220 likes | 400 Views
NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra. dr. Balázs István HunGuard Kft. 2003.11.20. Miért szükséges a nemzeti séma kialakítása? (1). MITS IBR középtávú feladatainak beindításához szükséges rövidtávú kulcsintézkedések :
E N D
NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20. Magyar Bankszövetség 2003.11.20.
Miért szükséges a nemzeti séma kialakítása? (1) • MITS IBR középtávú feladatainak beindításához szükséges rövidtávú kulcsintézkedések: • 4.2.: Az informatika termékek és rendszerek biztonsági értékelése és tanúsítása hazai rendszerének kialakítása. • 1) Módszertan kidolgozása, adaptálása az informatikai biztonsági kiértékelés eljárásaihoz, • 2) Vizsgáló laboratóriumok felállításának támogatása, • 3) Tanúsító szervezet felállítása. Mert kulcsintézkedésként beterveztük. Magyar Bankszövetség 2003.11.20.
Miért szükséges a nemzeti séma kialakítása? (2) • 1214/2002. (XII.28.) sz. Korm. határozat: • “ Ki kell alakítani az informatikai alkalmazások minőségének és biztonságának hiteles tanúsítási rendjét, az ehhez szükséges jogszabályok megalkotásával és intézményrendszer felállításával” • határidő: 2003.10.15 Mert a döntéshozók elrendelték. Magyar Bankszövetség 2003.11.20.
Miért szükséges a nemzeti séma kialakítása? (3) Csatlakoztunk a CCRA egyezményhez /2003. 09.19.-én/ • Két különböző résztvevői szátusz: • tanúsítvány használó (elfogadó) /19/ • tanúsítvány jóváhagyó (kibocsátó) /6/ • Tanúsítványt jóváhagyó státusz feltételei: • állami tanúsító szervezet (EN 45011), • kereskedelmi értékelő szervezetek (EN 45001) • nemzeti séma (CC, CEM), • nemzeti séma értékelése 2 jóváhagyó tagállammal Mert a CCRA nemzetközi közössége elvárja tőlünk. Magyar Bankszövetség 2003.11.20.
Mire vonatkozik a nemzeti séma /MIBÉTS/? „Menedzsment szempontú” értékelések MSZ ISO/IEC 17799, BS7799 2. rész, BSI baseline, Cobit ISO/IEC TR 13335, ISO 9000, .../ Felhasználók Üzleti / államigazgatási folyamatok Környezet Működtetés „Technológia szempontú” értékelések MSZ ISO/IEC 15408(Common Criteria) IT rendszerek IT termékek Magyar Bankszövetség 2003.11.20.
A MIBÉTS séma céljai (1) • Rövidtávú MIBÉTS célok: • 1. Jogi és szervezeti keretek kialakítása • tanúsító szervezet, • értékelő szervezetek, • szakértők. • 2. Az informatikai biztonsági értékelések beindítása • központi felügyelet és támogatás, • egységes módszertan. Magyar Bankszövetség 2003.11.20.
A MIBÉTS séma céljai (2) • Középtávú MIBÉTS célok (3-4 év): • 1. Készítse elő a CC tanúsítvány jóváhagyó státusz megszerzését • séma szervezet kialakítása, fejlesztése, • a Közös értékelési módszertan (CEM) alkalmazása, • sikeres biztonsági értékelések gyakorlata. • 2. A séma hatókörének kiterjesztése: • tanúsítás gondozás • környezet (fizikai, személyi, eljárásrendi) Magyar Bankszövetség 2003.11.20.
A hazai séma technológia szempontú biztonsági értékelésének és tanúsításának céljai • A CCRA megállapodás nemzeti sémákra vonatkozó minimális elvárásainak kielégítése (ezzel elősegítve Magyarország későbbi, "tanúsítvány jóváhagyó” résztvevő státuszának megszerzését). • A minimális nemzetközi elvárások kiegészítése és pontosítása (a legnagyobb gyakorlattal és múlttal rendelkező nemzeti sémák tanulmányozásával). • Egyszerűsített, költség-hatékony módszer kidolgozása (a CC és a CEM hazai adaptálása első lépéseként). Magyar Bankszövetség 2003.11.20.
Az értékelési és tanúsítási módszertan alapelvei • SZAKSZERŰSÉG - az értékelési tevékenység alkalmas-e a megcélzott garanciaszint eléréséhez? • PÁRTATLANSÁG - van-e érdekeltség az eredményben? • OBJEKTIVITÁS - minimalizálni a szubjektív döntéseket! • MEGISMÉTELHETŐSÉG - ugyanarra az eredményre jutna az értékelő később is? • ÚJRAELŐÁLLÍTHATÓSÁG - ugyanarra az eredményre jutna egy másik értékelő is? Magyar Bankszövetség 2003.11.20.
A MIBÉTS séma szereplői FEJLESZTŐ - előállítja az értékelés tárgyát MEGBÍZÓ - fizet az értékelésért ÉRTÉKELŐ - végrehajtja az értékelést TANÚSÍTÓ - felügyeli az értékelést, tanúsítványt bocsát ki (megfelelő eredmények esetén) FELHASZNÁLÓ - az egész séma az ő bizalmát és informáltságát kívánja erősíteni! Magyar Bankszövetség 2003.11.20.
Miért van szükség a MIBÉTS sémára? Az informatikai biztonságot tudatos, ellenséges emberi cselekedetek ellen is garantálni kell (különböző kikerülési, lerontási, hatástalanítási és feltörési kísérletek ellenére) Robbanásszerűen fejlődő, állandóan változó szakterület (a módszert egységesen, a fejlődéssel is lépést tartva kell alkalmazni) A gyors fejlődést éles piaci verseny is kíséri (kellően le nem tesztelve, biztonsági hibákkal és más sebezhetőségekkel, illetve univerzálisan konfigurálható módon kerülnek termékek a piacra) Mert szakmailag indokolt! Magyar Bankszövetség 2003.11.20.
Miért van szükség központi tanúsító szervezetre? • Valamennyi CC tanúsítványt kibocsátó ország központi (állami) tanúsító szervezet hozott létre • Ausztrália és Új-Zéland: DSD - GCSB • Egyesült Királyság: CESG, • Franciaország: SCSSI, • Kanada: CSE, • Németország: BSI, • USA: NIAP. A más nemzetek által kibocsátott tanúsítványok elismerése kormányzati jellegű döntéseket és állásfoglalásokat kíván • A módszertan egységes alkalmazásának igénye • összehasonlítható értékelési eredményekkel, • a “szakszerűség - pártatlanság - objektivitás - megismételhetőség - újraelőállíthatóság” elveinek megvalósulásával. Magyar Bankszövetség 2003.11.20.
A tanúsító szervezet szerepe a MIBÉTS sémában Az alapelvek és a módszertan betartatása -azértékelési eredmények és az ezt megalapozó bizonyítékok összhangja, megfelelősége Szakszerűség biztosítása - az értékelők által alkalmazott technikák és gyakorlatokszakszerűek, korrekt eredményhez vezetnek Útmutatás - általában, valamint az értékelők által feltett (módszertani, séma szabályokra vonatkozó) kérdések gyors megválaszolásával Értékelési jelentések ellenőrzése - Helyesen dokumentálja az értékelés eredményeit? Megfelel az értékelés megállapításainak? Tanúsítási jelentések és tanúsítványok kibocsátása - az értékelési jelentésben dokumentált eredményekkel összhangban, nyilvánosságra hozható tartalommal. Magyar Bankszövetség 2003.11.20.
Megbízó Az értékelés és tanúsítás folyamata Értékelő Tanúsító Fejlesztői bizonyítékok tanulmány, munkaterv, ütemezés Az értékelés befogadása Értékelés (biztonsági előirányzat + értékelés tárgya) Észrevételezési jelentések Észrevételezési jelentések Értékelési jelentés Tanúsítási jelentés Magyar Bankszövetség 2003.11.20.
A Közös szempontrendszer (CC) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve • Növekvő értékelési ráfordítás: hatókör – mélység - szigorúság Magyar Bankszövetség 2003.11.20.
A Közös módszertan (CEM) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve • A CCRA megállapodás csak az EAL1-EAL4 szintekre vonatkozik Magyar Bankszövetség 2003.11.20.
A MIBÉTS séma értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve (EAL 2): ALAP garanciaszint (EAL 3+): FOKOZOTT garanciaszint (EAL 4): KIEMELT garanciaszint EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve • Illeszkedés a MeH ITB 12.-es ajánlás biztonsági kategóriáihoz. Magyar Bankszövetség 2003.11.20.
Az értékelési feladat áttekintése Magyar Bankszövetség 2003.11.20.
A technológia szempontú értékelés lényege Fejlesztő által végzettsebezhetőség elemzés /kimutatja: nincs nyilvánvaló sebezhetőség/ Nyilvános források Lehetséges sebezhetőségek Tanúsító szervezet Értékelő által végzett sebezhetőség elemzés és behatolás tesztelés /a tervezett környezet szempontjából, a támadóról feltételezett támadási potenciállal/ Kihasználható sebezhetőségek Nem kihasználható sebezhetőségek /a tervezett környezetben, a feltételezett támadási potenciállal/ Maradvány sebezhetőségek /kihasználhatók más környezetben, vagy nagyobb támadási potenciállal/ Magyar Bankszövetség 2003.11.20.
A séma kialakítás szakmai megalapozása • MIBÉTS séma kiadványok: • 1. A MIBÉTS nemzeti séma általános modellezése • 2. Az értékelés és a tanúsítás folyamatai • 3. Az értékelés módszertana • 4. A tanúsítás módszertana • 5.-8. Módszertani útmutatók • Tudásbázis kialakítása (szabvány honosítása, ismertetők, bevezető szakanyagok készítése) • Adatbázis (értékelt CC védelmi profilokról és termékekről) • Oktatási és továbbképzési anyagok, vizsgarend • Egy minta értékelés teljes dokumentálása Magyar Bankszövetség 2003.11.20.
Köszönöm figyelmüket! Balázs István HunGuard Kft. www.hunguard.hu Magyar Bankszövetség 2003.11.20.