С 1983 по 1988 годы Министерство обороны США и Национальный комитет компьютерной безопасности разработали систему стандартов в области компьютерной безопасности, которая включает более десяти документов. Этот список возглавляют «Критерии оценки безопасности компьютерных систем», которые по цвету обложки чаще называют «Оранжевой книгой». В 1995 году Национальный центр компьютерной безопасности США опубликовал «Пояснения к критериям безопасности компьютерных систем», объединившие все имеющиеся на тот момент дополнения и разъяснения к «Оранжевой книге».

«Критерии оценки безопасности компьютерных систем» Министерства обороны США открыли путь к ранжированию информационных систем по степени надежности.

В «Оранжевой книге» определяется четыре уровня надежности (безопасности):

· D – минимальная защита. Уровень предназначен для систем, признанных неудовлетворительными. В настоящее время он пуст, и ситуация едва ли когда-нибудь изменится;

· C – избирательная защита;

· B – обязательная защита. Система должна иметь математическое описание своей защиты, т.е. иметь описание формальной модели политики безопасности и наличие спецификаций на функции системы. Система должна поддерживать защиту даже в отключенном состоянии;

· A – верифицированная защита. Для проверки спецификаций такой системы применяются методы формальной верификации.

По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни подразделяются на классы C1, C2, B1, B2, B3, А1 с постепенным возрастанием надежности.

Таким образом, всего имеется шесть классов безопасности:

· C1 – избирательная защита;

· C2 – управляемый доступ. Большинство широко используемых операционных систем претендуют на соответствие защите по этому классу;

· B1 –  защита с применением меток безопасности;

· B2 – структурированная защита;

· B3 – домены безопасности;

· A1 – верифицированная разработка.

Большинство коммерческих операционных систем соответствуют классам С1 и С2. Подклассы класса В менее удобны для реализации в обычных бизнес-системах. Системы классов В и А чаще всего встречаются там, где все время требуется поддерживать максимально возможную защиту, например, в некоторых правительственных учреждениях. Windows NT и Windows 2000 относятся к классу С2. Одно из требований этого класса гласит, что сервер должен все время находиться за запертой дверью.

Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять приводимым ниже требованиям. Поскольку при переходе к каждому следующему классу требования только добавляются, будем говорить лишь о том новом, что присуще данному классу, группируя требования в согласии с предшествующим изложением.