IT Security Evaluation Facility – National Institute of Telecommunications – recommendations and guidelines [Laboratorium Oceny Cyberbezpieczeństwa Instytutu Łączności – wymagania i wytyczne]
Elżbieta Andrukiewicz, Nils Tekampe
link to publication (in Polish)
Development of ICT technologies increases the demand for product and service security certification. Mutual recognition of certificates issued based on reliable and trustworthy security evaluations is crucial in connected economies, such as in the European Union.
Currently, mutual recognition is possible thanks to international agreements such as the Common Criteria Recognition Agreement (CCRA) and Senior Officers Group Information Security – Mutual Recognition Agreement (SOG-IS MRA).
A product or a service certification process has two stages: assessment (evaluation) performed by evaluation laboratories, and issuance of a certificate by the certification bodies. Laboratories which conduct security evaluation must meet multiple criteria defined by the national certification bodies. This paper examines requirements and good practices of laboratories in countries participating in the international agreements, which ensure mutual recognition of Common Criteria-compliant certificates. It also provides recommendations and guidelines for the IT Security Evaluation Facility at the National Institute of Telecommunications.
Security requirements model and security evaluation classification of IT products [Model wymagań bezpieczeństwa oraz systematyka oceny bezpieczeństwa produktów IT]
Elżbieta Andrukiewicz
link to publication (in Polish)
The Common Criteria standard was created by combining two methodologies for evaluating the security of IT products, which were used until the nineties of the last century: the European ITSEC and the American-Canadian TCSEC system. Compared to its predecessors, Common Criteria provides an extension of the security evaluation methodology with a standardized set of functional security requirements. Therefore, the security evaluation began to cover a much broader spectrum of IT products, from simple components to devices composed of many hardware, hardware – software and software components, designed in accordance with functional security requirements. The scope, depth and rigour of the evaluation process ensures end-users a proportional level of assurance that the offered IT product meets the security requirements declared by its manufacturer or supplier.
Common Criteria has been adopted as a 3-part ISO/IEC 15408 standard, which is also a Polish standard PN-ISO/IEC 15408. IT security evaluation criteria, security evaluation methodology is included in the PN ISO/IEC 18045 Methodology for IT security evaluation. Due to common perception, the whole is known as ISO/IEC 15408.
Zastosowanie wzorców projektowych w konstruowaniu zabezpieczeń informatycznych zgodnych ze standardem Common Criteria
Praca zbiorowa pod redakcją Andrzeja Białasa
link to publication (in Polish)
Współczesne urządzenia informatyczne, oprogramowanie i zbudowane z nich systemy są wykorzystywane do wielu odpowiedzialnych zastosowań obarczonych podwyższonym ryzykiem. Od bezpieczeństwa wytwarzanych, przetwarzanych, przesyłanych i przechowywanych informacji zależy bezpieczeństwo firm, instytucji publicznych, infrastruktury krytycznej, jak również i los poszczególnych obywateli.
Podstawową metodyką kreowania uzasadnionego zaufania do zabezpieczeń informatycznych jest prezentowana w monografii metodyka Common Criteria, opisana w standardzie ISO/IEC 15408 Common Criteria for Information Security Evaluation (Wspólne kryteria do oceny zabezpieczeń teleinformatycznych). Standard powstał wysiłkiem międzynarodowym. W opracowywaniu brali i ciągle biorą udział specjaliści od spraw bezpieczeństwa teleinformatycznego organizacji rządowych między innymi z następujących krajów: Australii/Nowej Zelandii, Kanady, Francji, Niemiec, Japonii, Holandii, Hiszpanii, Wielkiej Brytanii i Stanów Zjednoczonych. Część z dokumentów składających się na standard publikowana jest jako norma ISO/IEC.
Komputerowe wspomaganie procesu rozwoju produktów informatycznych o podwyższonych wymaganiach bezpieczeństwa
Praca zbiorowa pod redakcją naukową Andrzeja Białasa
link to Publication (in Polish)
Rozwój współczesnej cywilizacji bazuje na przetwarzaniu i przesyłaniu ogromnych ilości informacji. Od informacji powierzanych systemom zależą losy jednostek, firm, instytucji, a czasem nawet i państw. Powszechna informatyzacja przynosi wiele korzyści, jednak związane jest z nią wiele zagrożeń. O sukcesie zastosowań informatyki decyduje zarówno postęp w rozwoju technologii informacyjnych, jak i ich bezpieczeństwo.
Bezpieczeństwo ma charakter interdyscyplinarny i dotyczy zagadnień informatycznych, organizacyjnych, ludzkich i otoczenia fizycznego systemów. Poza tym jest ono procesem wymagającym stałej troski i ciągłych zabiegów, zaś jego utrzymywanie jest zapewnione dzięki właściwemu zarządzaniu. Systemy zarządzania bezpieczeństwem są oparte na analizie ryzyka i muszą być wbudowane w ogólny system zarządzania instytucją.
Z problemem tym zmierzyli się twórcy międzynarodowego standardu ISO/IEC 15408 Common Criteria for Information Security Evaluation (Wspólne kryteria do oceny zabezpieczeń teleinformatycznych).