Радужная серия
Радужная серия (Радужные книги) — серия стандартов информационной безопасности, разработанная и опубликованная в США в период с 1980 по 1990 гг. Изначально книги были опубликованы Министерством обороны США, а затем в Центре национальной компьютерной безопасности США.
Цель
Эти стандарты описывают процесс оценки доверенных систем. В некоторых случаях американские правительственные учреждения (а также частные фирмы) при закупках вычислительной техники требуют использовать этот процесс как один из критериев. Многие из этих стандартов стали основой для Общих критериев оценки защищённости информационных технологий. Книги получили свои названия по цвету обложек. Например, книга Критерии определения безопасности компьютерных систем получила название Оранжевая книга.
В книге под названием «Прикладная криптография» эксперт по информационной безопасности Брюс Шнайер, автор NCSC-TG-021, писал, что он «не может даже начать описывать цвет обложки», и что некоторые из книг этой серии имеют «ужасно цветные обложки». Затем он переходит к описанию, как получить их копию, говоря: «Не говорите никому, что это я прислал»[1].
Книги Радужной серии
| Документ | Название | Дата | Цвет | |
|---|---|---|---|---|
| 5200.28-STD | Критерии определения безопасности компьютерных систем | 15 августа 1983 | Оранжевая книга | |
| CSC-STD-002-85 | Руководящие принципы использования паролей | 12 апреля 1985 | Зелёная книга | |
| CSC-STS-003-85 | Руководство по применению критериев определения безопасности компьютерных систем в конкретных условиях | 25 июня 1985 | Светло-жёлтая книга | |
| CSC-STS-004-85 | Техническое обоснование CSC-STD-003-85: Требования компьютерной безопасности | 25 июня 1985 | Жёлтая книга | |
| NCSC-TG-001 | Руководство к пониманию аудита в доверенных системах | 1 июня 1988 | Жёлто-коричневая книга | |
| NCSC-TG-002 | Оценка безопасности программных продуктов | 22 июня 1990 | Ярко-голубая книга | |
| NCSC-TG-003 | Дискреционный контроль доступа в доверенных системах | 30 сентября 1987 | Ярко оранжевая книга | |
| NCSC-TG-004 | Глоссарий терминов компьютерной безопасности | 21 октября 1988 | Тёмно-зелёная книга | |
| NCSC-TG-005 | Безопасная сетевая интерпретация | 31 июля 1987 | Красная книга | |
| NCSC-TG-006 | Управление конфигурациями в доверенных системах | 28 марта 1988 | Янтарная книга | |
| NCSC-TG-007 | Руководство к проектной документации в доверенных системах | 6 октября 1988 | Бордовая книга | |
| NCSC-TG-008 | Механизмы распределения аппаратного и программного обеспечения автоматизированных систем | 15 декабря 1988 | Тёмно-лиловая книга | |
| NCSC-TG-009 | Интерпретация подсистем компьютерной защиты TCSEC | 16 сентября 1988 | Тёмно-голубая книга | |
| NCSC-TG-010 | Руководство к пониманию безопасности моделирования в доверенных системах | октябрь 1992 | Аква книга | |
| NCSC-TG-011 | Безопасная сетевая интерпретация среды (TNI) | 1 августа 1990 | Красная книга | |
| NCSC-TG-013 | Программная документация RAMP | 1989 | Розовая книга | |
| NCSC-TG-013 V2 | Программная документация RAMP 2 часть | 1 марта 1995 | Розовая книга | |
| NCSC-TG-014 | Спецификация и верификация доверенных систем, разработанных с учетом требований TCSEC | 1 апреля 1989 | Пурпурная книга | |
| NCSC-TG-015 | Руководство к пониманию технического управления | 18 октября 1989 | Коричневая книга | |
| NCSC-TG-016 | Руководство к написанию надежного технического руководства | октябрь 1992 | Жёлто-зелёная книга | |
| NCSC-TG-017 | Идентификация и аутентификация в доверенных системах | сентябрь 1991 | Светло-голубая книга | |
| NCSC-TG-018 | Объект повторного использования в доверенных системах | июль 1992 | Светло-голубая книга | |
| NCSC-TG-019 | Руководство по выбору системы защиты информации | 2 мая 1992 | Синяя книга | |
| NCSC-TG-020 | Безопасность UNIX рабочей группы (TRUSIX) Обоснование выбора Списка контроля доступа для системы UNIX | 7 июля 1989 | Серебристая книга | |
| NCSC-TG-021 | Надежные системы управления базами данных TCSEC (TDI) | апрель 1991 | Пурпурная книга | |
| NCSC-TG-022 | Восстановление в доверенных системах | 30 декабря 1991 | Жёлтая книга | |
| NCSC-TG-023 | Тестирование безопасности и тестовой документации в доверенных системах | июль 1993 | Ярко-оранжевая книга | |
| NCSC-TG-024 Vol. 1/4 | Закупка доверенных систем: Введение в закупки, требования компьютерной безопасности | декабрь 1992 | Пурпурная книга | |
| NCSC-TG-024 Vol. 2/4 | Закупка доверенных систем: язык для спецификации запроса предложений | 30 июня 1993 | Пурпурная книга | |
| NCSC-TG-024 Vol. 3/4 | Закупка доверенных систем: компьютерная безопасность, требования к данным | 28 февраля 1994 | Пурпурная книга | |
| NCSC-TG-024 Vol. 4/4 | Закупка доверенных систем: Как оценить предложение? | Publication TBA | Пурпурная книга | |
| NCSC-TG-025 | Руководство к пониманию данных остаточной намагниченности в автоматизированных информационных системах | сентябрь 1991 | Тёмно-зелёная книга | |
| NCSC-TG-026 | Руководство пользователя доверенных систем | сентябрь 1991 | Персиковая книга | |
| NCSC-TG-027 | Сотрудник службы безопасности в Автоматизированных информационных системах | май 1992 | Бирюзовая книга | |
| NCSC-TG-028 | Оценка защиты доступа | 25 мая 1992 | Фиолетовая книга | |
| NCSC-TG-029 | Сертификация и аккредитация | январь 1994 | Синяя книга | |
| NCSC-TG-030 | Анализ доверенных систем | ноябрь 1993 | Светло-розовая книга | |
Популярность в мире
В 1995 году в фильме Хакеры содержится ссылка на Радужную серию, где главный герой демонстрирует коллекцию из шести книг, вторая из которых — Оранжевая книга ("Критерии определения безопасности компьютерных систем", стандарт Министерства обороны США) и шестая — Красная книга ("Интерпретация критериев безопасности для доверенной сети"). Некоторые книги, например, Розовая книга (Справочник Программиста Питера Нортона по ПК IBM-PC) не входят в Радужную серию.
См. также
- Rainbow Series Федерация американских ученых
- Rainbow Series Архив информационной безопасности
Примечания
- ↑ Шнайер, Брюс (1996), Прикладная криптография (2nd ed.), New York, NY: John Wiley and Sons, ISBN 0-471-11709-9
Ссылки
- Брюс Шнайер
- Критерии определения безопасности компьютерных систем
- Криптография
