Специальных стандартов защищенности операционных систем не существует. Для оценки защищенности операционных систем используются стандарты, разработанные для компьютерных систем вообще.

Наиболее известным стандартом безопасности компьютерных систем является документ под названием "Критерии безопасности компьютерных систем" (Trusted computer system evaluatii criteria), разработанный Министерством обороны США в 1983 г. Этот документ более известен под неформальным названием "Оранжевая книга». Согласно "Оранжевой книге" все защищенные компьютерные системы делятся на семь классов от D1 (минимальная защита, фактически отсутствие всякой защиты) до А1 (максимальная защита). Основные требования "Оранжевой книги" в применении к операционным системам можно сформулировать следующим образом (очень упрощенно).

Класс D1. Никаких требований. К этому классу относятся все операционные системы, не удовлетворяющие требованиям высших классов

Класс С1. В операционной системе поддерживается избирательное (дискреционное) разграничение доступа. Пользователь, начинающий работать с системой, должен подтвердить свою подлинность (аутентифицироваться).

Класс С2. Выполняются все требования класса С1. Все субъекты и объекты операционной системы имеют уникальные идентификаторы. Все действия всех субъектов доступа, не разрешенные явно, запрещены. События, потенциально опасные для поддержания защищенности операци­онной системы, регистрируются в специальном журнале (журнале аудита), работать с которым могут только привилегированные пользователи. Вся информация, удаляемая из оперативной памяти компьютера или с внешних носителей информации, удаляется физически и не может быть в дальнейшем доступна ни одному субъекту доступа.

Класс В1. Выполняются все требования класса С2. Поддерживается полномочное (мандатное) разграничение доступа к объектам операционной системы. Поддерживается маркировка экспортируемой информации.

Класс В2. Выполняются все требования класса В1. Подсистема защиты операционной системы реализует формально определенную и четко документированную модель безопасности. Осуществляется контроль скрытых каналов утечки информации. Интерфейс подсистемы защиты четко и формально определен, его архитектура и реализация полностью документированы. Выдвигаются более жесткие требования к идентификации, аутентификации и разграничению доступа.

Требованиям класса С2 удовлетворяют многие известные операционные системы: ряд версий UNIX, Wndows NT, OS/400, VAX/VMS и IBM MVS с пакетом RACF. Операционных систем для персональных компьютеров, удовлетворяющих требованиям более высоких классов защиты, очень мало. Это объясняется, с одной стороны, большой "ресурсоемкостью" подсистем защиты, соответствующих требованиям класса В1 и выше, и, с другой стороны, трудностями обеспечения нормального функционирования распространенного программного обеспечения в таких операционных системах. Если требования класса С2 позволяют применять в защищенной операционной системе программное обеспечение, разработанное для других программных сред (например, в Windows NT можно запускать Microsoft Office для Windows 95), то требования более высоких классов защиты настолько жестки, что заметно мешают функционированию прикладных программ, разработанных без учета этих требований. Например, текстовый редактор Microsoft Word, будучи запущен в операционной системе, удовлетворяющей требованиям класса В1, будет некорректно функционировать при одновременном открытии документов с различным грифом секретности.

К основным недостаткам "Оранжевой книги" относятся следующие:

- совершенно не рассматриваются криптографические средства защиты информации;

- практически не рассматриваются вопросы обеспечения защиты системы от атак, направленных на временный вывод системы из строя (атаки класса "отказ в обслуживании");

- не уделяется должного внимания вопросам защиты защищаемой системы от негативных воздействий программных закладок и компьютерных вирусов;

- недостаточно подробно рассматриваются вопросы взаимодействия нескольких экземпляров защищенных систем в локальной или глобальной вычислительной сети;

- требования к средствам защиты от утечки конфиденциальной информации из защищенной системы ориентированы на хранение конфиденциальной информации в базах данных и мало приемлемы для защиты электронного документооборота.