Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Magyar Bankszövetség 2003.11.20. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20.

Hasonló előadás


Az előadások a következő témára: "Magyar Bankszövetség 2003.11.20. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20."— Előadás másolata:

1 Magyar Bankszövetség 2003.11.20. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20.

2 Magyar Bankszövetség 2003.11.20. Miért szükséges a nemzeti séma kialakítása? (1) MITS IBR középtávú feladatainak beindításához szükséges rövidtávú kulcsintézkedések: 4.2.: Az informatika termékek és rendszerek biztonsági értékelése és tanúsítása hazai rendszerének kialakítása. 1)Módszertan kidolgozása, adaptálása az informatikai biztonsági kiértékelés eljárásaihoz, 2)Vizsgáló laboratóriumok felállításának támogatása, 3)Tanúsító szervezet felállítása. Mert kulcsintézkedésként beterveztük.

3 Magyar Bankszövetség 2003.11.20. Miért szükséges a nemzeti séma kialakítása? (2) 1214/2002. (XII.28.) sz. Korm. határozat: “ Ki kell alakítani az informatikai alkalmazások minőségének és biztonságának hiteles tanúsítási rendjét, az ehhez szükséges jogszabályok megalkotásával és intézményrendszer felállításával” határidő: 2003.10.15 Mert a döntéshozók elrendelték.

4 Magyar Bankszövetség 2003.11.20. Miért szükséges a nemzeti séma kialakítása? (3) Csatlakoztunk a CCRA egyezményhez /2003. 09.19.-én/ Két különböző résztvevői szátusz: tanúsítvány használó (elfogadó) /19/ tanúsítvány jóváhagyó (kibocsátó) /6/ Tanúsítványt jóváhagyó státusz feltételei: állami tanúsító szervezet (EN 45011), kereskedelmi értékelő szervezetek (EN 45001) nemzeti séma (CC, CEM), nemzeti séma értékelése 2 jóváhagyó tagállammal Mert a CCRA nemzetközi közössége elvárja tőlünk.

5 Magyar Bankszövetség 2003.11.20. Üzleti / államigazgatási folyamatok IT rendszerek IT termékek „Technológia szempontú” értékelések MSZ ISO/IEC 15408 (Common Criteria) „Menedzsment szempontú” értékelések MSZ ISO/IEC 17799, BS7799 2. rész, BSI baseline, Cobit ISO/IEC TR 13335, ISO 9000,.../ Működtetés Környezet Mire vonatkozik a nemzeti séma /MIBÉTS/? Felhasználók

6 Magyar Bankszövetség 2003.11.20. A MIBÉTS séma céljai (1) Rövidtávú MIBÉTS célok: 1. Jogi és szervezeti keretek kialakítása tanúsító szervezet, értékelő szervezetek, szakértők. 2. Az informatikai biztonsági értékelések beindítása központi felügyelet és támogatás, egységes módszertan.

7 Magyar Bankszövetség 2003.11.20. A MIBÉTS séma céljai (2) Középtávú MIBÉTS célok (3-4 év): 1. Készítse elő a CC tanúsítvány jóváhagyó státusz megszerzését séma szervezet kialakítása, fejlesztése, a Közös értékelési módszertan (CEM) alkalmazása, sikeres biztonsági értékelések gyakorlata. 2. A séma hatókörének kiterjesztése: tanúsítás gondozás környezet (fizikai, személyi, eljárásrendi)

8 Magyar Bankszövetség 2003.11.20. A hazai séma technológia szempontú biztonsági értékelésének és tanúsításának céljai A CCRA megállapodás nemzeti sémákra vonatkozó minimális elvárásainak kielégítése (ezzel elősegítve Magyarország későbbi, "tanúsítvány jóváhagyó” résztvevő státuszának megszerzését). A minimális nemzetközi elvárások kiegészítése és pontosítása (a legnagyobb gyakorlattal és múlttal rendelkező nemzeti sémák tanulmányozásával). Egyszerűsített, költség-hatékony módszer kidolgozása (a CC és a CEM hazai adaptálása első lépéseként).

9 Magyar Bankszövetség 2003.11.20. Az értékelési és tanúsítási módszertan alapelvei SZAKSZERŰSÉG - az értékelési tevékenység alkalmas-e a megcélzott garanciaszint eléréséhez? PÁRTATLANSÁG - van-e érdekeltség az eredményben? OBJEKTIVITÁS - minimalizálni a szubjektív döntéseket! MEGISMÉTELHETŐSÉG - ugyanarra az eredményre jutna az értékelő később is? ÚJRAELŐÁLLÍTHATÓSÁG - ugyanarra az eredményre jutna egy másik értékelő is?

10 Magyar Bankszövetség 2003.11.20. A MIBÉTS séma szereplői FEJLESZTŐ - előállítja az értékelés tárgyát MEGBÍZÓ - fizet az értékelésért ÉRTÉKELŐ - végrehajtja az értékelést TANÚSÍTÓ - felügyeli az értékelést, tanúsítványt bocsát ki (megfelelő eredmények esetén) FELHASZNÁLÓ - az egész séma az ő bizalmát és informáltságát kívánja erősíteni!

11 Magyar Bankszövetség 2003.11.20. Miért van szükség a MIBÉTS sémára? Az informatikai biztonságot tudatos, ellenséges emberi cselekedetek ellen is garantálni kell (különböző kikerülési, lerontási, hatástalanítási és feltörési kísérletek ellenére) Robbanásszerűen fejlődő, állandóan változó szakterület (a módszert egységesen, a fejlődéssel is lépést tartva kell alkalmazni) A gyors fejlődést éles piaci verseny is kíséri (kellően le nem tesztelve, biztonsági hibákkal és más sebezhetőségekkel, illetve univerzálisan konfigurálható módon kerülnek termékek a piacra) Mert szakmailag indokolt!

12 Magyar Bankszövetség 2003.11.20. Miért van szükség központi tanúsító szervezetre? Valamennyi CC tanúsítványt kibocsátó ország központi (állami) tanúsító szervezet hozott létre Ausztrália és Új-Zéland: DSD - GCSB Egyesült Királyság: CESG, Franciaország: SCSSI, Kanada: CSE, Németország: BSI, USA: NIAP. A módszertan egységes alkalmazásának igénye összehasonlítható értékelési eredményekkel, a “szakszerűség - pártatlanság - objektivitás - megismételhetőség - újraelőállíthatóság” elveinek megvalósulásával. A más nemzetek által kibocsátott tanúsítványok elismerése kormányzati jellegű döntéseket és állásfoglalásokat kíván

13 Magyar Bankszövetség 2003.11.20. A tanúsító szervezet szerepe a MIBÉTS sémában Az alapelvek és a módszertan betartatása - az értékelési eredmények és az ezt megalapozó bizonyítékok összhangja, megfelelősége Szakszerűség biztosítása - az értékelők által alkalmazott technikák és gyakorlatok szakszerűek, korrekt eredményhez vezetnek Útmutatás - általában, valamint az értékelők által feltett (módszertani, séma szabályokra vonatkozó) kérdések gyors megválaszolásával Értékelési jelentések ellenőrzése - Helyesen dokumentálja az értékelés eredményeit? Megfelel az értékelés megállapításainak? Tanúsítási jelentések és tanúsítványok kibocsátása - az értékelési jelentésben dokumentált eredményekkel összhangban, nyilvánosságra hozható tartalommal.

14 Magyar Bankszövetség 2003.11.20. Az értékelés és tanúsítás folyamata MegbízóÉrtékelőTanúsító Fejlesztői bizonyítékok tanulmány, munkaterv, ütemezés Az értékelés befogadása Értékelés (biztonsági előirányzat + értékelés tárgya) Észrevételezési jelentések Értékelési jelentés Tanúsítási jelentés

15 Magyar Bankszövetség 2003.11.20. A Közös szempontrendszer (CC) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve Növekvő értékelési ráfordítás: hatókör – mélység - szigorúság

16 Magyar Bankszövetség 2003.11.20. A Közös módszertan (CEM) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve A CCRA megállapodás csak az EAL1-EAL4 szintekre vonatkozik

17 Magyar Bankszövetség 2003.11.20. A MIBÉTS séma értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve (EAL 2): ALAP garanciaszint (EAL 3+): FOKOZOTT garanciaszint (EAL 4): KIEMELT garanciaszint EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve Illeszkedés a MeH ITB 12.-es ajánlás biztonsági kategóriáihoz.

18 Magyar Bankszövetség 2003.11.20. Az értékelési feladat áttekintése

19 Magyar Bankszövetség 2003.11.20. A technológia szempontú értékelés lényege Fejlesztő által végzett sebezhetőség elemzés /kimutatja: nincs nyilvánvaló sebezhetőség/ Lehetséges sebezhetőségek Nyilvános források Tanúsító szervezet Értékelő által végzett sebezhetőség elemzés és behatolás tesztelés /a tervezett környezet szempontjából, a támadóról feltételezett támadási potenciállal/ Nem kihasználható sebezhetőségek /a tervezett környezetben, a feltételezett támadási potenciállal/ Maradvány sebezhetőségek /kihasználhatók más környezetben, vagy nagyobb támadási potenciállal/ Kihasználható sebezhetőségek

20 Magyar Bankszövetség 2003.11.20. A séma kialakítás szakmai megalapozása MIBÉTS séma kiadványok: 1. A MIBÉTS nemzeti séma általános modellezése 2. Az értékelés és a tanúsítás folyamatai 3. Az értékelés módszertana 4. A tanúsítás módszertana 5.-8. Módszertani útmutatók Tudásbázis kialakítása (szabvány honosítása, ismertetők, bevezető szakanyagok készítése) Adatbázis (értékelt CC védelmi profilokról és termékekről) Oktatási és továbbképzési anyagok, vizsgarend Egy minta értékelés teljes dokumentálása

21 Magyar Bankszövetség 2003.11.20. Köszönöm figyelmüket! Balázs István HunGuard Kft. www.hunguard.hu

22 Magyar Bankszövetség 2003.11.20.


Letölteni ppt "Magyar Bankszövetség 2003.11.20. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20."

Hasonló előadás


Google Hirdetések