантировать, что 4 требования политики безопасности реализуются компьютерной системой нужна определенная и унифицированная коллекция аппаратного и программного обеспечения и элементы управления, выполняющие эти функции. Эти механизмы обычно встроены в операционную систему и предназначены для выполнения задачи в безопасном режиме. Основа доверия таким механизмам системы должна быть четко документирована таким образом, чтобы была возможна независимая экспертиза для доказательства достаточности таких механизмов.

Требование 6 - непрерывная защита

Надежные механизмы, которые соблюдают эти основные требования должны быть постоянно защищены от подделок и / или несанкционированных изменений. Никакая компьютерная система не может быть действительно безопасной, если основные механизмы оборудования и программного обеспечения, которые реализуют политику безопасности сами подвержены несанкционированному изменению или подрывной деятельности.

Центр компьютерной безопасности распространяет информацию о проблемах компьютерной безопасности в образовательных целях. Также организация проводит ежегодную Национальную конференцию по информационной безопасности систем. Конференция способствует повышению спроса и увеличению инвестиций в области информационных систем безопасности продуктов, решений и исследований. Первой национальной конференцией является NISSC — the National Information Systems Security Conference [7] . На протяжении 23 лет, еще за 10 лет до того как был принят закон о компьютерной безопасности в 1987 году, конференция была лидирующей глобальной форумом по компьютерной и информационным системам безопасности.

Центр национальной компьютерной безопасности отвечает за публикации Оранжевой и Красной книг, подробно описывающих безопасное использование вычислительных систем и сетей с точки зрения сохранности информации. Критерии определения безопасности компьютерных систем и являются частью публикаций «Радужной серии», которая в большинстве повторена в Common Criteria. Также центр компьютерной безопасности выпустил несколько публикаций по тематике компьютерной безопасности.

Основной список:

[CSC] Department of Defense, «Password Management Guideline» [8] , CSC-STD-002-85, 12 April 1985, 31 pages.

[NCSC1] NCSC, «A Guide to Understanding AUDIT in Trusted Systems» [9] , NCSC-TG-001, Version-2, 1 June 1988, 25 pages.

[NCSC2] NCSC, «A Guide to Understanding DISCRETIONARY ACCESS CONTROL in Trusted Systems» [10] , NCSC-TG-003, Version-1, 30 September 1987, 29 pages.

[NCSC3] NCSC, «A Guide to Understanding CONFIGURATION MANAGEMENT in Trusted Systems» [11] , NCSC-TG-006, Version-1, 28 March 1988, 31 pages.

[NTISS] NTISS, «Advisory Memorandum on Office Automation Security Guideline» [12] , NTISSAM CONPUSEC/1-87, 16 January 1987, 58 pages.

Дополнительные публикации [12] :