ISO 15408 Evaluation criteria for IT security
Informatikai biztonsági terméktanúsítás
Az ISO/IEC 15408 szabvány szerinti tanúsítást NAT által akkreditált szervezetek végezhetnek regisztráltan. Irodánk vállalja ezen szabvány szerint történő felkészítést.
Leírás:
- Az ISO/IEC 15408 szabványról
- Kinek és miért lehet rá szüksége?
- A felkészítésről
- A tanúsítási eljárásról
- Tanúsítványok
Mi is az az ISO/IEC 15408?
Az IT rendszerek biztonságával kapcsolatos tapasztalatok is egyre bővültek, egyre több ország és szervezet dolgozta ki saját szabványát, értékelési módszerét, így megfogalmazódott az igény a biztonsággal kapcsolatos fogalmak, eljárások, tanúsítványok egységesítésére, közös kialakítására. E célból adta ki a Nemzetközi Szabványügyi Szervezet (ISO) az ISO/IEC 15408 ("Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai") szabvány sorozatot, (más nevén Common Criteria (CC)), melyet számos országban egyezményesen elfogadtak. A sorozat három tagja:
• MSZ ISO/IEC 15408-1: Bevezetés és általános modell
• MSZ ISO/IEC 15408-2: A biztonság funkcionális követelményei
• MSZ ISO/IEC 15408-3: A biztonság garanciális követelményei
Az ISO/IEC 15408 tehát információs termékek vagy rendszerek biztonságának értékeléséhez határoz meg követelményeket, szempontokat és metodikát, hogy megvalósuljon azok bizalmassága (confidentiality), sértetlensége (integrity) és rendelkezésre állása (availability).
Kinek és miért ajánljuk a tanúsítást?
A tanúsítás ajánlott az IT biztonsági rendszerek fejlesztőinek, üzemeltetőinek, hiszen az ügyfelek egy tanúsított termék iránt nagyobb bizalommal fordulnak, illetve az ISO/IEC 15408 lehetővé teszi számukra a tanúsított termék biztonsági szintjének meghatározását, ami által eldönthetik az adott termékről, hogy az kielégíti-e igényeiket. A közös kritériumrendszer ugyanis összehasonlítható mérési eredményeket biztosít, mely által alkalmazását tekintve hasonló célból készült IT termékek biztonsági szintje is összevethető.
Az ISO/IEC 15408 szerinti tanúsítás másik célcsoportja az informatikai rendszerek üzemeltetői, hiszen az információk bizalmassága, sértetlensége és rendelkezésre állása az üzemeltetett rendszerek legfontosabb minőségi mutatói. A tanúsítás célja egyrészről annak értékelése és igazolása, hogy a vezetőség által bevezetett biztonsági intézkedések hatékonyak, másrészről a fennmaradó sebezhetőségek és kockázatok feltárása és azok kezelése megfelelően működik-e.
A felkészítésről
A CC alapfogalmai:
• TOE (Target of Evaluation, az értékelés tárgya): azon IT termék vagy rendszer, valamint a hozzákapcsolódó dokumentációk, amelyre az értékelés irányul. Ez hasonló megfogalmazás, mint irányítási rendszerek esetében az érvényességi terület.
• PP (Protection Profile, védelmi profil): megvalósítástól független, olyan önmagában konzisztens biztonsági követelményrendszer TOE-k egy meghatározott kategóriájára, mely adott ügyfél igényeket elégít ki.
• ST (Security Target, biztonsági előirányzat): termékfüggő dokumentum, amely biztonsági (funkcionális és garanciális) követelmények és előírások összességét tartalmazza, melyek adott TOE értékelésének alapjául szolgálnak.
A felkészítés során mindhárom CC alapfogalommal foglalkozunk. A PP értékelésének célja, hogy szemléltesse, a PP teljes, ellentmondásmentes, szakmailag helytálló, és ennél fogva alkalmas az értékelés tárgyára vonatkozó követelményekre vonatkozó megállapítások kinyilvánítására. Az ST értékelés célja, hogy az ST teljes, egységes és műszakilag helyes, ezért alkalmas arra, hogy a megfelelő TOE kiértékeléséhez alapul szolgáljon. A TOE értékelés célja, hogy megmutassa, a TOE kielégíti az ST-ben található biztonsági követelményeket.
Tanácsadónk: Dr. Becser Balázs vezető tanácsadó