Trusted Computer Security Evaluation Criteria

Материал из Encyclopedia Electronica

(TCSEC)
«Доверенные критерии оценки компьютерной безопасности»
 Документ, разработанный Центром компьютерной безопасности Министерства обороны США (DoD Computer Security Center) в соответствии с директивой 5215.1 и утверждённый 15.08.1983.
 Отчёт (также называемый «Оранжевой книгой» по цвету своей обложки), является руководством по безопасности, предназначенным как для покупателей, так и для разработчиков. В данном документе описываются критерии, в соответствии с которыми оцениваются операционные системы и аппаратно-программные средства, изменяющие функции ОС. Оценка безопасности СУБД и вычислительных сетей производится по др. документам. В документе изложены единые для МО США требования к обеспечению безопасности компьютерных систем и порядок определения классов защищённости компьютерных систем МО США; выделены общие требования по обеспечению безопасности обрабатываемой информации; определён перечень показателей защищённости, характеризующих реализацию этих требований. Совокупность показателей определяет класс безопасности рассматриваемой системы. Выделяются семь классов с различными механизмами обеспечения информационной безопасности. Самый нижний класс D присваивается системам, которые не соответствуют ни одному уровню безопасности. Остальные шесть классов образуют четыре группы: класс A означает гарантированную защиту. Данный класс предназначен для систем, к которым предъявляются достаточно высокие требования по безопасности. Класс B характеризуется полномочным управлением доступом. Делится на три подкласса B1, B2 и B3 (от более низкого к более высокому подклассу). Класс C характеризуется избирательным управлением доступом. Применяется к оценке большинства коммерческих систем. Делится на два подкласса C1 и C2. Класс безопасности присваивается системе при прохождении ею процесса сертификации в NCSC. Подход, описанный в TCSEC страдает рядом недостатков:
 • данный документ не применим к персональным компьютерам;
 • игнорирование проблемы целостности информации.
 • упор делается на конфиденциальность информации.
 • основной акцент делается на «безопасность при приобретении», а не на «безопасность при эксплуатации».
 В целом, TCSEC ориентирован на применение в военных организациях и не учитывает специфики коммерческих организаций.

Игорь Мостицкий (обсуждение) 16:03, 9 января 2026 (MSK)

Источник — https://wiki.1963.ru/index.php?title=Trusted_Computer_Security_Evaluation_Criteria&oldid=37191