Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A MIBÉTS szerinti értékelőlaborok

Hasonló előadás


Az előadások a következő témára: "A MIBÉTS szerinti értékelőlaborok"— Előadás másolata:

1 A MIBÉTS szerinti értékelőlaborok
Krasznay Csaba BME Informatikai Központ

2 Tartalom Bevezetés Az angol példa Az amerikai példa A tajvani példa
Következtetések SWOT

3 Bevezetés A CCRA csatlakozással elfogadjuk a külföldön kiadott CC tanúsítványokat Célunk, hogy előbb-utóbb Magyarország is CC tanúsítvány kibocsátó országgá váljon Ehhez fontos lépés a saját nemzeti séma létrehozása, mely alapján a magyar értékelőlaborok felkészülhetnek a CC követelmények teljesítésére Konkrét akkreditációs követelmények azonban eddig nem jelentek meg, így a külföldi példákból kell kiindulni

4 Az angol példa A MIBÉT Séma az angol UK ITSec Scheme alapján alakult ki Az értékelőlaborokat ebben a sémában Commercial Evaluation Facility-nek (CLEF) hívják Akkreditációjuk a UKAS, a brit akkreditációs rendszer felelőssége

5 Az angol példa A megbízható működés alapfeltétele, hogy a labor csak a sémába tartozó értékeléssel foglalkozzon Ehhez önálló szakértői bázisra, önálló eszközökre és önálló munkakörnyezetre van szüksége A személyzetnek megfelelő képzettséggel kell rendelkeznie Ha az alapfeltételek teljesülnek, a labort az ISO 17025:2000 szabványnak megfelelően kell bevizsgáltatni

6 Minőségi előírások Az értékelő-szervezet legfontosabb szerepkörei a következők: műszaki irányító, minőségbiztosítási irányító, üzleti vezető, adminisztrációs felelős, biztonsági menedzser Az értékelést 2-3 fős csoportok végzik, a műszaki irányító felügyelete alatt

7 Biztonsági előírások A CLEF-nek biztosítania kell az üzleti információk védelmét, amit a felügyelőszerv vizsgál Ennek részleteit egy Biztonsági Kézikönyvben kell leírni Ez foglalkozik a fizikai, a személyzeti és az információs biztonsággal is

8 Felkészültség A jó értékelő ismeri az informatikai biztonság alapelveit, az értékelés eljárásait, és ezeket alkalmazni is tudja Az értékelő lehet gyakornok vagy minősített értékelő Ahhoz, hogy valaki értékelő lehessen, el kell végeznie egy tanfolyamot Ha rendelkezésre áll a megfelelő szakmai stáb, egy mintaértékelést kell végrehajtani

9 Akkreditáció Az értékelő-szervezet 0. vagy 1. szintű akkreditációval rendelkezhet Az 1. szintű akkreditáció telephelyen kívüli vizsgálatra is feljogosít Az akkreditáció folyamata tartalmazza az értékelési szempontok és a módszertan felhasználásának vizsgálatát Ha a UKAS mindent rendben talál, egy 3-4 hónapos mintaértékelést kell végrehajtani

10 Mintaértékelés A mintaértékelés során vizsgálják az egyéni képességeket és az adminisztrációs és menedzsment eljárásokat A TOE egy valós termék, amit a CLEF is javasolhat A tipikus mintaértékelésben 3-4 gyakornok értékelő vesz részt Az értékelés során elsősorban az értékelőket vizsgálják, és nem a konkrét terméket

11 Oktatás Az értékelői tanfolyam 3 modulból áll:
IT biztonsági elvek és értékelése, a séma bemutatása Biztonsági követelmények, fejlesztési reprezentációk, funkcionális tesztelés, fejlesztési környezet, működési környezet, sérülékenység vizsgálat, behatolási tesztelés, garancia fenntartása Az értékelés lefolytatása és menedzselése Az értékelő labor is tarthat előadásokat, ha akkreditáltatja az oktatást

12 Külföldi példák - USA Az IT biztonsági értékelési rendszerek szülőhazája az Egyesült Államok A fontos állami szerveknél elvárás, hogy minden olyan informatikai rendszer vagy termék, mely érzékeny adatokat kezel, rendelkezzen CC minősítéssel Az egyik első tanúsítvány-kiállító az USA-ban a SAIC CCTL

13 Külföldi példák - USA A SAIC CCTL akkreditációja a minőségirányítási kézikönyv benyújtásával kezdődött Ezek után vizsgálták a munkatársak kompetenciáját A vizsgálat egy éven át folyt, aminek végén EAL1-4 értékelésekre kaptak felhatalmazást Az első két évben 4 értékelést folytattak

14 Külföldi példák - USA 2002-ben 11 értékelő dolgozott főállásban a cégnél Őket a cég más osztályain dolgozó kollégák segítik Szükség esetén más munkatársakat is bevonnak A munkához egy önálló épület áll rendelkezésükre

15 Külföldi példák - Tajvan
A tajvani kormányzat a jelentős tajvani gyártók nyomására kezdett el foglalkozni a CC bevezetésével A séma és a labor kialakításával a Nemzeti Cheng Kung Egyetemet bízták meg A projekt összesen 4 millió dollár költségvetéssel gazdálkodik 15 szakember tanul CC kibocsátó országokban

16 Külföldi példák - Tajvan
Céljaik: A tajvani IT termékek versenyképességének növelése Az értékelési idő lecsökkentése azzal, hogy hazai labor végzi a munkát A termékek minőségének javítása

17 Következtetések Egy megfelelően felkészült értékelőlabor rendelkezik:
felkészült értékelőkkel (3-5 fő), bevonható szakértőkkel, bármilyen területen (20-30 fő), a megfelelő hátteret biztosító környezettel (adminisztráció, infrastruktúra, stb.), pénzügyi függetlenséggel,

18 Következtetések oktatási kapacitással, ISO 17025:2000, ISO 9001: 2000 és BS :2002 megfeleléssel, A MIBÉTS, és ezen keresztül a CC sikeres adaptációja elképzelhetetlen hatékony állami szerepvállalás nélkül

19 SWOT Erősségek: Gyengeségek:
világviszonylatban is kimagasló oktatási tematika, kimagasló értékelési gyakorlat több informatikai biztonsági témakörben Gyengeségek: nincs kereslet Magyarországon az IT biztonsági tanúsításokra, az értékelés túlságosan drága és sok időt vesz igénybe

20 SWOT Lehetőségek: Veszélyek:
a Magyarországon fejlesztő multik figyelmének felkeltése, versenyelőny a többi kelet-közép-európai országgal szemben Veszélyek: a CC tanúsítvány kibocsátó országok nem érdekeltek abban, hogy a kis országok is rendelkezzenek ezzel a tudással, az állami szervek aktív részvétele és figyelme nélkül a séma csendben kimúlhat

21 Köszönöm a figyelmet!


Letölteni ppt "A MIBÉTS szerinti értékelőlaborok"

Hasonló előadás


Google Hirdetések