Laboratorium Oceny Cyberbezpieczeństwa Instytutu Łączności – wymagania i wytyczne
Elżbieta Andrukiewicz, Nils Tekampe
Rozwój technologii telekomunikacyjnych zwiększa zapotrzebowanie na certyfikację bezpieczeństwa produktów i usług. W połączonych gospodarkach, w tym w szczególności w Unii Europejskiej, istotne znaczenie ma wzajemne uznawanie certyfikatów wydawanych na podstawie wiarygodnych i kompletnych ocen bezpieczeństwa. Obecnie jest to możliwe dzięki porozumieniom międzynarodowym, takim jak Common Criteria Recognition Agreement (CCRA) i Senior Officers Group Information Security – Mutual Recognition Agreement (SOG-IS MRA).
Proces certyfikacji produktu lub usługi składa się z dwóch etapów: ewaluacji (oceny), którą wykonują laboratoria oraz wydawania certyfikatów, które wykonują jednostki certyfikujące. Laboratoria przeprowadzające ewaluację muszą spełnić szereg kryteriów, określanych przez krajowe jednostki certyfikujące. W opracowaniu przeanalizowano wymagania i praktyki laboratoriów w krajach należących do porozumień międzynarodowych, zapewniających wzajemne uznawanie certyfikatów zgodnych z Common Criteria wraz z wnioskami i wytycznymi dla Laboratorium Oceny Cyberbezpieczeństwa w Instytucie Łączności.
Model wymagań bezpieczeństwa oraz systematyka oceny bezpieczeństwa produktów IT
Elżbieta Andrukiewicz
Common Criteria powstały w wyniku połączenia dwóch metodyk oceny bezpieczeństwa produktów IT stosowanych do lat dziewięćdziesiątych ubiegłego stulecia: systemu europejskiego ITSEC oraz amerykańsko – kanadyjskiego TCSEC. W porównaniu do swoich poprzedników, Common Criteria zapewnia rozszerzenie metodyki oceny bezpieczeństwa o znormalizowany zbiór funkcjonalnych wymagań bezpieczeństwa. W ten sposób ocena bezpieczeństwa zaczęła obejmować znacznie szersze spektrum produktów IT, od prostych elementów do urządzeń złożonych z wielu komponentów, sprzętowych, sprzętowo – programowych i programowych, projektowanych zgodnie z funkcjonalnymi wymaganiami bezpieczeństwa. Zakres, głębokość i rygor oceny zapewnia użytkownikom proporcjonalny poziom zaufania, że oferowany produkt IT spełnia wymagania bezpieczeństwa, które deklaruje jego producent lub dostawca.
Common Criteria zostały przyjęte jako 3-częsciowa norma ISO/IEC 15408, będące również polską normą PN-ISO/IEC 15408 Kryteria oceny zabezpieczeń informatycznych, metodyka oceny bezpieczeństwa jest zawarta w normie PN ISO/IEC 18045 Metodyka oceny zabezpieczeń informatycznych. Z uwagi na powszechną percepcję, całość jest znana pod pojęciem norm ISO/IEC 15408.
Zastosowanie wzorców projektowych w konstruowaniu zabezpieczeń informatycznych zgodnych ze standardem Common Criteria
Praca zbiorowa pod redakcją Andrzeja Białasa
Współczesne urządzenia informatyczne, oprogramowanie i zbudowane z nich systemy są wykorzystywane do wielu odpowiedzialnych zastosowań obarczonych podwyższonym ryzykiem. Od bezpieczeństwa wytwarzanych, przetwarzanych, przesyłanych i przechowywanych informacji zależy bezpieczeństwo firm, instytucji publicznych, infrastruktury krytycznej, jak również i los poszczególnych obywateli.
Podstawową metodyką kreowania uzasadnionego zaufania do zabezpieczeń informatycznych jest prezentowana w monografii metodyka Common Criteria, opisana w standardzie ISO/IEC 15408 Common Criteria for Information Security Evaluation (Wspólne kryteria do oceny zabezpieczeń teleinformatycznych). Standard powstał wysiłkiem międzynarodowym. W opracowywaniu brali i ciągle biorą udział specjaliści od spraw bezpieczeństwa teleinformatycznego organizacji rządowych między innymi z następujących krajów: Australii/Nowej Zelandii, Kanady, Francji, Niemiec, Japonii, Holandii, Hiszpanii, Wielkiej Brytanii i Stanów Zjednoczonych. Część z dokumentów składających się na standard publikowana jest jako norma ISO/IEC.
Komputerowe wspomaganie procesu rozwoju produktów informatycznych o podwyższonych wymaganiach bezpieczeństwa
Praca zbiorowa pod redakcją naukową Andrzeja Białasa
Rozwój współczesnej cywilizacji bazuje na przetwarzaniu i przesyłaniu ogromnych ilości informacji. Od informacji powierzanych systemom zależą losy jednostek, firm, instytucji, a czasem nawet i państw. Powszechna informatyzacja przynosi wiele korzyści, jednak związane jest z nią wiele zagrożeń. O sukcesie zastosowań informatyki decyduje zarówno postęp w rozwoju technologii informacyjnych, jak i ich bezpieczeństwo.
Bezpieczeństwo ma charakter interdyscyplinarny i dotyczy zagadnień informatycznych, organizacyjnych, ludzkich i otoczenia fizycznego systemów. Poza tym jest ono procesem wymagającym stałej troski i ciągłych zabiegów, zaś jego utrzymywanie jest zapewnione dzięki właściwemu zarządzaniu. Systemy zarządzania bezpieczeństwem są oparte na analizie ryzyka i muszą być wbudowane w ogólny system zarządzania instytucją.
Z problemem tym zmierzyli się twórcy międzynarodowego standardu ISO/IEC 15408 Common Criteria for Information Security Evaluation (Wspólne kryteria do oceny zabezpieczeń teleinformatycznych).