Радужная серия
Радужная серия (англ. Rainbow Series, иногда также — Радужные книги, англ. Rainbow Books) — серия стандартов и руководств по компьютерной безопасности, опубликованная правительством США в 1980-х и 1990-х годах. Изначально издавалась Центром компьютерной безопасности Министерства обороны США, позднее — Национальным центром компьютерной безопасности.
Цель
Данные стандарты описывают процесс оценки доверенных систем. В ряде случаев государственные организации США (а также частные компании) требовали формального подтверждения соответствия компьютерных технологий этому процессу в качестве одного из критериев закупки. Многие из этих стандартов оказали влияние на формирование и в настоящее время вытеснены международным Единым критерием оценки безопасности информационных технологий.
Названия отдельных документов серии происходят от цвета их обложек. Например, Критерии оценки доверенных компьютерных систем (англ. Trusted Computer System Evaluation Criteria) известны как «Оранжевая книга»[1]. В книге «Прикладная криптография» (англ. Applied Cryptography) специалист по безопасности Брюс Шнайер отмечает, что цвет обложки NCSC-TG-021 «не поддаётся описанию», а некоторые книги серии отличаются «ужасающе яркими обложками». Далее он иронично рекомендует, как получить экземпляр: «Только не говорите, что вас послал я»[2].
Наиболее важные документы Радужной серии
| Документ | Название | Дата | Цвет | |
|---|---|---|---|---|
| 5200.28-STD | Критерии оценки доверенных компьютерных систем (DoD Trusted Computer System Evaluation Criteria) | 15 августа 1983 | Оранжевый | |
| CSC-STD-002-85 | Руководство по управлению паролями Министерства обороны США (DoD Password Management Guideline) | 12 апреля 1985 | Зелёный | |
| CSC-STD-003-85 | Рекомендации по применению TCSEC в специфических средах (Guidance for Applying TCSEC in Specific Environments) | 25 июня 1985 | Светло-жёлтый | |
| CSC-STD-004-85 | Техническое обоснование требований по компьютерной безопасности (Technical Rationale Behind CSC-STD-003-85: Computer Security Requirements) | 25 июня 1985 | Жёлтый | |
| NCSC-TG-001 | Руководство по аудиту в доверенных системах (A Guide to Understanding Audit in Trusted Systems) | 1 июня 1988 | Кожаный (коричнево-розовый) | |
| NCSC-TG-002 | Программа оценки безопасности доверенных продуктов (Trusted Product Security Evaluation Program) | 22 июня 1990 | Ярко-синий | |
| NCSC-TG-003 | Дискреционное управление доступом в доверенных системах (Discretionary Access Control in Trusted Systems) | 30 сентября 1987 | Неоново-оранжевый | |
| NCSC-TG-004 | Глоссарий терминов компьютерной безопасности (Glossary of Computer Security Terms) | 21 октября 1988 | Бутылочно-зелёный | |
| NCSC-TG-005 | Интерпретация доверенных сетей (Trusted Network Interpretation) | 31 июля 1987 | Красный | |
| NCSC-TG-006 | Управление конфигурацией в доверенных системах (Configuration Management in Trusted Systems) | 28 марта 1988 | Янтарный | |
| NCSC-TG-007 | Руководство по проектной документации в доверенных системах (A Guide to Understanding Design Documentation in Trusted Systems) | 6 октября 1988 | Винный | |
| NCSC-TG-008 | Руководство по доверённому распространению ПО (A Guide to Understanding Trusted Distribution in Trusted Systems) | 15 декабря 1988 | Тёмно-лавандовый | |
| NCSC-TG-009 | Интерпретация подсистемы компьютерной безопасности TCSEC (Computer Security Subsystem Interpretation of the TCSEC) | 16 сентября 1988 | Венецианский синий | |
| NCSC-TG-010 | Руководство по моделированию безопасности в доверенных системах (A Guide to Understanding Security Modeling in Trusted Systems) | октябрь 1992 | Аква | |
| NCSC-TG-011 | Руководство по средам интерпретации доверенных сетей (Trusted Network Interpretation Environments Guideline (TNI)) | 1 августа 1990 | Красный | |
| NCSC-TG-012 | Интерпретация управления базами данных в доверенных системах (Trusted Database Management System Interpretation) | апрель 1991 | ||
| NCSC-TG-013 | Программа RAMP. Документ (RAMP Program Document) | 1989 | Розовый | |
| NCSC-TG-013 V2 | Программа RAMP. Версия 2 (RAMP Program Document version 2) | 1 марта 1995 | Розовый | |
| NCSC-TG-014 | Руководство по формальной верификации систем (Guidelines for Formal Verification Systems) | 1 апреля 1989 | Фиолетовый | |
| NCSC-TG-015 | Руководство по управлению доверенным оборудованием (Guide to Understanding Trusted Facility Management) | 18 октября 1989 | Коричневый | |
| NCSC-TG-016 | Рекомендации по написанию руководств по управлению доверенным объектом (Guidelines for Writing Trusted Facility Manuals) | октябрь 1992 | Жёлто-зелёный | |
| NCSC-TG-017 | Идентификация и аутентификация в доверенных системах (Identification and Authentication in Trusted Systems) | сентябрь 1991 | Светло-голубой | |
| NCSC-TG-018 | Повторное использование объектов в доверенных системах (Object Reuse in Trusted Systems) | июль 1992 | Светло-голубой | |
| NCSC-TG-019 | Опросник по оценке доверенных продуктов (Trusted Product Evaluation Questionnaire) | 2 мая 1992 | Синий | |
| NCSC-TG-020 | Рабочая группа по UNIX (TRUSIX): обоснование выбора возможностей списков управления доступом для UNIX (Trusted UNIX Working Group (TRUSIX) Rationale for Selecting Access Control List Features for the UNIX System) | 7 июля 1989 | Серебряный | |
| NCSC-TG-020-A | Рабочая группа по UNIX (TRUSIX): обоснование выбора возможностей списков управления доступом для UNIX (Trusted UNIX Working Group (TRUSIX) Rationale for Selecting Access Control List Features for the UNIX (R) System) | 18 августа 1989 | Серо-серебряный | |
| NCSC-TG-021 | Интерпретация управления базами данных TCSEC (TDI) (Trusted Database Management System Interpretation of the TCSEC) | апрель 1991 | Фиолетовый | |
| NCSC-TG-022 | Восстановление доверия в доверенных системах (Trusted Recovery in Trusted Systems) | 30 декабря 1991 | Жёлтый | |
| NCSC-TG-023 | Тестирование безопасности и документация тестирования в доверенных системах (Security Testing and Test Documentation in Trusted Systems) | июль 1993 | Ярко-оранжевый | |
| NCSC-TG-024 Vol. 1/4 | Закупка доверенных систем: введение для инициаторов закупки по вопросам требований к компьютерной безопасности (Procurement of Trusted Systems: An Introduction to Procurement Initiators on Computer Security Requirements) | декабрь 1992 | Фиолетовый | |
| NCSC-TG-024 Vol. 2/4 | Закупка доверенных систем: формулировка документов для RFP и технических заданий (Procurement of Trusted Systems: Language for RFP Specifications and Statements of Work) | 30 июня 1993 | Фиолетовый | |
| NCSC-TG-024 Vol. 3/4 | Закупка доверенных систем: перечень контрактных требований и описания данных (Procurement of Trusted Systems: Computer Security Contract Data Requirements List and Data Item Description) | 28 февраля 1994 | Фиолетовый | |
| NCSC-TG-024 Vol. 4/4 | Закупка доверенных систем: как оценить предложение поставщика (Procurement of Trusted Systems: How to Evaluate a Bidder's Proposal Document) | Подлежит публикации | Фиолетовый | |
| NCSC-TG-025 | Руководство по остаточной информации в автоматизированных информационных системах (Guide to Understanding Data Remanence in Automated Information Systems) | сентябрь 1991 | Тёмно-зелёный | |
| NCSC-TG-026 | Руководство пользователя по функциям защиты для доверенных систем (Writing the Security Features User's Guide for Trusted Systems) | сентябрь 1991 | Яркий персиковый | |
| NCSC-TG-027 | Ответственность специалиста по информационной безопасности в автоматизированных системах (Information System Security Officer Responsibilities for Automated Information Systems) | май 1992 | Бирюзовый | |
| NCSC-TG-028 | Оценка защищённых средств управления доступом (Assessing Controlled Access Protection) | 25 мая 1992 | Лиловый | |
| NCSC-TG-029 | Понятия сертификации и аккредитации (Certification and Accreditation Concepts) | январь 1994 | Синий | |
| NCSC-TG-030 | Анализ скрытых каналов в доверенных системах (Covert Channel Analysis of Trusted Systems) | ноябрь 1993 | Светло-розовый | |
Примечания
Ссылки
- Радужная серия на сайте Федерации американских учёных
- Радужная серия в архиве Information Assurance