Национальный центр компьютерной безопасности США
Национальный центр компьютерной безопасности США (National Computer Security Center, NCSC) — структурное подразделение Агентства национальной безопасности США (АНБ), занимавшееся разработкой стандартов, проведением исследований и сертификацией в области компьютерной безопасности. Центр действовал с 1981 по 2001 год, после чего его функции были перераспределены между другими подразделениями АНБ и Министерства обороны США.
История
Предпосылки создания
В конце 1970-х годов в США возникла острая необходимость в защите государственных секретов, обрабатываемых на компьютерах. Министерство обороны США (DoD) и АНБ столкнулись с проблемой: существовавшие системы безопасности не обеспечивали должного уровня защиты информации, особенно при обработке данных с разными уровнями доступа (multi-level security, MLS). В 1977 году АНБ начало разработку «Критериев оценки доверенных компьютерных систем» (TCSEC), которые позже стали известны как «Оранжевая книга».
Основание и деятельность
Официально Национальный центр компьютерной безопасности был создан в 1981 году по распоряжению президента Рональда Рейгана. Его основной задачей стала координация усилий по разработке стандартов безопасности для компьютерных систем, используемых в государственных учреждениях, особенно в оборонной сфере. Центр размещался в Форт-Мид, штат Мэриленд, на территории штаб-квартиры АНБ.
Первым директором NCSC стал доктор Патрик Галлахер, ранее руководивший отделом компьютерной безопасности в АНБ. Под его руководством центр опубликовал первое издание TCSEC в 1983 году. В 1985 году вышла окончательная версия документа, которая стала основой для сертификации систем безопасности в США и во многом повлияла на развитие международных стандартов (например, «Общих критериев»).
Закрытие и наследие
В 2001 году, после реорганизации АНБ, Национальный центр компьютерной безопасности был расформирован. Его функции перешли к Центру информационной безопасности АНБ (Information Assurance Directorate, IAD). Однако наработки NCSC легли в основу современной системы оценки безопасности информационных технологий, используемой в США и других странах НАТО.
Классификация и стандарты
«Оранжевая книга» (TCSEC)
Основным документом, разработанным NCSC, стали «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC), неофициально называемые «Оранжевой книгой» из-за цвета обложки. Этот документ устанавливал четыре уровня безопасности:
- D — минимальная защита (системы, не отвечающие требованиям других классов);
- C — дискреционная защита (C1 — произвольное управление доступом, C2 — контроль доступа с аудитом);
- B — мандатная защита (B1 — метки безопасности, B2 — структурированная защита, B3 — безопасные домены);
- A — верифицированная защита (A1 — формальное подтверждение корректности).
Системы, прошедшие сертификацию по TCSEC, получали соответствующий сертификат NCSC, который требовался для использования в государственных учреждениях, работающих с секретными данными.
Дополнительные документы
Помимо «Оранжевой книги», NCSC выпустил серию так называемых «Радужных книг» (Rainbow Series) — документов, описывающих различные аспекты компьютерной безопасности:
- «Красная книга» — интерпретация TCSEC для сетевых систем;
- «Зелёная книга» — руководство по управлению паролями;
- «Синяя книга» — рекомендации по защите персональных компьютеров;
- «Фиолетовая книга» — методология оценки рисков.
Всего серия насчитывала более 30 документов, каждый из которых был посвящён конкретному аспекту безопасности — от физической защиты до криптографии.
Устройство и структура
Организационная структура
NCSC состоял из нескольких отделов:
- Отдел исследований и разработок — занимался созданием новых методов защиты информации, включая формальные модели безопасности и криптографические алгоритмы.
- Отдел сертификации — проводил тестирование и сертификацию коммерческих и государственных систем на соответствие TCSEC.
- Отдел обучения и распространения информации — организовывал курсы, семинары и публиковал методические пособия для специалистов по безопасности.
- Отдел международного сотрудничества — координировал работу с союзными государствами (в первую очередь, с Великобританией, Канадой, Австралией и Новой Зеландией — странами «Пяти глаз»).
Взаимодействие с промышленностью
NCSC активно сотрудничал с производителями компьютерного оборудования и программного обеспечения. Для производителей, желающих получить сертификат NCSC, центр предоставлял технические консультации и доступ к тестовым лабораториям. Наиболее известные сертифицированные системы включали:
- операционные системы — Trusted Xenix (IBM), Trusted Mach (Carnegie Mellon University), SecureWare (Honeywell);
- сетевые устройства — Blacker (шифратор для сети ARPANET), STU-III (защищённые телефоны).
Применение и значение
Влияние на государственную безопасность
NCSC сыграл ключевую роль в обеспечении безопасности компьютерных систем Министерства обороны США, разведывательных агентств и других государственных структур. Благодаря разработке TCSEC и сертификации систем, удалось значительно снизить риск утечки секретной информации через программные уязвимости.
Влияние на международные стандарты
Работа NCSC легла в основу международных стандартов безопасности:
- «Общие критерии» (Common Criteria, ISO 15408) — современный стандарт, заменивший TCSEC в 1999 году, во многом основан на методологии, разработанной NCSC.
- «Оранжевая книга» стала образцом для аналогичных документов в других странах: «Зелёная книга» (Великобритания), «Критерии безопасности информационных технологий» (Германия).
Критика
Деятельность NCSC подвергалась критике по нескольким направлениям:
- Сложность и дороговизна сертификации — процесс сертификации по TCSEC был крайне трудоёмким и дорогим, что делало его доступным только для крупных государственных заказчиков и нескольких крупных корпораций.
- Ориентация на военные нужды — стандарты NCSC плохо подходили для коммерческого сектора, где требовалась гибкость и совместимость, а не максимальная защита.
- Секретность — многие аспекты работы NCSC были засекречены, что вызывало недоверие со стороны гражданского общества и правозащитных организаций.
Интересные факты
- «Оранжевая книга» получила своё название из-за оранжевой обложки, выбранной случайно — в типографии АНБ просто закончилась бумага других цветов.
- NCSC стал первым в мире государственным органом, специализирующимся исключительно на компьютерной безопасности. До его создания вопросами защиты информации в США занимались разрозненные подразделения разных ведомств.
- Сертификат NCSC был обязательным для всех компьютерных систем, обрабатывающих секретные данные Министерства обороны США, вплоть до 2002 года, когда его заменили сертификаты по «Общим критериям».
- В 1980-х годах NCSC проводил ежегодные конференции по компьютерной безопасности, на которых выступали ведущие специалисты в области криптографии, в том числе Уитфилд Диффи и Мартин Хеллман.
Источники
- National Computer Security Center. Trusted Computer System Evaluation Criteria (TCSEC). DoD 5200.28-STD, 1985.
- National Computer Security Center. Rainbow Series: A Guide to Understanding Computer Security. NCSC, 1985–1990.
- Guttman, B., & Roback, E. An Introduction to Computer Security: The NIST Handbook. National Institute of Standards and Technology, 1995.
- Schneier, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. John Wiley & Sons, 1996.
- Russell, D., & Gangemi, G. T. Computer Security Basics. O'Reilly Media, 1991.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →