При разработке принципов построения системы инженерно-технической защиты информации учитывались рассмотренные принципы, принципы обеспечения безопасности живых существ, используемых природой, и известные пути нейтрализации различных угроз человеком.
В международной практике обеспечения ИБ основными направлениями являются:
• нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и информационных технологий;
• стандартизация процессов создания безопасных информационных систем.
Так, уже в 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC («Критерии оценки защищенности надежных систем»), или «Оранжевую книгу» (по цвету переплета), в которой были определены семь уровней безопасности (А1 — гарантированная защита; Bl, В2, ВЗ — полное управление доступом; С/, С2 — избирательное управление доступом, D — минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как «Красная книга» (по цвету переплета). Read the rest of this entry »
Многозональность защиты предусматривает разделение (территории государства, организации, здания) на отдельные контролируемые зоны, в каждой из которых обеспечивается уровень безопасности, соответствующий цене находящейся там информации. На территории Советского Союза создавались зоны, закрытые для иностранцев, приграничные зоны, закрытые города. Уровень безопасности в любой зоне должен соответствовать максимальной цене находящейся в ней информации. Read the rest of this entry »