Systemy już funkcjonujące są kontrolowane w ramach audytu, przeprowadzanego przez pracowników własnych lub przez wyspecjalizowane firmy audytorskie.

Oceny produktów „z półki” lub systemów czy podsystemów jeszcze nie wdrożonych są prowadzone przez państwowe bądź prywatne laboratoria badawcze, oferujące usługi zarówno dla sektora państwowego, jak i dla prywatnego na zasadzie komercyjnej. Laboratoria te badają sprzęt bądź oprogramowanie zabezpieczające, systemy operacyjne lub podsystemy zabezpieczeń systemów teleinformatycznych. Badania odbywają się zgodnie z kryteriami ogłoszonymi (a więc powszechnie znanymi) jako norma narodowa (amerykańska TCSEC, kanadyjska CTCSEC, angielska UKEL) lub międzynarodowa (europejska ITSEC). Ich efektem są oceny:

• w USA przypisanie produktu do klasy D, C1, C2, B1, B2, B3, A1;

• w Europie do poziomu od E0 do E6, opcjonalnie przyznanie jednej z 10 klas funkcjonalności i oszacowanie siły mechanizmów jako podstawowa, średnia lub wysoka.

Laboratoria oficjalnie nie przyznają jednak tych ocen. Czynią to tzw. jednostki certyfikujące - National Certification Bodies - wydając certyfikaty, mające podwójne znaczenie:

• potwierdzają, że obiekt skierowany do badania uzyskał ocenę od laboratorium badawczego

• potwierdzają, że laboratorium poprawnie zastosowały kryteria.

W rzeczywistości jednostki certyfikujące, funkcjonujące w takich instytucjach, jak: National Computer Security Center (NCSC) w USA, Bundesamt fur Sicherheit in der Informationstechnik (BSI) w Niemczech, Head of Certification Body (HCB) czy UK IT Security Evaluation and Certification Scheme w Wielkiej Brytanii, korzystają z różnych laboratoriów - własnych i innych. Zawsze jednak musi być zachowana bezstronność i niezależność ich ocen.

Co jest oceniane

W Wielkiej Brytanii, Francji, Niemczech i Holandii obowiązują kryteria zwane Information Technlogy Security Evaluation Criteria (1). W kontekście zjednoczenia z Unią Europejską kryteria ITSEC są warte szczególnej uwagi, gdyż - być może - zostaną uznane jako polska norma.

Ciekawym zagadnieniem jest, co według ITSEC jest badane. Oszacowanie dotyczy wielu aspektów obiektu podlegającego ocenie (OPO), ale ogólnie proces ten można podzielić na 3 etapy.

Funkcjonalność

Oceniany jest podstawowy dokument, w którym wnioskodawca określa funkcjonalność OPO, nazywany Specyfikacją Zabezpieczenia (SZ) (security target). Jego zawartość zależy od tego, czy oceniany obiekt jest produktem (urządzenie, program, system operacyjny), czy też systemem, ale również od żądanego przez wnioskodawcę poziomu oceny. Elementami specyfikacji zabezpieczeń muszą być:

1. definicje celów zabezpieczenia;

2. opisy zagrożeń dla tych celów, potencjalnych - jeśli SZ dotyczy produktu - lub rzeczywistych - jeśli SZ dotyczy systemu;

3. opisy funkcji realizujących zabezpieczenie - w formie pełnych definicji sporządzonych przez Wnioskodawcę bądź w formie wskazania na predefiniowane klasy opisane w ITSEC;

4. opisy mechanizmów zabezpieczeń, z których korzystają funkcje realizujące zabezpieczenie OPO;

5. wniosek o przyznanie OPO określonego poziomu oceny.

Ocena funkcjonalności sprowadza się więc do oszacowania wymagań stawianych przed ocenianym obiektem przez konstruktora.

Jeśli oceniany obiekt jest systemem, to Specyfikacja Zabezpieczenia musi zawierać Politykę Zabezpieczenia Systemu, obejmują regulacje prawne, zasady i praktyczne procedury regulujące, w jaki sposób informacja wrażliwa i pozostałe zasoby są zarządzane, zabezpieczane i dystrybuowane wewnątrz tego systemu.