TCSEC ang. Trusted Computer System Evaluation Criteria

TCSEC (Orange Book) - dokument powstały z inicjatywy Agencji Bezpieczeństwa Narodowego Departamentu Obrony USA oraz Narodowego Biura Standaryzacji. Wydany w 1983 roku w postaci pomarańczowej książeczki, której zawdzięcza swoją nieoficjalną nazwę. Dokument ten opisuje podstawowe wymagania jakie muszą spełnić środki ochrony w systemie komputerowym do przetwarzania informacji podlegającej ochronie. Dokument został zaktualizowany w roku 1985 a następnie zastąpiony przez międzynarodowy standard Common Criteria. TCSEC koncentruje się głównie na zapewnieniu poufności informacji.

Spis treści

Polityka bezpieczeństwa

Polityka bezpieczeństwa musi być jasna, dobrze zdefiniowana i egzekwowana przez system komputerowy. Istnieją dwie podstawowe polityki bezpieczeństwa:
  • Obowiązkowa polityka bezpieczeństwa - egzekwuje zasady kontroli dostępu, w oparciu o zezwolenie i autoryzację do posiadania informacji przez osobę oraz stopień poufności informacji. Inne czynniki są fizyczne i środowiskowe. Polityka ta musi prawidłowo odzwierciedlać prawo, ogólne polityki i inne powiązane zasady. Systemy zaprojektowane do egzekwowania obowiązkowej polityki muszą przechowywać i ochraniać spójność dostępu do etykiet kontroli i utrzymać etykiety (Znakowanie), gdy projekt zostanie wyeksportowany.
  • Dowolna polityka bezpieczeństwa - egzekwuje stały zestaw zasad, które kontrolują i ograniczają dostęp, w oparciu o zidentyfikowane osoby, które zostały określone jako posiadające pozwolenie na otrzymanie informacji.


Kryteria

Wyróżnia się 4 poziomy kryteriów oznaczone D, C, B, A. Dla każdego z nich, poza D, określono pewną liczbę klas oceny:

Obowiązuje tzw. zasada kumulacji możliwości, zgodnie z którą środki ochrony spełniające wymagania wyższego poziomu, spełniać muszą również wymagania poziomu niższego.

Standard ten, w odróżnieniu od późniejszych (ITSEC, CC), wskazywał konkretne środki techniczne jakie mają być użyte dla osiągnięcia pożądanych poziomów bezpieczeństwa.

Zobacz też

Bibliografia

TCSEC na Wikipedii pl

Trusted Computer System Evaluation Criteria na Wikipedii en
ostatnia modyfikacja 20 sierpnia 2016 r.