evaluation laboratories in the hungarian information security evaluation and certification scheme...

A MIBÉTS szerinti értékelőlaborok

Krasznay Csaba

BME Informatikai Központ

krasznay@ik.bme.hu

Tartalom

• Bevezetés

• Az angol példa

• Az amerikai példa

• A tajvani példa

• Következtetések

• SWOT

Bevezetés

• A CCRA csatlakozással elfogadjuk a külföldön kiadott CC tanúsítványokat

• Célunk, hogy előbb-utóbb Magyarország is CC tanúsítvány kibocsátó országgá váljon

• Ehhez fontos lépés a saját nemzeti séma létrehozása, mely alapján a magyar értékelőlaborok felkészülhetnek a CC követelmények teljesítésére

• Konkrét akkreditációs követelmények azonban eddig nem jelentek meg, így a külföldi példákból kell kiindulni

Az angol példa

• A MIBÉT Séma az angol UK ITSec Scheme alapján alakult ki

• Az értékelőlaborokat ebben a sémában Commercial Evaluation Facility-nek (CLEF) hívják

• Akkreditációjuk a UKAS, a brit akkreditációs rendszer felelőssége

Az angol példa

• A megbízható működés alapfeltétele, hogy a labor csak a sémába tartozó értékeléssel foglalkozzon

• Ehhez önálló szakértői bázisra, önálló eszközökre és önálló munkakörnyezetre van szüksége

• A személyzetnek megfelelő képzettséggel kell rendelkeznie

• Ha az alapfeltételek teljesülnek, a labort az ISO 17025:2000 szabványnak megfelelően kell bevizsgáltatni

Minőségi előírások

• Az értékelő-szervezet legfontosabb szerepkörei a következők:– műszaki irányító,

– minőségbiztosítási irányító,

– üzleti vezető,

– adminisztrációs felelős,

– biztonsági menedzser

• Az értékelést 2-3 fős csoportok végzik, a műszaki irányító felügyelete alatt

Biztonsági előírások

• A CLEF-nek biztosítania kell az üzleti információk védelmét, amit a felügyelőszerv vizsgál

• Ennek részleteit egy Biztonsági Kézikönyvben kell leírni

• Ez foglalkozik a fizikai, a személyzeti és az információs biztonsággal is

Felkészültség

• A jó értékelő ismeri az informatikai biztonság alapelveit, az értékelés eljárásait, és ezeket alkalmazni is tudja

• Az értékelő lehet gyakornok vagy minősített értékelő

• Ahhoz, hogy valaki értékelő lehessen, el kell végeznie egy tanfolyamot

• Ha rendelkezésre áll a megfelelő szakmai stáb, egy mintaértékelést kell végrehajtani

Akkreditáció

• Az értékelő-szervezet 0. vagy 1. szintű akkreditációval rendelkezhet

• Az 1. szintű akkreditáció telephelyen kívüli vizsgálatra is feljogosít

• Az akkreditáció folyamata tartalmazza az értékelési szempontok és a módszertan felhasználásának vizsgálatát

• Ha a UKAS mindent rendben talál, egy 3-4 hónapos mintaértékelést kell végrehajtani

Mintaértékelés

• A mintaértékelés során vizsgálják az egyéni képességeket és az adminisztrációs és menedzsment eljárásokat

• A TOE egy valós termék, amit a CLEF is javasolhat

• A tipikus mintaértékelésben 3-4 gyakornok értékelő vesz részt

• Az értékelés során elsősorban az értékelőket vizsgálják, és nem a konkrét terméket

Oktatás

• Az értékelői tanfolyam 3 modulból áll:– IT biztonsági elvek és értékelése, a séma bemutatása

– Biztonsági követelmények, fejlesztési reprezentációk, funkcionális tesztelés, fejlesztési környezet, működési környezet, sérülékenység vizsgálat, behatolási tesztelés, garancia fenntartása

– Az értékelés lefolytatása és menedzselése

• Az értékelő labor is tarthat előadásokat, ha akkreditáltatja az oktatást

Külföldi példák - USA

• Az IT biztonsági értékelési rendszerek szülőhazája az Egyesült Államok

• A fontos állami szerveknél elvárás, hogy minden olyan informatikai rendszer vagy termék, mely érzékeny adatokat kezel, rendelkezzen CC minősítéssel

• Az egyik első tanúsítvány-kiállító az USA-ban a SAIC CCTL

Külföldi példák - USA

• A SAIC CCTL akkreditációja a minőségirányítási kézikönyv benyújtásával kezdődött

• Ezek után vizsgálták a munkatársak kompetenciáját

• A vizsgálat egy éven át folyt, aminek végén EAL1-4 értékelésekre kaptak felhatalmazást

• Az első két évben 4 értékelést folytattak

Külföldi példák - USA

• 2002-ben 11 értékelő dolgozott főállásban a cégnél

• Őket a cég más osztályain dolgozó kollégák segítik

• Szükség esetén más munkatársakat is bevonnak

• A munkához egy önálló épület áll rendelkezésükre

Külföldi példák - Tajvan

• A tajvani kormányzat a jelentős tajvani gyártók nyomására kezdett el foglalkozni a CC bevezetésével

• A séma és a labor kialakításával a Nemzeti Cheng Kung Egyetemet bízták meg

• A projekt összesen 4 millió dollár költségvetéssel gazdálkodik

• 15 szakember tanul CC kibocsátó országokban

Külföldi példák - Tajvan

• Céljaik:– A tajvani IT termékek versenyképességének

növelése– Az értékelési idő lecsökkentése azzal, hogy

hazai labor végzi a munkát– A termékek minőségének javítása

Következtetések

• Egy megfelelően felkészült értékelőlabor rendelkezik:– felkészült értékelőkkel (3-5 fő),– bevonható szakértőkkel, bármilyen területen

(20-30 fő),– a megfelelő hátteret biztosító környezettel

(adminisztráció, infrastruktúra, stb.),– pénzügyi függetlenséggel,

Következtetések

– oktatási kapacitással,– ISO 17025:2000, ISO 9001: 2000 és BS 7799-

2:2002 megfeleléssel,

• A MIBÉTS, és ezen keresztül a CC sikeres adaptációja elképzelhetetlen hatékony állami szerepvállalás nélkül

SWOT

• Erősségek:– világviszonylatban is kimagasló oktatási tematika,

– kimagasló értékelési gyakorlat több informatikai biztonsági témakörben

• Gyengeségek:– nincs kereslet Magyarországon az IT biztonsági

tanúsításokra,

– az értékelés túlságosan drága és sok időt vesz igénybe

SWOT

• Lehetőségek:– a Magyarországon fejlesztő multik figyelmének

felkeltése,– versenyelőny a többi kelet-közép-európai országgal

szemben• Veszélyek:

– a CC tanúsítvány kibocsátó országok nem érdekeltek abban, hogy a kis országok is rendelkezzenek ezzel a tudással,

– az állami szervek aktív részvétele és figyelme nélkül a séma csendben kimúlhat

Köszönöm a figyelmet!