Kryteria oceny zabiezpieczeń w teleinformatyce
- Janusz Cendrowski,
- 01.09.1997
Obowiązki wnioskodawcy
Podstawowym obowiązkiem wnioskodawcy jest dostarczenie (na własny koszt) obiektu i koniecznej dokumentacji oraz narzędzi testujących. Dodatkowym - współpraca z laboratorium badawczym i jednostką certyfikującą. Polega ona na nieodpłatnym dostarczaniu dodatkowych dokumentów, sprzętu, oprogramowania i innych narzędzi potrzebnych do wydania pełnej opinii. Praktycznie, w procesie uzyskiwania certyfikatów np. dla systemów operacyjnych, producenci dostarczają kolejne wersje w miarę jak personel laboratoriów badawczych wykrywa w tych systemach błędy i słabe miejsca w zabezpieczeniu (podatność na zagrożenia).
Zakres i szczegółowość dokumentacji i dodatkowych elementów (np. narzędzi używanych do testowania obiektu) zależy od wnioskowanego poziomu oceny. Pełną informację na ten temat zawiera norma ITSEC. Przykładowo będzie opisany zakres dokumentacji dla poziomu E2. Kombinowany z klasą funkcji F-C2 jest ekwiwalentny klasie C2 według TCSEC.
Wnioskodawca dla poziomu E2 jest zobowiązany dostarczyć:
informacje dotyczące procesu badawczo-rozwojowego:
- specyfikację zabezpieczeń, w przypadku podsystemu, zawierającą opis Polityki Systemowego Zabezpieczenia;
nieformalny opis architektury obiektu;
nieformalny opis projektu szczegółowego;
dokumentację testowania;
bibliotekę programów testujących i narzędzi używanych do testowania obiektu;
- listę konfiguracyjną określającą wersję obiektu;
informację o systemie kontroli konfiguracji;
informację o zabezpieczeniu środowiska badawczo-rozwojowego;
- dokumentację administratora;
dokumentację użytkownika.
Praktyka stosowania kryteriów
Na pewno interesująca byłaby odpowiedź na pytanie, jakie produkty i systemy uzyskały certyfikaty według znanych kryteriów. Na podstawie ubiegłorocznych publikacji tylko jeden system operacyjny w USA uzyskał klasę B3 - MLS-XTS-300 Version STOP 4.1a, i jeden klasę B2 - MLS-Trusted XENIX Version 2.0, 3.0 i 4.0 (2). Dwa komponenty sieciowe: Boeing MLS LAN ver 2.1 i Gemini Trusted Network Processor mają klasę A1. Najwyżej notowane na tej liście systemy baz danych - Informix OnLine/Secure Release 4.1.5.0 , 5.0 oraz Trusted Oracle7 Release7.0.13 i 7.0.13.1 osiągnęły „dopiero” klasę B1. Oceny wg Orange Book.
Natomiast w Europie, istniejący od 1990 r. niemiecki BSI wydał do ubiegłego roku (3) niewiele ponad 20 certyfikatów. Najwyższy poziom oceny - E4 - uzyskały 3 specjalizowane systemy operacyjne dla kart elektronicznych (smart card) w tym firmy Siemens-Nixdorf Informationssysteme AG. Tej samej firmy system operacyjny BS2000-SC Version 10.0 dla maszyn typu mainframe uzyskał Q3,F2 ekwiwalentne poziomowi E3 i klasie funkcjonalności F-C2 wg ITSEC. Systemy operacyjne lub podsystemy zabezpieczające dla PC nie wyszły poza poziom E2, klasę F-C2 i siłę mechanizmów średnią!