A MIBÉTS szerinti értékelőlaborok

1. A MIBÉTS szerinti értékelőlaborok Krasznay Csaba BME Informatikai Központ krasznay@ik.bme.hu

2. Tartalom • Bevezetés • Az angol példa • Az amerikai példa • A tajvani példa • Következtetések • SWOT

3. Bevezetés • A CCRA csatlakozással elfogadjuk a külföldön kiadott CC tanúsítványokat • Célunk, hogy előbb-utóbb Magyarország is CC tanúsítvány kibocsátó országgá váljon • Ehhez fontos lépés a saját nemzeti séma létrehozása, mely alapján a magyar értékelőlaborok felkészülhetnek a CC követelmények teljesítésére • Konkrét akkreditációs követelmények azonban eddig nem jelentek meg, így a külföldi példákból kell kiindulni

4. Az angol példa • A MIBÉT Séma az angol UK ITSec Scheme alapján alakult ki • Az értékelőlaborokat ebben a sémában Commercial Evaluation Facility-nek (CLEF) hívják • Akkreditációjuk a UKAS, a brit akkreditációs rendszer felelőssége

5. Az angol példa • A megbízható működés alapfeltétele, hogy a labor csak a sémába tartozó értékeléssel foglalkozzon • Ehhez önálló szakértői bázisra, önálló eszközökre és önálló munkakörnyezetre van szüksége • A személyzetnek megfelelő képzettséggel kell rendelkeznie • Ha az alapfeltételek teljesülnek, a labort az ISO 17025:2000 szabványnak megfelelően kell bevizsgáltatni

6. Minőségi előírások • Az értékelő-szervezet legfontosabb szerepkörei a következők: • műszaki irányító, • minőségbiztosítási irányító, • üzleti vezető, • adminisztrációs felelős, • biztonsági menedzser • Az értékelést 2-3 fős csoportok végzik, a műszaki irányító felügyelete alatt

7. Biztonsági előírások • A CLEF-nek biztosítania kell az üzleti információk védelmét, amit a felügyelőszerv vizsgál • Ennek részleteit egy Biztonsági Kézikönyvben kell leírni • Ez foglalkozik a fizikai, a személyzeti és az információs biztonsággal is

8. Felkészültség • A jó értékelő ismeri az informatikai biztonság alapelveit, az értékelés eljárásait, és ezeket alkalmazni is tudja • Az értékelő lehet gyakornok vagy minősített értékelő • Ahhoz, hogy valaki értékelő lehessen, el kell végeznie egy tanfolyamot • Ha rendelkezésre áll a megfelelő szakmai stáb, egy mintaértékelést kell végrehajtani

9. Akkreditáció • Az értékelő-szervezet 0. vagy 1. szintű akkreditációval rendelkezhet • Az 1. szintű akkreditáció telephelyen kívüli vizsgálatra is feljogosít • Az akkreditáció folyamata tartalmazza az értékelési szempontok és a módszertan felhasználásának vizsgálatát • Ha a UKAS mindent rendben talál, egy 3-4 hónapos mintaértékelést kell végrehajtani

10. Mintaértékelés • A mintaértékelés során vizsgálják az egyéni képességeket és az adminisztrációs és menedzsment eljárásokat • A TOE egy valós termék, amit a CLEF is javasolhat • A tipikus mintaértékelésben 3-4 gyakornok értékelő vesz részt • Az értékelés során elsősorban az értékelőket vizsgálják, és nem a konkrét terméket

11. Oktatás • Az értékelői tanfolyam 3 modulból áll: • IT biztonsági elvek és értékelése, a séma bemutatása • Biztonsági követelmények, fejlesztési reprezentációk, funkcionális tesztelés, fejlesztési környezet, működési környezet, sérülékenység vizsgálat, behatolási tesztelés, garancia fenntartása • Az értékelés lefolytatása és menedzselése • Az értékelő labor is tarthat előadásokat, ha akkreditáltatja az oktatást

12. Külföldi példák - USA • Az IT biztonsági értékelési rendszerek szülőhazája az Egyesült Államok • A fontos állami szerveknél elvárás, hogy minden olyan informatikai rendszer vagy termék, mely érzékeny adatokat kezel, rendelkezzen CC minősítéssel • Az egyik első tanúsítvány-kiállító az USA-ban a SAIC CCTL

13. Külföldi példák - USA • A SAIC CCTL akkreditációja a minőségirányítási kézikönyv benyújtásával kezdődött • Ezek után vizsgálták a munkatársak kompetenciáját • A vizsgálat egy éven át folyt, aminek végén EAL1-4 értékelésekre kaptak felhatalmazást • Az első két évben 4 értékelést folytattak

14. Külföldi példák - USA • 2002-ben 11 értékelő dolgozott főállásban a cégnél • Őket a cég más osztályain dolgozó kollégák segítik • Szükség esetén más munkatársakat is bevonnak • A munkához egy önálló épület áll rendelkezésükre

15. Külföldi példák - Tajvan • A tajvani kormányzat a jelentős tajvani gyártók nyomására kezdett el foglalkozni a CC bevezetésével • A séma és a labor kialakításával a Nemzeti Cheng Kung Egyetemet bízták meg • A projekt összesen 4 millió dollár költségvetéssel gazdálkodik • 15 szakember tanul CC kibocsátó országokban

16. Külföldi példák - Tajvan • Céljaik: • A tajvani IT termékek versenyképességének növelése • Az értékelési idő lecsökkentése azzal, hogy hazai labor végzi a munkát • A termékek minőségének javítása

17. Következtetések • Egy megfelelően felkészült értékelőlabor rendelkezik: • felkészült értékelőkkel (3-5 fő), • bevonható szakértőkkel, bármilyen területen (20-30 fő), • a megfelelő hátteret biztosító környezettel (adminisztráció, infrastruktúra, stb.), • pénzügyi függetlenséggel,

18. Következtetések • oktatási kapacitással, • ISO 17025:2000, ISO 9001: 2000 és BS 7799-2:2002 megfeleléssel, • A MIBÉTS, és ezen keresztül a CC sikeres adaptációja elképzelhetetlen hatékony állami szerepvállalás nélkül

19. SWOT • Erősségek: • világviszonylatban is kimagasló oktatási tematika, • kimagasló értékelési gyakorlat több informatikai biztonsági témakörben • Gyengeségek: • nincs kereslet Magyarországon az IT biztonsági tanúsításokra, • az értékelés túlságosan drága és sok időt vesz igénybe

20. SWOT • Lehetőségek: • a Magyarországon fejlesztő multik figyelmének felkeltése, • versenyelőny a többi kelet-közép-európai országgal szemben • Veszélyek: • a CC tanúsítvány kibocsátó országok nem érdekeltek abban, hogy a kis országok is rendelkezzenek ezzel a tudással, • az állami szervek aktív részvétele és figyelme nélkül a séma csendben kimúlhat

21. Köszönöm a figyelmet!