НОРМАТИВНИЙ ДОКУМЕНТ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Київ 1999  НОРМАТИВНИЙ ДОКУМЕНТ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ  Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від “ 28 ” квітня 1999 р. № 22   Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу НД ТЗІ 2.5-004-99 ДСТСЗІ СБ України Київ Передмова 1 РОЗРОБЛЕНО товариством з обмеженою відповідальністю «Інститут комп'ютерних технологій» 2 ВНЕСЕНО Головним управлінням технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України 3 ВВЕДЕНО ВПЕРШЕ Цей документ не може бути повністю або частково відтворений, тиражований і розповсюджений без дозволу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України  Зміст 1 Галузь використання 1 2 Нормативні посилання 1 3 Визначення 2 4 Позначення і скорочення 2 5 Побудова і структура критеріїв захищеності інформації 3 6 Критерії конфіденційності 6 6.1 Довірча конфіденційність 6 6.2 Адміністративна конфіденційність 7 6.3 Повторне використання об'єктів 8 6.4 Аналіз прихованих каналів 9 6.5 Конфіденційність при обміні 10 7 Критерії цілісності 12 7.1 Довірча цілісність 12 7.2 Адміністративна цілісність 13 7.3 Відкат 14 7.4 Цілісність при обміні 15 8 Критерії доступності 16 8.1 Використання ресурсів 16 8.2 Стійкість до відмов 17 8.3 Гаряча заміна 18 8.4 Відновлення після збоїв 19 9 Критерії спостереженості 20 9.1 Реєстрація 20 9.2 Ідентифікація і автентифікація 21 9.3 Достовірний канал 22 9.4 Розподіл обов'язків 23 9.5 Цілісність комплексу засобів захисту 24 9.6 Самотестування 25 9.7 Ідентифікація і автентифікація при обміні 26 9.8 Автентифікація відправника 27 9.9 Автентифікація отримувача 28 10 Критерії гарантій 29 10.1 Архітектура 29 10.2 Середовище розробки 30 10.3 Послідовність розробки 31 10.4 Середовище функціонування 33 10.5 Документація 33 10.6 Випробування комплексу засобів захисту 34 Додаток А Функціональні послуги 35 А.1 Критерії конфіденційності 35 А.1.1 Довірча конфіденційність 35 А.1.2 Адміністративна конфіденційність 37 А.1.3 Повторне використання об'єктів 37 А.1.4 Аналіз прихованих каналів 37 А.1.5 Конфіденційність при обміні 38 А.2 Критерії цілісності 39 А.2.1 Довірча цілісність 39 А.2.2 Адміністративна цілісність 39 А.2.3 Відкат 40 А.2.4 Цілісність при обміні 40 А.3 Критерії доступності 41 А.3.1 Використання ресурсів 41 А.3.2 Стійкість до відмов 41 А.3.3 Гаряча заміна 41 А.3.4 Відновлення після збоїв 42 А.2 Критерії спостереженості 42 А.2.1 Реєстрація 42 А.2.2 Ідентифікація і автентифікація 43 А.2.3 Достовірний канал 44 А.2.4 Розподіл обов'язків 44 А.2.5 Цілісність комплексу засобів захисту 44 А.2.6 Самотестування 45 А.2.7 Ідентифікація і автентифікація при обміні 45 А.2.8 Автентифікація відправника 45 А.2.9 Автентифікація одержувача 46 Додаток Б Гарантії і процес оцінки 47 Б.1 Архітектура 47 Б.2 Середовище розробки 48 Б.3 Послідовність розробки 50 Б.4 Середовище функціонування 51 Б.5 Документація 52 Б.6 Випробування комплексу засобів захисту 52  НД ТЗІ 2.5-004-99 КРИТЕРІЇ ОЦІНКИ ЗАХИЩЕНОСТІ ІНФОРМАЦІЇ В КОМП’ЮТЕРНИХ СИСТЕМАХ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ Чинний від 1999-07-01 1 Галузь використання Цей нормативний документ (далі — Критерії) — установлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу. Критерії є методологічною базою для визначення вимог з захисту інформації в комп'ютерних системах від несанкціонованого доступу; створення захищених комп'ютерних систем і засобів захисту від несанкціонованого доступу; оцінки захищеності інформації в комп'ютерних системах і їх придатності для обробки критичної інформа...