Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Common Criteria szerinti értékelések lehetőségei Magyarországon

KiadtaEndre Barta Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "Common Criteria szerinti értékelések lehetőségei Magyarországon"— Előadás másolata:

1 Common Criteria szerinti értékelések lehetőségei Magyarországon
Krasznay Csaba

2 Tartalom Mi az a Common Criteria? Miért jó a gyártónak és a vevőnek?
Lehetőségek Magyarországon

3 Napjaink kihívásai A vásárlók egyre több, IT biztonsághoz szükséges eszközhöz férnek hozzá, melyek különböző képességekkel rendelkeznek. A vásárlóknak dönteniük kell, hogy milyen eszközök alkalmasak informatikai rendszerük kielégítő védelmére. Hatás: a termékek kiválasztása befolyásolja az egész informatikai rendszer biztonságát.

4 Alapok A biztonságos rendszerek építése tehát függ a következőktől:
Jól meghatározott IT biztonsági követelmények és specifikációk Tulajdonképpen milyen biztonsági funkciókat is akarunk? Minőségi biztonsági mérőszámot és megfelelő tesztelést, értékelést, felmérést kell alkalmazni Biztosítékot akarunk arra, hogy amit kapunk, az tényleg az, amit kértünk.

5 Mi a CC? Nemzetközileg elfogadott keretrendszer az IT biztonság területén Közös struktúra és nyelv a termékek/rendszerek IT biztonsági követelményeinek kifejezésére Szabványos IT biztonsági követelmény összetevők és csomagok gyűjteménye Nemzetközileg elfogadott értékelési módszertan, besorolási rendszer ISO szabvány (ISO/IEC 15408)

6 Mit fed le a CC? Olyan IT rendszerek és termékek biztonsági tulajdonságainak a specifikációja, melyek a következőket valósítják meg: confidentiality: bizalmasság, integrity: sértetlenség, availability: rendelkezésre állás. Független értékelések eredményeinek az összehasonlíthatósága Hardverben, szoftverben és förmverben implementált védelmi intézkedésekre vonatkoztatható technológia-független a fejlesztő által kívánt kombinációk határozhatók meg

7 Mit nem fed le a Common Criteria?
A személyi és fizikai biztonsági intézkedések implementációjának vizsgálatát Szervezeti biztonsági intézkedések vizsgálatát A CC felhasználását adminisztratív, jogi, eljárásbeli szabályok tanúsítási és akkreditálási eljárások kölcsönös elfogadási megállapodások Kriptográfiai algoritmusok leírását

8 Viszonya más biztonsági szabványokhoz
CobiT Összetett IT rendszerek ISO/IEC 13335 IT Baseline Protection Manual ISO/IEC 27001 Egyszerű termékek ITSEC/CC FIPS 140 Technikai megközelítés Szervezeti megközelítés

9 Minősített terméktípusok
Hozzáférés-vezérlő eszközök és rendszerek (pl. SSO) Határvédelmi eszközök és rendszerek (pl. tűzfalak) Adatbázis-kezelők Adatvédelmi eszközök (pl. kriptográfiai titkosító rendszerek) Észlelő eszközök és rendszerek (pl. IDS) IC-k, intelligens kártyák, és ezekhez kapcsolódó rendszerek

10 Minősített terméktípusok
Kulcsmenedzsment rendszerek (pl. PKI rendszerek) Hálózati és hálózathoz kapcsolódó eszközök és rendszerek (pl. VPN rendszerek) Operációs rendszerek Elektronikus aláíró termékek Egyéb eszközök és rendszerek

11 CC-t egyezményesen elfogadó államok
Ausztrália Kanada Franciaország Németország Japán Koreai Köztársaság Hollandia Norvégia Spanyolország USA UK Új-Zéland Ausztria Csehország Dánia Finnország Görögország Magyarország India Izrael Olaszország Szingapúr Svédország Törökország

12 Jelenlegi állapot Jelenlegi verzió: CC version 2.3, 2005. augusztustól
Készül a CC 3.0, mely jelentős változásokat fog tartalmazni Szabványként elfogadva a CC v. 2.3: ISO/IEC 15408:2005, szeptember Jövő: 2006. szeptemberében 413 tanúsított termék volt, csak az USA-ban 139 termék állt tanúsítás alatt  egyre nagyobb a vásárlói igény a biztonságos termékekre, ezért egyre több termék pályázik a CC minősítésre

13 Tanúsítványok száma

14 A CC minősítés előnyei A gyártónak A vásárlóknak
Piaci előny a versenytársakhoz képest Megkövetelt biztonságos és jól tervezett fejlesztési eljárások, megoldások Az ITBN-t támogató cégek döntő többségének van CC minősített terméke A vásárlóknak Tanúsított biztonság Egyértelmű leírás arról, hogy ez milyen peremfeltételek mellett teljesül

15 Egyértelmű leírás? Általában a garanciális szinteket ismerik
EAL 1-7 Ez a fejlesztés biztonságára vonatkozik, pl. volt megfelelő dokumentáció, verziókövetés, tesztelés stb. Általában EAL 3 és 4 az elfogadható szint Emellett fontos elolvasni a Biztonsági Előirányzatot (Security Target – ST) is Ebben van részletesen leírva, hogy a termék milyen környezetben, milyen feltételezések mellett tekinthető biztonságosnak És milyen biztonsági funkcióit vizsgálták meg

16 CC minősítések gyakorlati haszna
100%-os biztonság nincs, a tanúsítás mégis egyfajta garancia arra, hogy a terméket megfelelően tervezték, kivitelezték, tesztelték. Egyértelmű leírás arról, hogy milyen körülmények között biztonságos a termék Ezáltal nagy segítséget nyújt ahhoz, hogy a célnak megfelelő megoldást válassza ki a megrendelő, így közelíthessen a teljes biztonság elérése felé

17 A CC előnyei a hazai vállalkozásoknak
A CC minősítés a fejlett informatikai kultúrájú országokban banki és kormányzati intézményeknél alapfeltétel Több hazai vállalkozás visszajelzéséből tudjuk, hogy a termékbeszerzési döntésnél fontos szempont a tanúsítvány megléte A termék marketingértékét is növeli a CC tanúsítvány megszerzése Növekedne az IT biztonsági kultúra Magyarországon Az elektronikus közszolgáltatások biztonságos megvalósításában kulcsszerepet játszhat a CC, melyben a BME IT2 az egyik megkerülhetetlen szakmai műhellyé kíván válni.

18 A tanúsítás megszerzése
Biztonsági célok Biztonsági követelm. (PP) TOE TOE Ideiglenes Értékelési Biztonsági Tanúsított Fejlesztés specifikáció Értékelése értékelési eredmények értékelési (Termék) (ST) eredmény eredmény tanúsítása TOE Megvaló-sítás Értékelési Szempontok (CC)

19 A tanúsítás megszerzése
Az IT biztonsági termékek kiértékelését a CC keretei között egy minősítési séma (közmegegyezésen alapuló) szerint akkreditált laboratóriumok végzik. A laboratóriumi kiértékelő munka a Minősítő Hatóság felügyeletével történik. A Minősítő Hatóság a kiértékelés sikeres befejezésekor adja ki a tanúsítványt. Az USA-ban a sémát „NIAP”-nak – National Information Assurance Partnership – nevezik. NIAP jóváhagyva az MRA –Mutual Recognition Arrangement- által

20 A tanúsítás megszerzése
Sokszor mondják, hogy a CC tanúsítvány megszerzése lassú és drága Jelenleg legalább 1 év és néhányszor tízmillió forint nagyságrendű összeg szükséges hozzá Ezt felismerték a szabványosítók A CC 3.0-ás változata lehetővé teszi a gyorsabb és olcsóbb értékeléseket

21 Lehetőségek Magyarországon
Magyarország tanúsítvány elfogadó ország, nincs saját sémája és belátható időn belül nem is lesz A hazai cégek külföldi séma alatt tudják megszerezni a tanúsítványt Középtávon létrejöhetnek magyar értékelő laboratóriumok, melyek külföldi séma alá tartoznak A BME-n a Nemzeti Kutatási és Technológiai Hivatal támogatásával létrejött IT biztonsági laboratórium célja, hogy segítse a hazai vállalkozásokat a tanúsítvány megszerzésében Középtávon bejegyzett értékelő laboratóriummá kívánunk válni

22 Lehetőségek Magyarországon
Jelenleg nincs CC tanúsított magyar termék A BME IT2 biztonsági laborjának jelenlegi CC-vel kapcsolatos projektjei: Navayo Technologies Zrt. SecBox felkészítése CC tanúsításra (elkészült a Biztonsági Előirányzat) BalaBit IT Security Kft. Zorp tűzfal felkészítése CC tanúsításra (a projekt októberben indul)

23 Összefoglalva Mindenképpen érdemes a gyártóknak CC minősítésen gondolkodnia Bizonyíték erre az, hogy a kiállítók túlnyomó többsége is forgalmaz CC minősített terméket A vásárlóknak pedig nagy segítség lehet a tervezési és beszerzési döntések meghozatalában a tanúsított biztonság

24 Köszönöm figyelmüket! Krasznay Csaba krasznay@ik.bme.hu
BME Információtechnológiai Innovációs és Tudásközpont

Letölteni ppt "Common Criteria szerinti értékelések lehetőségei Magyarországon"

Hasonló előadás

A szabványosítás és a szabvány fogalma, feladata

A szabványosítás és a szabvány fogalma, feladata
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
PIC number – szükséges bármilyen Erasmus + pályázathoz PKE: 94 96 44 939.

PIC number – szükséges bármilyen Erasmus + pályázathoz PKE:
Projekt vezetés és kontroll – Mi történik a gépházban?

Projekt vezetés és kontroll – Mi történik a gépházban?
Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.

Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.
Mobil e-ügyintézési rendszer kifejlesztése

Mobil e-ügyintézési rendszer kifejlesztése
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2010 Hewlett-Packard Development.

©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2010 Hewlett-Packard Development.
A MIBÉTS szerinti értékelőlaborok

A MIBÉTS szerinti értékelőlaborok
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.

1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Üdvözöljük Waldviertelben. következetesség kézimunka tapasztalat bölcsesség megbecsülés.

Üdvözöljük Waldviertelben. következetesség kézimunka tapasztalat bölcsesség megbecsülés.
EEgészség Program – Szakmai Napok N K T H – E S K I * 2004. március 30-31. Templar Partnership Company 1 eEgészség program „Egészségügyi Informatikai K+F.

EEgészség Program – Szakmai Napok N K T H – E S K I * március Templar Partnership Company 1 eEgészség program „Egészségügyi Informatikai K+F.
TŰZÁLLÓ KÁBELRENDSZEREK TANÚSÍTÁSA

TŰZÁLLÓ KÁBELRENDSZEREK TANÚSÍTÁSA
Mérőkamarás légifelvételek Internetes katalógusa MH Térképészeti Hivatal HM Térképészeti KHT.

Mérőkamarás légifelvételek Internetes katalógusa MH Térképészeti Hivatal HM Térképészeti KHT.
A Microsoft Windows Vista gazdasági hatásai Lehetőségek az ökoszisztéma számára Microsoft Innovációs Nap 2006. november 27. Komáromi Zoltán Ügyvezető igazgató.

A Microsoft Windows Vista gazdasági hatásai Lehetőségek az ökoszisztéma számára Microsoft Innovációs Nap november 27. Komáromi Zoltán Ügyvezető igazgató.
Megvalósíthatóság és költségelemzés Készítette: Horváth László Kádár Zsolt.

Megvalósíthatóság és költségelemzés Készítette: Horváth László Kádár Zsolt.
Urban Audit Az egységes városstatisztikai adatbázis.

Urban Audit Az egységes városstatisztikai adatbázis.
Szoftverminőség biztosítása

Szoftverminőség biztosítása

Hasonló előadás

Google Hirdetések