1 / 22

NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra

NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra. dr. Balázs István HunGuard Kft. 2003.11.20. Miért szükséges a nemzeti séma kialakítása? (1). MITS IBR középtávú feladatainak beindításához szükséges rövidtávú kulcsintézkedések :

taima
Download Presentation

NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20. Magyar Bankszövetség 2003.11.20.

  2. Miért szükséges a nemzeti séma kialakítása? (1) • MITS IBR középtávú feladatainak beindításához szükséges rövidtávú kulcsintézkedések: • 4.2.: Az informatika termékek és rendszerek biztonsági értékelése és tanúsítása hazai rendszerének kialakítása. • 1) Módszertan kidolgozása, adaptálása az informatikai biztonsági kiértékelés eljárásaihoz, • 2) Vizsgáló laboratóriumok felállításának támogatása, • 3) Tanúsító szervezet felállítása. Mert kulcsintézkedésként beterveztük. Magyar Bankszövetség 2003.11.20.

  3. Miért szükséges a nemzeti séma kialakítása? (2) • 1214/2002. (XII.28.) sz. Korm. határozat: • “ Ki kell alakítani az informatikai alkalmazások minőségének és biztonságának hiteles tanúsítási rendjét, az ehhez szükséges jogszabályok megalkotásával és intézményrendszer felállításával” • határidő: 2003.10.15 Mert a döntéshozók elrendelték. Magyar Bankszövetség 2003.11.20.

  4. Miért szükséges a nemzeti séma kialakítása? (3) Csatlakoztunk a CCRA egyezményhez /2003. 09.19.-én/ • Két különböző résztvevői szátusz: • tanúsítvány használó (elfogadó) /19/ • tanúsítvány jóváhagyó (kibocsátó) /6/ • Tanúsítványt jóváhagyó státusz feltételei: • állami tanúsító szervezet (EN 45011), • kereskedelmi értékelő szervezetek (EN 45001) • nemzeti séma (CC, CEM), • nemzeti séma értékelése 2 jóváhagyó tagállammal Mert a CCRA nemzetközi közössége elvárja tőlünk. Magyar Bankszövetség 2003.11.20.

  5. Mire vonatkozik a nemzeti séma /MIBÉTS/? „Menedzsment szempontú” értékelések MSZ ISO/IEC 17799, BS7799 2. rész, BSI baseline, Cobit ISO/IEC TR 13335, ISO 9000, .../ Felhasználók Üzleti / államigazgatási folyamatok Környezet Működtetés „Technológia szempontú” értékelések MSZ ISO/IEC 15408(Common Criteria) IT rendszerek IT termékek Magyar Bankszövetség 2003.11.20.

  6. A MIBÉTS séma céljai (1) • Rövidtávú MIBÉTS célok: • 1. Jogi és szervezeti keretek kialakítása • tanúsító szervezet, • értékelő szervezetek, • szakértők. • 2. Az informatikai biztonsági értékelések beindítása • központi felügyelet és támogatás, • egységes módszertan. Magyar Bankszövetség 2003.11.20.

  7. A MIBÉTS séma céljai (2) • Középtávú MIBÉTS célok (3-4 év): • 1. Készítse elő a CC tanúsítvány jóváhagyó státusz megszerzését • séma szervezet kialakítása, fejlesztése, • a Közös értékelési módszertan (CEM) alkalmazása, • sikeres biztonsági értékelések gyakorlata. • 2. A séma hatókörének kiterjesztése: • tanúsítás gondozás • környezet (fizikai, személyi, eljárásrendi) Magyar Bankszövetség 2003.11.20.

  8. A hazai séma technológia szempontú biztonsági értékelésének és tanúsításának céljai • A CCRA megállapodás nemzeti sémákra vonatkozó minimális elvárásainak kielégítése (ezzel elősegítve Magyarország későbbi, "tanúsítvány jóváhagyó” résztvevő státuszának megszerzését). • A minimális nemzetközi elvárások kiegészítése és pontosítása (a legnagyobb gyakorlattal és múlttal rendelkező nemzeti sémák tanulmányozásával). • Egyszerűsített, költség-hatékony módszer kidolgozása (a CC és a CEM hazai adaptálása első lépéseként). Magyar Bankszövetség 2003.11.20.

  9. Az értékelési és tanúsítási módszertan alapelvei • SZAKSZERŰSÉG - az értékelési tevékenység alkalmas-e a megcélzott garanciaszint eléréséhez? • PÁRTATLANSÁG - van-e érdekeltség az eredményben? • OBJEKTIVITÁS - minimalizálni a szubjektív döntéseket! • MEGISMÉTELHETŐSÉG - ugyanarra az eredményre jutna az értékelő később is? • ÚJRAELŐÁLLÍTHATÓSÁG - ugyanarra az eredményre jutna egy másik értékelő is? Magyar Bankszövetség 2003.11.20.

  10. A MIBÉTS séma szereplői FEJLESZTŐ - előállítja az értékelés tárgyát MEGBÍZÓ - fizet az értékelésért ÉRTÉKELŐ - végrehajtja az értékelést TANÚSÍTÓ - felügyeli az értékelést, tanúsítványt bocsát ki (megfelelő eredmények esetén) FELHASZNÁLÓ - az egész séma az ő bizalmát és informáltságát kívánja erősíteni! Magyar Bankszövetség 2003.11.20.

  11. Miért van szükség a MIBÉTS sémára? Az informatikai biztonságot tudatos, ellenséges emberi cselekedetek ellen is garantálni kell (különböző kikerülési, lerontási, hatástalanítási és feltörési kísérletek ellenére) Robbanásszerűen fejlődő, állandóan változó szakterület (a módszert egységesen, a fejlődéssel is lépést tartva kell alkalmazni) A gyors fejlődést éles piaci verseny is kíséri (kellően le nem tesztelve, biztonsági hibákkal és más sebezhetőségekkel, illetve univerzálisan konfigurálható módon kerülnek termékek a piacra) Mert szakmailag indokolt! Magyar Bankszövetség 2003.11.20.

  12. Miért van szükség központi tanúsító szervezetre? • Valamennyi CC tanúsítványt kibocsátó ország központi (állami) tanúsító szervezet hozott létre • Ausztrália és Új-Zéland: DSD - GCSB • Egyesült Királyság: CESG, • Franciaország: SCSSI, • Kanada: CSE, • Németország: BSI, • USA: NIAP. A más nemzetek által kibocsátott tanúsítványok elismerése kormányzati jellegű döntéseket és állásfoglalásokat kíván • A módszertan egységes alkalmazásának igénye • összehasonlítható értékelési eredményekkel, • a “szakszerűség - pártatlanság - objektivitás - megismételhetőség - újraelőállíthatóság” elveinek megvalósulásával. Magyar Bankszövetség 2003.11.20.

  13. A tanúsító szervezet szerepe a MIBÉTS sémában Az alapelvek és a módszertan betartatása -azértékelési eredmények és az ezt megalapozó bizonyítékok összhangja, megfelelősége Szakszerűség biztosítása - az értékelők által alkalmazott technikák és gyakorlatokszakszerűek, korrekt eredményhez vezetnek Útmutatás - általában, valamint az értékelők által feltett (módszertani, séma szabályokra vonatkozó) kérdések gyors megválaszolásával Értékelési jelentések ellenőrzése - Helyesen dokumentálja az értékelés eredményeit? Megfelel az értékelés megállapításainak? Tanúsítási jelentések és tanúsítványok kibocsátása - az értékelési jelentésben dokumentált eredményekkel összhangban, nyilvánosságra hozható tartalommal. Magyar Bankszövetség 2003.11.20.

  14. Megbízó Az értékelés és tanúsítás folyamata Értékelő Tanúsító Fejlesztői bizonyítékok tanulmány, munkaterv, ütemezés Az értékelés befogadása Értékelés (biztonsági előirányzat + értékelés tárgya) Észrevételezési jelentések Észrevételezési jelentések Értékelési jelentés Tanúsítási jelentés Magyar Bankszövetség 2003.11.20.

  15. A Közös szempontrendszer (CC) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve • Növekvő értékelési ráfordítás: hatókör – mélység - szigorúság Magyar Bankszövetség 2003.11.20.

  16. A Közös módszertan (CEM) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve • A CCRA megállapodás csak az EAL1-EAL4 szintekre vonatkozik Magyar Bankszövetség 2003.11.20.

  17. A MIBÉTS séma értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve (EAL 2): ALAP garanciaszint (EAL 3+): FOKOZOTT garanciaszint (EAL 4): KIEMELT garanciaszint EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve • Illeszkedés a MeH ITB 12.-es ajánlás biztonsági kategóriáihoz. Magyar Bankszövetség 2003.11.20.

  18. Az értékelési feladat áttekintése Magyar Bankszövetség 2003.11.20.

  19. A technológia szempontú értékelés lényege Fejlesztő által végzettsebezhetőség elemzés /kimutatja: nincs nyilvánvaló sebezhetőség/ Nyilvános források Lehetséges sebezhetőségek Tanúsító szervezet Értékelő által végzett sebezhetőség elemzés és behatolás tesztelés /a tervezett környezet szempontjából, a támadóról feltételezett támadási potenciállal/ Kihasználható sebezhetőségek Nem kihasználható sebezhetőségek /a tervezett környezetben, a feltételezett támadási potenciállal/ Maradvány sebezhetőségek /kihasználhatók más környezetben, vagy nagyobb támadási potenciállal/ Magyar Bankszövetség 2003.11.20.

  20. A séma kialakítás szakmai megalapozása • MIBÉTS séma kiadványok: • 1. A MIBÉTS nemzeti séma általános modellezése • 2. Az értékelés és a tanúsítás folyamatai • 3. Az értékelés módszertana • 4. A tanúsítás módszertana • 5.-8. Módszertani útmutatók • Tudásbázis kialakítása (szabvány honosítása, ismertetők, bevezető szakanyagok készítése) • Adatbázis (értékelt CC védelmi profilokról és termékekről) • Oktatási és továbbképzési anyagok, vizsgarend • Egy minta értékelés teljes dokumentálása Magyar Bankszövetség 2003.11.20.

  21. Köszönöm figyelmüket! Balázs István HunGuard Kft. www.hunguard.hu Magyar Bankszövetség 2003.11.20.

  22. Magyar Bankszövetség 2003.11.20.

More Related