Kryteria oceny zabiezpieczeń w teleinformatyce
- Janusz Cendrowski,
- 01.09.1997
Kilka lat temu w środowiskach informatyków, pismach informatycznych i telekomunikacyjnych modne było mówienie i pisanie o 'pomarańczowej książce'. Po pewnym czasie popularność Trusted Computer System Evaluation Criteria - bo tak brzmi jej pełna nazwa - czy innych norm z nią związanych i zebranych w tzw. tęczowej serii jakby minęła.
Kilka lat temu w środowiskach informatyków, pismach informatycznych i telekomunikacyjnych modne było mówienie i pisanie o 'pomarańczowej książce'. Po pewnym czasie popularność Trusted Computer System Evaluation Criteria - bo tak brzmi jej pełna nazwa - czy innych norm z nią związanych i zebranych w tzw. tęczowej serii jakby minęła.
Obecnie modne jest bowiem pisanie i mówienie o włamaniach do sieci rozległych, wykorzystujących słabości protokołu TCP/IP lub istniejących „dziur” w systemach operacyjnych. Szczególnie popularne jest reklamowanie zabezpieczeń sieciowych, czyli „ścian ogniowych”, jak tłumaczony jest angielski termin firewall. Czy wobec tego kryteria oceny zabezpieczeń systemów teleinformatycznych (TI) - do tej grupy norm należą TCSEC czy ITSEC - straciły na ważności? Stanowczo, nie. Fakt, że mało osób w Polsce dziś o nich mówi, świadczy o określonych praktycznych trudnościach w realizacji ocen systemów i produktów według tych kryteriów.
Trzeba podkreślić, że kryteria oceny zabezpieczenia systemów i produktów teleinformatycznych interesują zarówno konstruktorów oprogramowania i sprzętu teleinformatycznego, jak też laboratoria badawcze i inne instytucje oceniające. Tym niemniej, gdy sprzedawca promuje towar jako należący do klasy C2 lub poziomu E2 i klasy F-C2 z siłą mechanizmów zabezpieczających średnią, to potencjalny klient powinien wiedzieć, co te klasy, poziomy i siła mechanizmów w praktyce oznaczają. Istotne są kryteria Information Technology Security Evaluation Criteria (ITSEC), według których podaje się ocenie i certyfikacji coraz więcej produktów i systemów teleinformatycznych w Europie.
Rola Kryteriów Oceny Zabezpieczeń Systemów i Produktów
W krajach rozwiniętych wypracowano cykl kompleksowego zabezpieczania systemów teleinformatycznych. Na początku należy odpowiedzieć na pytanie: „CO musimy chronić i DLACZEGO”. Przez „CO” rozumiemy określenie naszych zasobów informacyjnych i materialnych ,których utrata, ujawnienie, modyfikacja, zniszczenie i inne nieprzyjemne zjawiska są nie do przyjęcia. Aspekt „CO” najskrupulatniej rozpatrują świadomi zagrożeń (np. konkurencji) właściciele firm prywatnych. Urzędników i menedżerów państwowych interesuje przede wszystkim aspekt „DLACZEGO”. Odpowiedź na to pytanie zawarta jest w przepisach prawnych. Należy coś chronić, bo tak stanowią przepisy o ochronie danych klasyfikowanych (tajemnica państwowa i służbowa), personalnych, bankowych, skarbowych, wrażliwych, zastrzeżonych itd.
Odpowiedź na pytanie: „CO” i „DLACZEGO” pozwala na dokonanie analizy zagrożeń i ryzyka, konstruowanie założeń polityki zabezpieczeń . Na szczeblu państwowym odpowiedzi na te pytania są formalizowane w postaci odpowiednich zapisów w ustawach, np. w amerykańskiej Computer Security Act.
Jasność w kwestii „CO” i „DLACZEGO umożliwia odpowiedź na pytanie JAK?
Po pierwsze, mamy tu do czynienia z rozwojem metod, mechanizmów i technik kryptograficznych:
- w specjalnie powołanych do tego instytucjach rządowych (kryptografia państwowa) - np. opracowanie i zaproponowanie jako standard algorytmu Skipjack przez amerykańską NSA
- w ośrodkach naukowych lub laboratoriach firm prywatnych (kryptografia cywilna) - np. opracowanie standardu szyfrowania DES przez firmę IBM, ogłoszenie algorytmu RSA przez Rivesta, Shamira i Adlemana.
Dalej lokują się producenci wytwarzający systemy, urządzenia i oprogramowanie, implementujący teoretyczne metody i techniki, w szczególności kryptograficzne. Ostatni są użytkownicy, kupujący i wdrażający środki techniczne ochrony informacji oraz uzupełniający je metodami administracyjno-prawnymi i metodami ochrony fizycznej.
Trzecim etapem zabezpieczenia systemów TI jest ocena tego, co wymyślono, skonstruowano, wyprodukowano i wdrożono do eksploatacji. Jest to odpowiedź na pytanie: „CZY NAPRAWDĘ ZABEZPIECZONO” zasoby informacyjne, materialne i kadrowe? Fakt wydania pieniędzy nie stanowi przecież gwarancji sukcesu!