Kilka lat temu w środowiskach informatyków, pismach informatycznych i telekomunikacyjnych modne było mówienie i pisanie o 'pomarańczowej książce'. Po pewnym czasie popularność Trusted Computer System Evaluation Criteria - bo tak brzmi jej pełna nazwa - czy innych norm z nią związanych i zebranych w tzw. tęczowej serii jakby minęła.

Obecnie modne jest bowiem pisanie i mówienie o włamaniach do sieci rozległych, wykorzystujących słabości protokołu TCP/IP lub istniejących „dziur” w systemach operacyjnych. Szczególnie popularne jest reklamowanie zabezpieczeń sieciowych, czyli „ścian ogniowych”, jak tłumaczony jest angielski termin firewall. Czy wobec tego kryteria oceny zabezpieczeń systemów teleinformatycznych (TI) - do tej grupy norm należą TCSEC czy ITSEC - straciły na ważności? Stanowczo, nie. Fakt, że mało osób w Polsce dziś o nich mówi, świadczy o określonych praktycznych trudnościach w realizacji ocen systemów i produktów według tych kryteriów.

Trzeba podkreślić, że kryteria oceny zabezpieczenia systemów i produktów teleinformatycznych interesują zarówno konstruktorów oprogramowania i sprzętu teleinformatycznego, jak też laboratoria badawcze i inne instytucje oceniające. Tym niemniej, gdy sprzedawca promuje towar jako należący do klasy C2 lub poziomu E2 i klasy F-C2 z siłą mechanizmów zabezpieczających średnią, to potencjalny klient powinien wiedzieć, co te klasy, poziomy i siła mechanizmów w praktyce oznaczają. Istotne są kryteria Information Technology Security Evaluation Criteria (ITSEC), według których podaje się ocenie i certyfikacji coraz więcej produktów i systemów teleinformatycznych w Europie.

Rola Kryteriów Oceny Zabezpieczeń Systemów i Produktów

W krajach rozwiniętych wypracowano cykl kompleksowego zabezpieczania systemów teleinformatycznych. Na początku należy odpowiedzieć na pytanie: „CO musimy chronić i DLACZEGO”. Przez „CO” rozumiemy określenie naszych zasobów informacyjnych i materialnych ,których utrata, ujawnienie, modyfikacja, zniszczenie i inne nieprzyjemne zjawiska są nie do przyjęcia. Aspekt „CO” najskrupulatniej rozpatrują świadomi zagrożeń (np. konkurencji) właściciele firm prywatnych. Urzędników i menedżerów państwowych interesuje przede wszystkim aspekt „DLACZEGO”. Odpowiedź na to pytanie zawarta jest w przepisach prawnych. Należy coś chronić, bo tak stanowią przepisy o ochronie danych klasyfikowanych (tajemnica państwowa i służbowa), personalnych, bankowych, skarbowych, wrażliwych, zastrzeżonych itd.

Odpowiedź na pytanie: „CO” i „DLACZEGO” pozwala na dokonanie analizy zagrożeń i ryzyka, konstruowanie założeń polityki zabezpieczeń . Na szczeblu państwowym odpowiedzi na te pytania są formalizowane w postaci odpowiednich zapisów w ustawach, np. w amerykańskiej Computer Security Act.

Jasność w kwestii „CO” i „DLACZEGO umożliwia odpowiedź na pytanie JAK?

Po pierwsze, mamy tu do czynienia z rozwojem metod, mechanizmów i technik kryptograficznych:

• w specjalnie powołanych do tego instytucjach rządowych (kryptografia państwowa) - np. opracowanie i zaproponowanie jako standard algorytmu Skipjack przez amerykańską NSA

• w ośrodkach naukowych lub laboratoriach firm prywatnych (kryptografia cywilna) - np. opracowanie standardu szyfrowania DES przez firmę IBM, ogłoszenie algorytmu RSA przez Rivesta, Shamira i Adlemana.

Jednocześnie organizacje normalizacyjne - narodowe (np. ANSI, BSI, FIPS, DIN) i międzynarodowe (ISO/IEC, RFC) - ogłaszają standardy, dotyczące zarówno technik kryptograficznych, jak i niekryptograficznych metod zabezpieczeń - przede wszystkim wytycznych w zakresie realizacji polityki zabezpieczeń, a więc stosowania środków ochrony technicznej (w szczególności realizujących mechanizmy kryptograficzne), fizycznej i administracyjnej. Podobne wytyczne tworzą i ogłaszają dla podległych sobie struktur organizacyjnych instytucje państwowe i duże prywatne firmy.

Dalej lokują się producenci wytwarzający systemy, urządzenia i oprogramowanie, implementujący teoretyczne metody i techniki, w szczególności kryptograficzne. Ostatni są użytkownicy, kupujący i wdrażający środki techniczne ochrony informacji oraz uzupełniający je metodami administracyjno-prawnymi i metodami ochrony fizycznej.

Trzecim etapem zabezpieczenia systemów TI jest ocena tego, co wymyślono, skonstruowano, wyprodukowano i wdrożono do eksploatacji. Jest to odpowiedź na pytanie: „CZY NAPRAWDĘ ZABEZPIECZONO” zasoby informacyjne, materialne i kadrowe? Fakt wydania pieniędzy nie stanowi przecież gwarancji sukcesu!