Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 785 Лекція 5 на тему Нормативно-законодавча база із захисту інформації з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція 5 на тему Нормативно-законодавча база із захисту інформації з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

« Назад

Лекція №5. НОРМАТИВНО-ЗАКОНОДАВЧА БАЗА ІЗ ЗАХИСТУ ІНФОРМАЦІЇ. Проблеми створення стандартів з ЗІ

План

  1. Необхідність стандартів з інформаційної безпеки.

  2. Погляди на проблеми інформаційної безпеки споживачів засобів захисту, виробників та експертів по кваліфікації.

  3. Узагальнені показники, що характеризують стандарти з інформаційної безпеки.

  4. Значення розробки «Оранжевої книги».

  5. Основні вимоги безпеки з «Оранжевої книги».

  6. Основні вимоги безпеки з «Європейських критеріїв».

  7. Основні вимоги безпеки з документів Держтехкомісії Російської федерації.

  8. Основні вимоги безпеки з «Федеральних критеріїв безпеки інформаційних технологій» США.

  9. Основні вимоги безпеки з «Канадських критеріїв безпеки комп’ютерних систем».

 

2. НОРМАТИВНО-ЗАКОНОДАВЧА БАЗА ІЗ ЗАХИСТУ ІНФОРМАЦІЇ

2.1. Проблеми створення стандартів з ЗІ

В основному роль стандартів із ЗІ така ж як і в будь-якій іншій сфері. Кожна людина повинна мати можливість оцінювати і порівнювати все, що навколо неї і чим вона користується. У цьому сенсі ІБ нічим не відрізняється від інших сфер нашої діяльності. Головна задача стандартів ІБ – створити основу для взаємодії між виробниками, споживачами та експертами по кваліфікації продуктів інформаційних технологій. Кожна з цих груп має свої інтереси і свої погляди на проблему ІБ.

Споживачі, по-перше, зацікавлені в методиці, яка дозволяє обґрунтовано обрати продукт, що відповідає їх потребам і вирішує їх проблеми, для чого їм необхідна чітка шкала оцінки безпеки, і, по-друге, мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробнику. При цьому споживачів (що, до речі, цілком природно й обґрунтовано) цікавлять виключно характеристики і властивості кінцевого продукту, а не методи та засоби їх досягнення. Тут звернемо увагу на те, що саме з цієї точки зору ми цікавимось взагалі будь-якими товарами (тобто не обов'язково пов'язаними з ІБ). З цієї ж точки зору ідеальна шкала оцінки безпеки мала б виглядати приблизно так (звичайно, залежно від можливого для споживача рівня конфіденційності інформації):

Рівень 1. Система для обробки інформації з грифом не вище ніж «для службового користування».

Рівень 2. Система для обробки інформації з грифом не вище ніж «секретно», і т.д.

Відповідно і вимоги споживач хотів би сформулювати приблизно в такій формі: «Я хотів би, щоб у мене все було захищене для обробки, наприклад, цілком таємної інформації». Нагадаємо, що коли ми щось купуємо, то, звичайно ж, хочемо, щоб воно було найліпшим, найдовговічнішим і т.д. Однак цей неконструктивний підхід сам по собі не такий страшний, багато гірше інше - більшість споживачів не розуміє і не хоче розуміти, що за все треба платити (і не тільки грошима) і що вимоги безпеки обов'язково суперечать (не можуть не суперечити!) функціональним вимогам (наприклад, зручності роботи, швидкодії і т.д.), накладають обмеження на сумісність і, як правило, вимагають відмовитися від широко розповсюджених незахищених прикладних ПЗ.

Виробники, у свою чергу, мають потребу в стандартах для порівняння можливостей своїх продуктів і в застосуванні процедури сертифікації для об'єктивної оцінки їхніх властивостей, а також у стандартизації визначеного набору вимог безпеки, що міг би обмежити фантазію замовника конкретного продукту і змусити його вибирати вимоги з цього продукту. Знову згадаємо будь-якого побутового виробника - йому зовсім не хочеться робити всі для всіх. З погляду виробника, вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т.д. Крім того, вимоги не повинні вступати в конфлікт з існуючими методами й алгоритмами обробки інформації, архітектурою КС і технологіями створення інформаційних продуктів. Цей підхід також не може бути визнаний в якості домінуючого, тому що він не враховує потреби користувачів (адже в кінцевому рахунку саме для них все робиться) і намагається підігнати вимоги захисту під існуючі системи і технології, а це далеко не завжди можливо здійснити без збитку для безпеки.

Експерти по кваліфікації і фахівці із сертифікації розглядають стандарти як інструмент, що дозволяє їм оцінити рівень безпеки, забезпечуваний продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір. Виробники в результаті кваліфікації рівня безпеки одержують об'єктивну оцінку можливостей свого продукту. Експерти по кваліфікації виявляються в двоїстому положенні. З одного боку вони, як і виробники, зацікавлені в чітких і простих критеріях, над застосуванням яких до конкретного продукту не потрібно ламати голову (найкраще це могла б бути анкета з відповідями типу «так/ні»). З іншого боку, вони повинні дати обґрунтовану відповідь користувачам – задовольняє продукт їх потребам чи ні. Виходить, що саме експерти приймають на себе весь тягар відповідальності за безпеку продукту, що одержав кваліфікацію рівня безпеки і пройшли сертифікацію.

Таким чином, перед стандартами ІБ стоїть непроста задача – примирити ці три точки зору і створити ефективний механізм взаємодії всіх сторін. Причому «обмеження» потреб хоча б однієї з них приведе до неможливості взаєморозуміння і взаємодії і, отже, не дозволить вирішити загальну задачу – створення захищеної системи обробки інформації.

Якими узагальненими показниками можна було б охарактеризувати стандарти ІБ?

В якості таких показників, що мають значення для всіх трьох сторін, зручно використовувати універсальність, гнучкість, гарантованість, реалізуємість і актуальність [ ].

Універсальність стандарту визначається множиною типів АС і областю інформаційних технологій, до яких можуть бути коректно використані його положення. Вона дуже важлива, оскільки зараз інформаційні технології бурхливо розвиваються, архітектура систем постійно удосконалюється, сфера їх застосування розширюється. Такі стандарти повинні враховувати всі аспекти.

Під гнучкістю стандарту розуміється можливість і зручність його застосування до інформаційних технологій, що постійно розвиваються, і час його «застаріння». Гнучкість може бути досягнута винятково через фундаментальність вимог і критеріїв і їхню інваріантість стосовно механізмів реалізації і технологій створення ІТ-продуктів.

Гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу. Як показав досвід, для досягнення поставлених цілей експерти повинні мати можливість обґрунтовувати свої висновки, а розроблювачі мати потребу в механізмах, за допомогою яких вони могли б підтвердити коректність своїх розробок і надати споживачам визначені гарантії.

Реалізуємість – це можливість адекватної реалізації вимог і критеріїв стандарту на практиці з урахуванням витрат на це процес. Реалізуемість багато в чому пов'язана з універсальністю і гнучкістю, але відбиває чисто практичні і технологічні аспекти реалізації положень і вимог стандарту.

Актуальність відбиває відповідність вимог і критеріїв стандарту множині загроз безпеці і новітніх методів і засобів, що використовуються ЗЛ. Ця характеристика, поряд з універсальністю є однією з найважливіших, тому що здатність протистояти загрозам і прогнозувати їх розвиток фактично визначають придатність стандарту і є вирішальним чинником при визначенні його придатності.

Необхідність в подібних стандартах була усвідомлена вже давно (звичайно, по мірках розвитку інформаційних технологій), і в цьому напрямку досягнуто істотний прогрес, закріплений у новому поколінні документів розробки 90-х років. Найбільш значимими стандартами ІБ є (у хронологічному порядку): «Критерії безпеки комп'ютерних систем міністерства оборони США», «Європейські критерії безпеки інформаційних технологій», «Керуючі документи Держтехкомісії Росії», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем», «Єдині критерії безпеки інформаційних технологій», «Українські критерії безпеки автоматизованих систем».

Далі ці документи будуть розглянуті з погляду їх структури, вимог і критеріїв, а також оцінки ефективності їх практичного застосування. Тому огляд буде здійснюватися за схемою: ціль розробки, основні положення, таксономія і ранжування вимог і критеріїв.

2.2. Огляд стандартів з захисту інформації

Критерії безпеки комп'ютерних систем міністерства оборони США («Trusted Computer Sytem Evaluation Criteria»), що отримали назву «Оранжева книга» (за кольором обкладинки), були розроблені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які пред'являються до апаратного, програмного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення.

У цьому документі були вперше нормативно визначені такі поняття, як «політика безпеки», ТСВ і т.д. Відповідно до «Оранжевої книги» безпечна КС – це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що авторизовані відповідним чином користувачі або процеси, що діють від їх імені, отримують можливість читати, писати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.

У «Оранжевій книзі» запропоновано три категорії вимог щодо безпеки – політика безпеки, аудит та коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, два інших – на якість самих засобів захисту:

  • політика безпеки; вимога 1 (політика безпеки) – система має підтримувати точно визначену політику безпеки, можливість доступу до об'єктів повинна визначатися на основі їх ідентифікації і набору правил керування доступом; вимога 2 (мітки) – кожен об'єкт повинний мати мітку, яка використовується в якості атрибуту контролю доступу;

  • аудит; вимога 3 (ідентифікація та автентифікація) – всі суб'єкти повинні мати унікальні ідентифікатори, контроль доступу здійснюється на основі ідентифікації та автентифікації суб'єкта й об'єкта доступу; вимога 4 (реєстрація й облік) – всі події, що мають відношення до безпеки, мають відстежуватися і реєструватися в захищеному протоколі;

  • коректність; вимога 5 (контроль коректності функціонування засобів захисту) – засоби захисту знаходяться під контролем засобів перевірки коректності, засоби захисту незалежні від засобів контролю коректності; вимога 6 (безперервність захисту) – захист повинний бути постійним і безперервним в будь-якому режимі функціонування системи захисту і всієї системи в цілому.

Запропоновано також чотири групи критеріїв рівня захищеності. Мінімальний захист (група D), містить один клас (D); дискреційний захист (група С), містить два класи (С1, С2); мандатний захист (група В), містить три класи (В1, В2, В3); верифікований захист (група А), містить один клас (А). Усі групи і класи в них характеризуються зростаючим вимогами безпеки для системи захисту.

У подальшому виявилося, що ряд положень документа застарів і він був розвинутий (було створено більш чотирьох десятків допоміжних документів – «Райдужна серія»). Значення «Оранжевої книги» важко переоцінити – це була перша спроба, фактично прорив, створення єдиного стандарту безпеки і це був справжній прорив в області безпеки інформаційних технологій. Цей документ став відправною точкою для подальших досліджень і розробок. Основною його відмінністю є орієнтація на системи військового застосування, причому в основному на ОС.

Історично другими були розроблені «Критерії безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, далі «Європейські критерії»). Вони були розроблені Францією, Німеччиною, Нідерландами та Великобританією і вперше опубліковані в 1991 році.

«Європейські критерії» розглядають наступні основні задачі інформаційної безпеки:

  • захист інформації від НСД з метою забезпечення конфіденційності;

  • забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації або знищення;

  • забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.

Для забезпечення вимог конфіденційності, цілісності і працездатності в системі необхідно реалізувати відповідний набір функцій безпеки, таких як ідентифікація й автентифікація, керування доступом, аудит і т.д. Ступінь впевненості в правильності їх вибору і надійності функціонування визначається за допомогою адекватності (assurance), яка включає до собі два аспекти: ефективність (відповідність засобів безпеки задачам безпеки) і коректність (правильність і надійність реалізації функцій безпеки). Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їх реалізації.

Ефективність визначається функціональними критеріями, які розглядаються на трьох рівнях деталізації: перший – цілі безпеки, другий – специфікації функцій захисту, третій – механізми захисту. Специфікації функцій захисту розглядаються з точки зору наступних вимог:

  • ідентифікація й автентифікація;

  • керування доступом;

  • підзвітність;

  • аудит;

  • повторне використання об'єктів;

  • цілісність інформації;

  • надійність обслуговування;

  • безпечний обмін даними.

Набір функцій безпеки специфікується за допомогою визначених класів-шаблонів. Всього визначено десять класів (F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX) за зростаючими вимогами.

«Європейські критерії» визначають також сім рівнів адекватності – від Е0 до Е6 (за зростанням вимог при аналізі ефективності та коректності засобів захисту).

Головне досягнення цього документа – введення поняття адекватності засобів захисту і визначення окремої шкали для адекватності. Крім того, були визначені основні властивості захищеної інформації – конфіденційність, цілісність.

У 1992 році Держтехкомісія (ДТК) при Президенті Російської федерації опублікувала п'ять Керуючих документів з питань захисту інформації від НСД:

  1. Захист від несанкціонованого доступу до інформації. Терміни і визначення.

  2. Концепція захисту ЗОТ і АС від НСД до інформації.

  3. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги по захисту інформації.

  4. Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації.

  5. Тимчасове положення при організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.

Найбільшу цікавість представляють другий, третій та четвертий документи.

Ідейною основою цих документів є другий документ, який містить систему поглядів ДТК на проблему інформаційної безпеки й основні принципи захисту комп'ютерних систем. З точки зору розробників даних документів основна задача засобів безпеки – це забезпечення захисту від НСД до інформації. Якщо засобам контролю і забезпеченню цілісності деяка увага і приділяється, то про підтримку працездатності систем обробки інформації взагалі не згадується.

Керуючі документи ДТК розглядають дві групи критеріїв безпеки – показники захищеності ЗОТ від НСД і критерії захищеності АС обробки даних. Перша група дозволяє оцінити ступінь захищеності окремих компонентів АС, а друга – повнофункціональні системи обробки даних.

Встановлено сім класів захищеності ЗОТ від НСД до інформації. Найнижчий клас сьомий, найвищий – перший. Для кожного з класів визначено певні вимоги для ЗОТ.

Для оцінки рівня захищеності АС від НСД встановлено дев'ять класів. Клас підрозділяються на три групи, які відрізняються специфікою обробки інформації в АС. Група АС визначається на основі наступних ознак:

  • наявність в АС інформації різного рівня конфіденційності;

  • рівень повноважень користувачів АС на доступ до конфіденційної інформації;

  • режим обробки даних в АС (колективний або індивідуальний).

Наведемо склад кожної групи за зростанням рівня захищеності. Отже, третя група включає АС, у яких працює один користувач допущень до всієї інформації АС, що розміщена на носіях один рівня конфіденційності. Група містить два класи – 3Б і 3А.

Друга група включає АС, у яких користувачі мають однакові повноваження доступу до інформації, яка обробляється на носіях різного рівня конфіденційності. Вона має два класи – 2Б і 2А.

Перша група включає багатокористувацькі АС, у яких водночас обробляється інформація різних рівнів конфіденційності. Користувачі мають різні права доступу. Група містить п'ять класів – 1Д, 1М, 1В, 1Б, 1А.

Розробка стандарту із ІБ ДТК було дуже важливим новим кроком для тогочасного рівня розвитку інформаційних технологій Росії. Великий вплив на нього зробила «Оранжева книга», оскільки і той і другий стандарти були орієнтовані на системи військового застосування. До недоліків даного стандарту слід віднести відсутність вимог до захисту від загроз працездатності, орієнтація тільки на захист від НСД, відсутність вимог до адекватності реалізації політики безпеки. Поняття політики безпеки трактується виключно як підтримка секретності і відсутність НСД, що принципово неправильно.

«Федеральні критерії безпеки інформаційних технологій» («Federal Criteria for Information Technology Security») розроблялись як одна зі складових «Американського федерального стандарту по обробці інформації» («Federal for Information Processing Standard») і мала замінити «Оранжеву книгу». Розробниками стандарту виступили Національний інститут стандартів і технологій США (National of Snandards and Technology – NIST) та Агенство національної безпеки США (National Security Agency – NSA). Перша версія документа була опублікована в грудні 1992 року.

Цей документ розроблений на основі результатів численних досліджень в області забезпечення інформаційних технологій 80-х - початку 90-х років, а також на основі досвіду використання «Оранжевої книги». Документ являє собою основу для розробки і сертифікації компонентів інформаційних технологій з погляду забезпечення безпеки. Створення документа переслідувало наступні цілі:

1. Визначення універсального й відкритого для подальшого розвитку базового набору вимог безпеки до сучасних інформаційних технологій. Вимоги до безпеки і критерії оцінки рівня захищеності повинні відповідати сучасному рівню розвитку інформаційних технологій і враховувати його прогрес у майбутньому.

2. Удосконалювання існуючих вимог і критеріїв безпеки. У зв'язку з розвитком інформаційних технологій назріла необхідність перегляду фундаментальних принципів безпеки з урахуванням появи нових областей їхнього застосування як у державному так і в приватному секторах.

3. Приведення у відповідність прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.

4. Нормативне закріплення основних принципів інформаційної безпеки. Стандарт є узагальненням основних принципів забезпечення безпеки інформаційних технологій, розроблених у 80-і роки, і забезпечує наступність стосовно них з метою збереження досягнень в області захисту інформації.

Основними об'єктами вимог безпеки «Федеральних критеріїв» є продукти ІТ, під якими розуміється сукупність апаратних і/чи програмних засобів, яка являє собою готовий до використання засіб обробки інформації і поставляється споживачу. Як правило, ІТ-продукт експлуатується не автономно, а інтегрується в систему обробки інформації, що представляє собою сукупність ІТ-продуктів, об'єднаних у функціонально повний комплекс, призначений для рішення прикладних задач. З погляду безпеки принципове розходження між ІТ-продуктом і системою обробки інформації визначається середовищем їхньої експлуатації. Продукт ІТ звичайно розробляється в розрахунку на те, що він буде використовуватися в багатьох системах обробки інформації, і, отже, розроблювач повинний орієнтуватися тільки на самі загальні припущення про середовище експлуатації свого продукту, що включають умови застосування і загальні загрози. Навпроти, системи обробки інформації розробляється для рішення прикладних задач у розрахунку на вимоги кінцевих споживачів, що дозволяє враховувати специфіку впливів з боку конкретного середовища експлуатації.

«Федеральні критерії» містять положення, що відносяться тільки до окремих продуктів ІТ. Положення стосуються тільки власних засобів забезпечення безпеки ІТ-продуктів, тобто механізмів захисту, убудованих безпосередньо в ці продукти у виді відповідних програмних, апаратних чи спеціальних засобів. Для підвищення ефективності їх роботи можуть використовуватися зовнішні системи захисту і засоби забезпечення безпеки, до яких відносяться як технічні засоби, так і організаційні заходи, правові і юридичні норми. У кінцевому рахунку, безпека ІТ-продукту визначається сукупністю власних засобів забезпечення безпеки і зовнішніх засобів, що є частиною середовища експлуатації.

Ключовим поняттям «Федеральних критеріїв» є поняття профілю захисту – нормативного документа, що регламентує всі аспекти безпеки ІТ-продукту у виді вимог до його проектування, технології розробки і кваліфікаційного аналізу.

«Федеральні критерії» представляють процес розробки інформації у виді трьох основних етапів:

1. Розробка й аналіз профілю захисту. Вимоги, викладені в профілі захисту, визначають функціональні можливості ІТ-продукта по забезпеченню безпеки. Профіль безпеки аналізується на повноту, несуперечність і технічну коректність.

2. Розробка і кваліфікаційний аналіз ІТ-продукта.

3. Компонування і сертифікація система обробки інформації в цілому.

«Федеральні критерії» регламентують тільки перший етап цієї схеми – розробку й аналіз профілю захисту, наступні етапи залишаються поза рамками цього стандарту.

«Федеральні критерії» є першим стандартом ІБ, у якому визначаються три незалежні групи вимог: функціональні вимоги до засобів захисту, вимоги до технології розробки і до процесу кваліфікаційного аналізу. Вперше запропонована концепція профілю захисту, що містить опис усіх вимог безпеки як до самому ІТ-продукту, так і до процесу його проектування, розробки, тестування і кваліфікаційного аналізу. В документі не використовувався підхід до єдиної оцінки рівня безпеки ІТ-продукта, а запропоновано незалежне ранжування вимог кожної групи.

«Канадські критерії безпеки комп'ютерних систем» («Canadian Trusted Computer Product EvaluationCriteria») були розроблені в Центрі безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) для використання в якості національного стандарту безпеки комп'ютерних систем. Першу версію стандарту було опубліковано в 1992 році.

При розробці «Канадських критеріїв» переслідувалися наступні цілі:

1. Запропонувати єдину шкалу критеріїв оцінки безпеки КС для порівняння систем по ступені забезпечення безпеки.

2. Створити основу для розробки специфікацій безпечних КС, яка могла б використовуватися розроблювачами при проектуванні систем як керівництво.

3. Запропонувати уніфікований підхід і стандартні засоби для опису характеристик безпечних КС.

Базовим поняттям стандарту є об'єкт, що може знаходитися в трьох станах: об'єкт-користувач, об'єкт-процес, пасивний об'єкт.

Функціональні критерії розділяються на чотири групи: критерії конфіденційності, цілісності, працездатності й аудита. Кожна з цих груп (крім аудита) відбиває функціональні можливості системи по відображенню відповідного класу загроз. В кожній групи критеріїв визначені рівні безпеки, що відбивають можливості засобів захисту за рішенням задач даного розділу. Ранжування за рівнями здійснюється на підставі потужності використовуваних методів захисту і класу відбиваних загроз. Рівні з великим номером забезпечують більш високий ступінь безпеки.

Адекватність реалізації визначається тим, наскільки точно і послідовно засоби, що забезпечують захист, реалізують прийняту в системі політику безпеки. Критерії адекватності відбивають рівень коректності реалізації політики безпеки й охоплюють усі стадії проектування, розробки й експлуатації комп'ютерної системи.

У такий спосіб «Канадські критерії» визначають ступінь безпеки комп'ютерної системи як сукупність функціональних можливостей використовуваних засобів захисту, що характеризується приватними показниками забезпечуваного рівня безпеки, і одного узагальненого параметра - рівня адекватності реалізації політики безпеки.

«Канадські критерії» з'явилися першим стандартом ІБ, у якому на рівні структури документа функціональні вимоги до засобів захисту відділені від вимог адекватності і якості реалізації політики безпеки. Вперше багато уваги приділяється взаємній відповідності і взаємодії всіх систем забезпечення безпеки. Прогресивними також є вимоги доказу коректності реалізації функціональних вимог і їх формальної відповідності політиці і моделі безпеки.

Контрольні запитання

1. Для чого необхідні стандарти з інформаційної безпеки?

2. Які погляди на проблеми інформаційної безпеки мають споживачі засобів захисту, виробники та експерти по кваліфікації?

3. Якими узагальненими показниками можна охарактеризувати стандарти з інформаційної безпеки?

4. В чому полягає значення розробки «Оранжевої книги»?

5. Сформулюйте основні вимоги безпеки з «Оранжевої книги»?

6. Сформулюйте основні вимоги безпеки з «Європейських критеріїв».

7. Сформулюйте основні вимоги безпеки з документів Держтехкомісії Російської федерації.

8. Сформулюйте основні вимоги безпеки з «Федеральних критеріїв безпеки інформаційних технологій» США.

9. Сформулюйте основні вимоги безпеки з «Канадських критеріїв безпеки комп’ютерних систем».

З повагою ІЦ “KURSOVIKS”!