Centrul National al
Securitatii Calculatoarelor (NCSC) al Agentiei de Securitate Nationala (NSA) din
SUA a elaborat doua documente principale pentru evaluarea securitatii
calculatoarelor si retelelor:
Global, ambele definesc o
scala conuna a nivelelor de securitate, care cuprinde nivelele D, C1, C2, B1,
B2, B3, A1.
Red Book este o extensie a
lui Orange Book. Red Book reia textul initial si insereaza pentru fiecare nivel
doua sectiuni: "Interpretation" si "Rationale". Prima
explica cum trebuie aplicate la retele regulile stabile pentru sistemele de
operare, iar cea de-a doua explica de ce este facuta interpretarea in ecest mod.
Cele sapte clase de sisteme
de incredere conform Orange Book sunt:
-
Clasa "D" - Protectie
minimala - este data pentru sistemele care au fost evaluate, dar au
renuntat sa introduca echipamente sau software pentru un nivel de securitate
mai inalt;
-
Clasa "C1" - Protectie
siscretionala - sisteme care introduc controlul numai in masura in care
au nevoie si sustin separarea utilizatorilor de date;
-
Clasa "C2" - Protectia
controlului accesului - sisteme care au implementat pentru controlul
accesului clasa C1 si contabilizeaza actiunile utilizatorilor prin proceduri
de login;
-
Clasa "B1" - Protectia
de tip securitate - sisteme care implementeaza un model formal de
politica de securitate;
-
Clasa "B2" - Protectie
structurata - sisteme care includ toate caracteristicile din clasa B1 si
in care se asteapta ca toate subiectele si obiectele sa fie sisteme
relative;
-
Clasa "B3" - Domenii
de securitate - sisteme care satisfac cerintele de monitorizare si
includ instrumente administrative de securitate, mecanisme si abilitatea de
a semnala evenimente curente relevante;
-
Clasa "A1" - Proiectarea
verificarii - sisteme similare cu cele din clasa B3, dar cu trasaturi
arhitecturale aditionale si cerinte asociate cu specificatii de proiectare
formale si verificarea tehnicilor.
