2. Hírek
  3. Mérleg

A hazai szempontok az informatikai auditálásnál

Az informatikai biztonság növelése a nemzetközileg elfogadott szabványokban leírtak betartása révén érhető el. Természetesen egy körültekintő és szakképzett rendszergazda számára kevesebb új dolgot tartalmazhat egy-egy ilyen szabvány (hiszen a "józan paraszti észre" hagyatkozva sok alapvető követelménynek meg lehet felelni a szabványok ismerete nélkül is), azonban a jól összeszedett és rendszerezett követelmények segíthetik a könnyebb átláthatóságot. A különböző termékfajtákra jellemző szabványok helyett (például az elektronikus aláírás-létrehozó alkalmazásokra vonatkozó ETSI-szabványok, ITU-ajánlások) most az általánosabb követelményeket megfogalmazó auditálási módszertanokról (például CC, BS7799, COBIT) esne szó röviden. A jelen pillanatban hazánkban is érvényes – informatikai biztonsággal kapcsolatos – szabványok listája elérhető az Informatikai és Hírközlési Minisztérium (IHM) Információs Társadalom Koordinációs Tárcaközi Bizottságának (ITKTB) honlapján.

Az auditálási módszertanok alapvetően két csoportba sorolhatók: léteznek a folyamatokat, szervezetet felügyelő, ellenőrzők (pl. COBIT, BS7799) és a technikai szemléletmódot képviselők (pl. CC). Ma már egyre többen rohangálnak az utcákon CISA (Certified Information Systems Auditor) és CISM (Certified Information Security Manager) auditori minősítéssel, ami a COBIT módszertanához tartozó vizsgáknak a teljesítése révén szerezhető meg, de a CISSP (Certified Information System Security Professional) minősítéssel is büszkélkedhetnek már páran, várható azonban, hogy újabb „plecsni” begyűjtésére is nyílik mód.

A szakmai berkekben sokan tudják, de amúgy kevés cikk jelent meg arról, hogy hazánk 2003. szeptember 19-én csatlakozott „A Közös szempontok szerint kibocsátott tanúsítványok kölcsönös elismeréséről szóló nemzetközi megállapodáshoz” (Common Criteria Recognition Arrangement, CCRA), amely a CC (Common Criteria) szerinti értékelésékről és tanúsítványok kiadásáról szól.

A Közös Szempontok (Common Criteria, CC v2.1) három részből áll, amelyeket ingyenesen le lehet tölteni, s a követelmények gyűjteményét tartalmazza. A Közös Értékelési Módszertan (Common Evaluation Methodology, CEM v1.0), amely a CC társdokumentuma, két részből áll, amelyeket szintén el lehet érni. A CC informatikai termékek biztonsági értékelésére szolgál, meghatározza, hogy mit is tekinthetünk egy adott környezetben biztonságosnak.

A fenti dokumentumokban leírt értékeléseknek, értékelési módszertanoknak országonként eltérő a megvalósítása, a különböző honosítások során kisebb-nagyobb módosításokra (többnyire egyszerűsítésekre) került sor. Az adott országra jellemző sémája van az Amerikai Egyesült Államoknak is (Common Criteria Evaluation and Validation Scheme, CCEVS), de már hazánkban is folyamatban van a honosítás, amely a Magyar Informatikai Biztonsági és Értékelési Séma (MIBÉTS) nevet kapta a keresztségben. A még nem véglegesített munkaanyagok egy része elérhető az Informatikai Biztonság Albizottság (INBA) dokumentumai között az ITKTB honlapján.

Magyarország nemcsak elfogadhatja a Közös Szempontoknak megfelelő tanúsítványokat, de a jövőben kiadni is szeretne elfogadott tanúsítványokat ezen hazai sémának (MIBÉTS) megfelelően, amihez azonban szükség lesz a megfelelő szakértői gárda kiképzésére is.

Szabó Áron (BME IK ITSec – IHM-együttműködés)

 

Azóta történt

Előzmények