Tartalom
• Bevezetés
• Az angol példa
• Az amerikai példa
• A tajvani példa
• Következtetések
• SWOT
Bevezetés
• A CCRA csatlakozással elfogadjuk a külföldön kiadott CC tanúsítványokat
• Célunk, hogy előbb-utóbb Magyarország is CC tanúsítvány kibocsátó országgá váljon
• Ehhez fontos lépés a saját nemzeti séma létrehozása, mely alapján a magyar értékelőlaborok felkészülhetnek a CC követelmények teljesítésére
• Konkrét akkreditációs követelmények azonban eddig nem jelentek meg, így a külföldi példákból kell kiindulni
Az angol példa
• A MIBÉT Séma az angol UK ITSec Scheme alapján alakult ki
• Az értékelőlaborokat ebben a sémában Commercial Evaluation Facility-nek (CLEF) hívják
• Akkreditációjuk a UKAS, a brit akkreditációs rendszer felelőssége
Az angol példa
• A megbízható működés alapfeltétele, hogy a labor csak a sémába tartozó értékeléssel foglalkozzon
• Ehhez önálló szakértői bázisra, önálló eszközökre és önálló munkakörnyezetre van szüksége
• A személyzetnek megfelelő képzettséggel kell rendelkeznie
• Ha az alapfeltételek teljesülnek, a labort az ISO 17025:2000 szabványnak megfelelően kell bevizsgáltatni
Minőségi előírások
• Az értékelő-szervezet legfontosabb szerepkörei a következők:– műszaki irányító,
– minőségbiztosítási irányító,
– üzleti vezető,
– adminisztrációs felelős,
– biztonsági menedzser
• Az értékelést 2-3 fős csoportok végzik, a műszaki irányító felügyelete alatt
Biztonsági előírások
• A CLEF-nek biztosítania kell az üzleti információk védelmét, amit a felügyelőszerv vizsgál
• Ennek részleteit egy Biztonsági Kézikönyvben kell leírni
• Ez foglalkozik a fizikai, a személyzeti és az információs biztonsággal is
Felkészültség
• A jó értékelő ismeri az informatikai biztonság alapelveit, az értékelés eljárásait, és ezeket alkalmazni is tudja
• Az értékelő lehet gyakornok vagy minősített értékelő
• Ahhoz, hogy valaki értékelő lehessen, el kell végeznie egy tanfolyamot
• Ha rendelkezésre áll a megfelelő szakmai stáb, egy mintaértékelést kell végrehajtani
Akkreditáció
• Az értékelő-szervezet 0. vagy 1. szintű akkreditációval rendelkezhet
• Az 1. szintű akkreditáció telephelyen kívüli vizsgálatra is feljogosít
• Az akkreditáció folyamata tartalmazza az értékelési szempontok és a módszertan felhasználásának vizsgálatát
• Ha a UKAS mindent rendben talál, egy 3-4 hónapos mintaértékelést kell végrehajtani
Mintaértékelés
• A mintaértékelés során vizsgálják az egyéni képességeket és az adminisztrációs és menedzsment eljárásokat
• A TOE egy valós termék, amit a CLEF is javasolhat
• A tipikus mintaértékelésben 3-4 gyakornok értékelő vesz részt
• Az értékelés során elsősorban az értékelőket vizsgálják, és nem a konkrét terméket
Oktatás
• Az értékelői tanfolyam 3 modulból áll:– IT biztonsági elvek és értékelése, a séma bemutatása
– Biztonsági követelmények, fejlesztési reprezentációk, funkcionális tesztelés, fejlesztési környezet, működési környezet, sérülékenység vizsgálat, behatolási tesztelés, garancia fenntartása
– Az értékelés lefolytatása és menedzselése
• Az értékelő labor is tarthat előadásokat, ha akkreditáltatja az oktatást
Külföldi példák - USA
• Az IT biztonsági értékelési rendszerek szülőhazája az Egyesült Államok
• A fontos állami szerveknél elvárás, hogy minden olyan informatikai rendszer vagy termék, mely érzékeny adatokat kezel, rendelkezzen CC minősítéssel
• Az egyik első tanúsítvány-kiállító az USA-ban a SAIC CCTL
Külföldi példák - USA
• A SAIC CCTL akkreditációja a minőségirányítási kézikönyv benyújtásával kezdődött
• Ezek után vizsgálták a munkatársak kompetenciáját
• A vizsgálat egy éven át folyt, aminek végén EAL1-4 értékelésekre kaptak felhatalmazást
• Az első két évben 4 értékelést folytattak
Külföldi példák - USA
• 2002-ben 11 értékelő dolgozott főállásban a cégnél
• Őket a cég más osztályain dolgozó kollégák segítik
• Szükség esetén más munkatársakat is bevonnak
• A munkához egy önálló épület áll rendelkezésükre
Külföldi példák - Tajvan
• A tajvani kormányzat a jelentős tajvani gyártók nyomására kezdett el foglalkozni a CC bevezetésével
• A séma és a labor kialakításával a Nemzeti Cheng Kung Egyetemet bízták meg
• A projekt összesen 4 millió dollár költségvetéssel gazdálkodik
• 15 szakember tanul CC kibocsátó országokban
Külföldi példák - Tajvan
• Céljaik:– A tajvani IT termékek versenyképességének
növelése– Az értékelési idő lecsökkentése azzal, hogy
hazai labor végzi a munkát– A termékek minőségének javítása
Következtetések
• Egy megfelelően felkészült értékelőlabor rendelkezik:– felkészült értékelőkkel (3-5 fő),– bevonható szakértőkkel, bármilyen területen
(20-30 fő),– a megfelelő hátteret biztosító környezettel
(adminisztráció, infrastruktúra, stb.),– pénzügyi függetlenséggel,
Következtetések
– oktatási kapacitással,– ISO 17025:2000, ISO 9001: 2000 és BS 7799-
2:2002 megfeleléssel,
• A MIBÉTS, és ezen keresztül a CC sikeres adaptációja elképzelhetetlen hatékony állami szerepvállalás nélkül
SWOT
• Erősségek:– világviszonylatban is kimagasló oktatási tematika,
– kimagasló értékelési gyakorlat több informatikai biztonsági témakörben
• Gyengeségek:– nincs kereslet Magyarországon az IT biztonsági
tanúsításokra,
– az értékelés túlságosan drága és sok időt vesz igénybe
SWOT
• Lehetőségek:– a Magyarországon fejlesztő multik figyelmének
felkeltése,– versenyelőny a többi kelet-közép-európai országgal
szemben• Veszélyek:
– a CC tanúsítvány kibocsátó országok nem érdekeltek abban, hogy a kis országok is rendelkezzenek ezzel a tudással,
– az állami szervek aktív részvétele és figyelme nélkül a séma csendben kimúlhat
Köszönöm a figyelmet!