Открыть сервис

Национальный центр компьютерной безопасности США

Национальный центр компьютерной безопасности США (National Computer Security Center, NCSC) — структурное подразделение Агентства национальной безопасности США (АНБ), занимавшееся разработкой стандартов, проведением исследований и сертификацией в области компьютерной безопасности. Центр действовал с 1981 по 2001 год, после чего его функции были перераспределены между другими подразделениями АНБ и Министерства обороны США.

История

Предпосылки создания

В конце 1970-х годов в США возникла острая необходимость в защите государственных секретов, обрабатываемых на компьютерах. Министерство обороны США (DoD) и АНБ столкнулись с проблемой: существовавшие системы безопасности не обеспечивали должного уровня защиты информации, особенно при обработке данных с разными уровнями доступа (multi-level security, MLS). В 1977 году АНБ начало разработку «Критериев оценки доверенных компьютерных систем» (TCSEC), которые позже стали известны как «Оранжевая книга».

Основание и деятельность

Официально Национальный центр компьютерной безопасности был создан в 1981 году по распоряжению президента Рональда Рейгана. Его основной задачей стала координация усилий по разработке стандартов безопасности для компьютерных систем, используемых в государственных учреждениях, особенно в оборонной сфере. Центр размещался в Форт-Мид, штат Мэриленд, на территории штаб-квартиры АНБ.

Первым директором NCSC стал доктор Патрик Галлахер, ранее руководивший отделом компьютерной безопасности в АНБ. Под его руководством центр опубликовал первое издание TCSEC в 1983 году. В 1985 году вышла окончательная версия документа, которая стала основой для сертификации систем безопасности в США и во многом повлияла на развитие международных стандартов (например, «Общих критериев»).

Закрытие и наследие

В 2001 году, после реорганизации АНБ, Национальный центр компьютерной безопасности был расформирован. Его функции перешли к Центру информационной безопасности АНБ (Information Assurance Directorate, IAD). Однако наработки NCSC легли в основу современной системы оценки безопасности информационных технологий, используемой в США и других странах НАТО.

Классификация и стандарты

«Оранжевая книга» (TCSEC)

Основным документом, разработанным NCSC, стали «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC), неофициально называемые «Оранжевой книгой» из-за цвета обложки. Этот документ устанавливал четыре уровня безопасности:

  • D — минимальная защита (системы, не отвечающие требованиям других классов);
  • C — дискреционная защита (C1 — произвольное управление доступом, C2 — контроль доступа с аудитом);
  • B — мандатная защита (B1 — метки безопасности, B2 — структурированная защита, B3 — безопасные домены);
  • A — верифицированная защита (A1 — формальное подтверждение корректности).

Системы, прошедшие сертификацию по TCSEC, получали соответствующий сертификат NCSC, который требовался для использования в государственных учреждениях, работающих с секретными данными.

Дополнительные документы

Помимо «Оранжевой книги», NCSC выпустил серию так называемых «Радужных книг» (Rainbow Series) — документов, описывающих различные аспекты компьютерной безопасности:

Всего серия насчитывала более 30 документов, каждый из которых был посвящён конкретному аспекту безопасности — от физической защиты до криптографии.

Устройство и структура

Организационная структура

NCSC состоял из нескольких отделов:

  • Отдел исследований и разработок — занимался созданием новых методов защиты информации, включая формальные модели безопасности и криптографические алгоритмы.
  • Отдел сертификации — проводил тестирование и сертификацию коммерческих и государственных систем на соответствие TCSEC.
  • Отдел обучения и распространения информации — организовывал курсы, семинары и публиковал методические пособия для специалистов по безопасности.
  • Отдел международного сотрудничества — координировал работу с союзными государствами (в первую очередь, с Великобританией, Канадой, Австралией и Новой Зеландией — странами «Пяти глаз»).

Взаимодействие с промышленностью

NCSC активно сотрудничал с производителями компьютерного оборудования и программного обеспечения. Для производителей, желающих получить сертификат NCSC, центр предоставлял технические консультации и доступ к тестовым лабораториям. Наиболее известные сертифицированные системы включали:

  • операционные системы — Trusted Xenix (IBM), Trusted Mach (Carnegie Mellon University), SecureWare (Honeywell);
  • сетевые устройства — Blacker (шифратор для сети ARPANET), STU-III (защищённые телефоны).

Применение и значение

Влияние на государственную безопасность

NCSC сыграл ключевую роль в обеспечении безопасности компьютерных систем Министерства обороны США, разведывательных агентств и других государственных структур. Благодаря разработке TCSEC и сертификации систем, удалось значительно снизить риск утечки секретной информации через программные уязвимости.

Влияние на международные стандарты

Работа NCSC легла в основу международных стандартов безопасности:

  • «Общие критерии» (Common Criteria, ISO 15408) — современный стандарт, заменивший TCSEC в 1999 году, во многом основан на методологии, разработанной NCSC.
  • «Оранжевая книга» стала образцом для аналогичных документов в других странах: «Зелёная книга» (Великобритания), «Критерии безопасности информационных технологий» (Германия).

Критика

Деятельность NCSC подвергалась критике по нескольким направлениям:

  • Сложность и дороговизна сертификациипроцесс сертификации по TCSEC был крайне трудоёмким и дорогим, что делало его доступным только для крупных государственных заказчиков и нескольких крупных корпораций.
  • Ориентация на военные нужды — стандарты NCSC плохо подходили для коммерческого сектора, где требовалась гибкость и совместимость, а не максимальная защита.
  • Секретность — многие аспекты работы NCSC были засекречены, что вызывало недоверие со стороны гражданского общества и правозащитных организаций.

Интересные факты

  • «Оранжевая книга» получила своё название из-за оранжевой обложки, выбранной случайно — в типографии АНБ просто закончилась бумага других цветов.
  • NCSC стал первым в мире государственным органом, специализирующимся исключительно на компьютерной безопасности. До его создания вопросами защиты информации в США занимались разрозненные подразделения разных ведомств.
  • Сертификат NCSC был обязательным для всех компьютерных систем, обрабатывающих секретные данные Министерства обороны США, вплоть до 2002 года, когда его заменили сертификаты по «Общим критериям».
  • В 1980-х годах NCSC проводил ежегодные конференции по компьютерной безопасности, на которых выступали ведущие специалисты в области криптографии, в том числе Уитфилд Диффи и Мартин Хеллман.

Источники

  • National Computer Security Center. Trusted Computer System Evaluation Criteria (TCSEC). DoD 5200.28-STD, 1985.
  • National Computer Security Center. Rainbow Series: A Guide to Understanding Computer Security. NCSC, 1985–1990.
  • Guttman, B., & Roback, E. An Introduction to Computer Security: The NIST Handbook. National Institute of Standards and Technology, 1995.
  • Schneier, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. John Wiley & Sons, 1996.
  • Russell, D., & Gangemi, G. T. Computer Security Basics. O'Reilly Media, 1991.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →