ACTA U N IV ER SITA TIS LODZIENSIS
FOLIA OECONOM ICA 167, 2003
K atarzyna Lange-Sadzińska'
COMMON CRITERIA I POLSKIE UNO RM O W ANIA
DOTYCZĄCE BEZPIECZEŃSTWA SYSTEM ÓW
INFORMATYCZNYCH
A r ty k u ł tr a k tu je o ro li k r y te r ió w C C i in n ych sta n d a r d ó w m ię d z y n a r o d o w y c h w tw o rz e n iu b e zp ie c ze ń stw a s y s te m ó w in fo r m a -ty c z n y c h i ich w p ły w ie n a p o ls k ie u n o rm o w a n ia p ra w n e .
T h e p a p e r p r e s e n ts th e ro le o f C o m m o n C rite ria a n d o th e r s in te r n a tio n a l s ta n d a r d s to c re a te tlie se c u r ity o f in fo rm a tio n s y s -te m s . Tlie in flu e n c e o f C C o n P o lish la w w a s d isc u sse d .
W stęp
Standardy dotyczące bezpieczeństw a m uszą uw zględniać w iele aspektów problem u (najw ażniejsze to integralność danych, dostępność danych, poufność danych). W śród prób podejm ow anych w celu stw orzenia takich standardów na uwagę zasługują dw ie inicjatywy.
Pierw szą jest TC SE C czyli Trusted C om puter Security Evaluation (K ryteria oceny w iarygodności oceny system ów kom puterow ych) zw ana też „O range B ook"1. TC SE C je st publikacją am erykańskiej organizacji NCSC (National C om puter Security C enter - Narodowy Ośrodek B ezpieczeństw a K om puterow e-go USA). D okum ent opisuje kryteria oceny poufnych system ów kom wych. Z definiow ano w nim metody kontroli dostępu do system ów kom putero-wych, które m ogą w ykorzystyw ać producenci kom puterów chcący dostosow ać swoje wyroby do standardów bezpieczeństw a D epartam entu O brony USA.
T C SE C określa kryteria, które stanow ią podstaw ę oceny w iarygodności d a-nego system u. W zależności od spełnianych wym agań system otrzym uje klasę
Zakład Informatyki Ekonomicznej, Uniwersytet Łódzki
TCSEC nazywana jest często „pom arańczową księgą” i stanowi część serii publikacji opatrzo-nych wspólnym tytułem „tęczowa seria” (Rainbow Series).
bezpieczeństw a. Istnieją cztery grupy kryteriów oceny w iarygodności określone w standardzie TCSEC:
- polityka bezpieczeństw a (sposób dostępu do inform acji),
możliwość kontroli (mechanizmy identyfikacji, uwierzytelniania, śledzenia, wiarygodnej ścieżki-czyli ew. przechwycenia logu i podszycia się pod system ),
gw arancja działania m echanizm ów zabezpieczających (kategorie bezpie-czeństw a А, В, С i odpow iednio dla każdej z nich klasy A l, B I, B2, B3, C 1 .C 2 ),
wym agana dokum entacja (form a i szczegółow ość dokum entacji oceniane-go produktu).
Drugim w ażnym standardem jest ITSEC (Inform ation Technology Security Evaluation C riteria). ITSEC uznają - W ielka Brytania, Francja, N iem cy, H olan-dia i Kom isja Unii Europejskiej. Ponadto obustronne um ow y obow iązujące m ię-dzy W ielką Brytanią, F rancją i Niemcami są form alnie uznaw ane rów nież przez Finlandię, Grecję, H olandię, Szw ecję i Szw ajcarię.
M igracja standardów do w spólnego rozw iązania czyli CC (C om m on C riteria)
Standardy dotyczące bezpieczeństw a obow iązujące w USA i krajach Euro-py zachow ują w zajem ną odpow iedniość, która pozw oliła stw orzyć wspólny standard. Poniżej przedstaw iono schem at dotyczący rozwoju standardu Com m on Criteria. O R A N G E в о о к -(T C S E C ) 1985 U K C O N F ID E N C E L E V E L S 1989 G E R M A N C R IT E R IA F R E N C H C R IT E R IA C A N A D IA N C R IT E R IA 1993 F E D E R A L C R IT E R IA D R A F ľ 1993 C O M M O N C R I T E R IA V 1.0 1996 V 2.0 1998
Rys. 1 Rozwój standardu Common Criteria
Źródło: Comm on Criteria... The Standard for Information Security,
Origins o f the Common Criteria,
Standard Com m on C riteria Version 2.1 ratyfikow ano przez ISO jak o stan-dard ISO 15408.
Ze w zględów historycznych i dla podkreślenia kontynuacji prac używ a się term inu C om m on Criteria, przy oficjalnej nazwie ISO "Evaluation C riteria for Inform ation Technology Security"(EC ITS). W literaturze spotkać m ożna rów -nież określenie „Com m on C riteria for Inform ation Technology Security Evalu-ation” (C C ITSE).
K orzyści dla grup użytkow ników
Poniżej scharakteryzow ano standard Com m on C riteria z punktu w idzenia grup użytkow ników tego standardu.
Tabela 1 W ykorzystanie CC przez grupy użytkowników.
Na podstawie http://www.redium.nese.m il/tpep/librarv/ccitse
U ż y tk o w n icy S t a n d a r d C o m m o n C r ite r ia
K o n s u m e n c i Comm on Criteria dostarcza potencjalnym klientom podstawowe informa-cje i wskazówki przed zakupem produktu technologii informatycznej (IT). Pomaga stwierdzić, czy produkt, który mają zakupić spełnia wymogi bezpieczeństwa zgodnie ze standardem.
Standard pozwala uświadomić konsumentom konieczność spełniania wymagań bezpieczeństwa przez produkty П .
P r o g r a m iś c i Comm on Criteria służy jako zbiór wymagań bezpieczeństwa, które mają być wybrane i uwzględnione w produktach IT.
Standard CC wskazuje sposób projektowania i tworzenia produktów, który pozwoli sprawdzić, czy produkt spełnia wymagania bezpieczeństwa.
O c e n ia ją c y
p r o d u k t Standard CC pozwala rozstrzygać czy produkt odpowiada wymaganiom bezpieczeństwa.
Standard ISO /IEC 17799
Standard ISO /IEC 2 17799 ustanow iony przez połączony kom itet pow ołany przez ISO i IEC jest pierw szym standardem na forum m iędzynarodow ym pre-zentującym całościow e podejście do zarządzania zabezpieczeniam i. N orm a
ISO/IEC 17799 „Praktyczne zasady zarządzania bezpieczeństw em inform acji” określa sposoby postępow ania z inform acją w firmie, zw racając uw agę na pouf-ność, dostępność i spójność danych. Jest to szczególnie ważne w organizacjach przetw arzających dane poufne, prow adzących produkcję specjalną oraz oba-wiających się nieuczciw ych działań konkurencji. Norm a w skazuje podstaw ow e zagadnienia i określa metody i środki konieczne dla zabezpieczenia informacji.
Polskie akty prawne
Standard ISO/IEC 17799, który powstał na podstaw ie zaleceń i standardów narodow ych dotyczących zarządzania zabezpieczeniam i duże znaczenie dla naszych uregulow ań w tym w zględzie.
Polski Komitet N orm alizacyjny zaadaptow ał normę ISO/IEC 17799 jako Polską Norm ę ISO/IEC 17799 zatytułow aną „Praktyczne zasady zarządzania bezpieczeństw em inform acji”. Dokum ent stanowi pierw szą część cyklu, zaw ie-rającą zalecenia o charakterze ogólnym .
Zgodnie z planam i Polskiego Komitetu N orm alizacyjnego norm a ta będzie obow iązyw ać w Polsce od połowy 2003 roku.
N orm a ISO /IEC 17799 dotyczy w głównej m ierze zarządzania, m niejszy nacisk kładąc na zagadnienia techniczne i inform atyczne. Norm a w skazuje pro-cesy, które pow inny być nadzorow ane w celu zm niejszenia ryzyka utraty ochro-ny daochro-nych. Została napisana przystępnie i zaw iera w iele przykładów w drażania zalecanych procedur.
Jako polska norm a obowiązuje również standard ISO/IEC 15408 (część I i 3) czyli opisane wcześniej Com m on Criteria.
D otychczas obow iązyw ały inne dokum enty traktujące o zarządzaniu zabez-pieczeniam i:
- U staw a z dnia 22 stycznia 1999 r. o ochronie inform acji niejawnych, Dz. U. N r 11, poz. 95.
- R ozporządzenie Prezesa RM z dnia 25 lutego 1999 r. w spraw ie podstaw o-wych wym agań bezpieczeństw a system ów i sieci teleinform atycznych. Dz. U. Nr 18 poz. 162.
- Zalecenia Urzędu O chrony Państw a dotyczące bezpieczeństw a teleinform a-tycznego, w ersja 1.1, sierpień 2000 r.
Podsum ow anie
Z abezpieczenie informacji jest coraz w ażniejszym w arunkiem prow adzenia biznesu i jednocześnie coraz trudniejszym zadaniem do wykonania. O d praw i-dłow ości działania system u bezpieczeństw a może zależeć nie tylko działanie i w iarygodność, ale także losy całej firmy.
W ynika to z faktu, że wcześniej firmy udostępniały sw oje zasoby i dane w ograniczonym stopniu. Obecnie dostępność Internetu powoduje narażenie słabo chronionych zasobów informacji firmy na zamierzony lub przypadkowy atak.
Sytuacja ta wymusza na kierownictwie firm dołożenie wszelkich starań w celu zastosowania dobrych zabezpieczeń danych, co sprowadza się do wdrożenia obowią-zujących norm. Jednocześnie firmy oczekują od ustawodawcy proponowania norm, które przy danym stanie wiedzy zapewnią podstawową gw arancję bezpieczeństw a.
Ź ród ła
1. E. Andrukicwicz, Polska Norma ISO/IEC 17799 - jak tworzyć bezpieczeństwo systemów
informa-tycznych «' przedsiębiorstwie. Materiały Konferencji ENIGMA, Warszawa 2001.
2. J. Cendrowski, R. Kośla. Rola Kryteriów Oceny Zabezpieczeń u' realizacji polityki bezpieczeństwa
teleinformatycznego, Materiały Konferencji ENÍGMA, Warszawa 2001.
3. J. Cendrowski. Projekt Polskiej Normy PR ISO/IEC 17799. Praktyczne zasady zarzudzania
zabez-pieczeniami informacji. Seminarium: Techniczne Aspekty Przestępczości Teleinformatycznej,
Optimus Warszawa, 2001.
4. J. Cendrowski. Ochrona informacji niejawnych cz. 5. Szkolenia specjalistyczne administratorów sys-temów i pracowników pionów ochrony, „IT Secury Magazine , kwiecień 2000, nr 4(8).
5. P. Krawczyk, Dla audytorów bezpieczeństwa, Ochroiui danych i bezpieczeństwo sieci, Ipsec.pl, 2002. 6 . A. Niemiec, Zarządzanie bezpieczeństwem informacji w świetle norm ISO, Referaty i artykuły
związane z zarządzaniem, Wrocław 2000.
7. D. Comer, Sieci komputerowe i intersieci. WNT. Warszawa 2000.
8. T. Sheldon, Wielka encyklopedia sieci komputerowych. ROBOMAT1C, 1999.
9. Common Criteria fo r Information Technology Security Evaluation, Part I introduction and general model, August 1999 Version 2.1. CCIMB - 99-031
10. Common Criteria fo r Information Technology Security Evaluation. Part 2: Security functional requirements, August 1999 Version 2.1, CCIMB - 99-032
11. Common Criteria fo r Information Technology Security Evaluation, Part 3: Security assurance re-quirements, August 1999 Version 2.1, CCIMB - 99-033
12. Common Criteria... The Standard for Information Security, Origins o f the Common Criteria, hun://www.commoncriteria.orii/docs/orÍĽÍ4s.html
13. htip://w w w. redium.ncsc.mil/tpcp/librarv/ccitse 14. httn://csrc.nist.gov/ce/ccv20/cev2list.htm 15. http://csrc.nist.gov/cc/cem/cemliM.him 16. raport CESG littn://www.cesg.eov.uk