W Wielkiej Brytanii lista certyfikowanych produktów i systemów opublikowana w październiku ub.r. zawierała 70 pozycji, w tym 32 w trakcie badań. Najwyższą ocenę - poziom E4 - uzyskał system operacyjny IBM PR/SM ES/9000, natomiast Windows NT Workstation 3.51 był badany na poziom E2.

Twórcy kryteriów ITSEC zadbali o dużą zgodność określonych ocen ITSEC z klasami TCSEC (tablica 1).

Należy jednak zauważyć, że kryteria ITSEC umożliwiają bardziej elastyczne formułowanie ocen np. możliwe jest połączenie poziomu E3 z klasą F-C2, a to nie ma bezpośredniego odpowiednika w „pomarańczowej książce”.

Zachodzi potrzeba powołania instytucji dokonującej badań i certyfikacji produktów i systemów teleinformatycznych w Polsce lub rozszerzenia zakresu działania instytucji już istniejącej o takie badania i certyfikację. Instytucja ta powinna - wzorem analogicznych instytucji funkcjonujących w krajach NATO - odpowiadać za całokształt spraw związanych z zabezpieczeniem systemów teleinformacyjnych w administracji państwowej, państwowych instytucjach finansowych i gospodarczych. Niewątpliwie nie wystarczy podjęcie decyzji administracyjnej, należy skierować na to przedsięwzięcie realne środki finansowe, techniczne i kadrowe.

Eksploatowanie zabezpieczonych systemów TI

Zakup wysoko ocenionego i certyfikowanego produktu, podsystemu zabezpieczającego system teleinformatyczny lub systemu posiadającego zintegrowane funkcje zabezpieczające to tylko połowa sukcesu. Produkty działające w określonym systemie TI, a tym bardziej całe systemy, muszą być prawidłowo eksploatowane. Dlatego instytucje, takie jak NCSC (wspomagany przez NIST w zakresie systemów komercyjnych), BSI czy HCB świadczą usługi w zakresie doradztwa i oceny polityki zabezpieczeń systemów eksploatowanych. Oprócz tego personel administrujący zabezpieczonymi systemami TI, szczególnie w instytucjach państwowymi, musi posiadać szczególne walory nie tylko merytoryczne, ale i etyczne, co jest potwierdzone przyznaniem odpowiednich formalnych uprawnień.

Wspominając o instytucjach państwowych, należy podkreślić, że uzyskanie certyfikatu wg normy ITSEC nie jest warunkiem wystarczającym do eksploatacji w nich systemów TI. Organy administracji państwowej, duże gospodarcze i finansowe instytucje państwowe gromadzą, przetwarzają i przesyłają informacje ważne dla interesu państwa, nazywane u nas tajemnicą państwowa i służbową, na Zachodzie - informacja klasyfikowaną. Dlatego podsystem zabezpieczający system TI musi mieć dodatkowe cechy (np. odpowiednio mocną kryptografię), co jest potwierdzone tzw. dopuszczeniem (akredytacją).

Literatura:

(1) InformationTechnology Security Evaluation Criteria ver 1.2, Commission of the European Communities Directoriate XIII/F 1991.

(2) An Update of the Evaluated Products List. Data Security Letter Nr. 70, April 1996.

(3) Germany's Certified Information Technology Products. Data Security Letter Nr. 71, May 1996.

(4) Latest Information from the United Kingdom (UK) Certified Products List. Data Security Letter Nr. 77, December 1996.

<hr size=1 noshade>Dr inż. Janusz Cendrowski członek Normalizacyjnej Komisji Problemowej 182 „Zabezpieczenie systemów i ochrona danych” w Polskim Komitecie Normalizacyjnym