Hodnocení bezpečnosti, kritéria a procesy hodnocení. Standardy bezpečnosti IT a kryptografie, legislativa a kryptologie.
Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti. K hodnocení bezpečnosti je využíván standard Common Criteria (ISO/IEC 15408) a kritéria OWASP (Open Web Application Security Project).
K hodnocením se využívá hodnotících kritérií což je obecně seznam podmínek které vyvíjený/kupovaný produkt nebo systém má být schopný (musí) plnit. Common Criteria poskytují framework, který umožňuje, aby uživatel specifikoval požadavky na bezpečnost produktu, výrobce specifikoval vlastnosti produktu a nezávislý hodnotitel posoudil zda výrobek odpovídá požadavkům. Historicky se namísto Common Criteria v Evropě používali ITSEC (IT Security Evaluation Criteria) a v USA TCSEC (Trusted Computer Security Evaluation Criteria).
Tento standard se dělí do 3 částí:
Přínosy hodnocení produktu jsou:
Problémy hodnocení:
Hodnocení provádí hodnotitel a po provedeném hodnocení vydává certifikační autorita na základě hodnotící zprávy certifikát. Certifikační autority bývají vládní agentury (NIST) nebo licencované komerční organizace (tak se to dělá v EU).
Metodika hodnocení je dvojího druhu
Hlavním dokumentem CC je takzvaný Protection Profile (PP). Je typicky vytváření uživatelem či nějakou uživatelskou komunitou a identifikuje požadavky na bezpečnost pro jisté prostředí. Výrobce následně může zvolit, že bude vyráběž zařízení, které vyhovuje konkrétnímu PP. Další zákazníci mají pak na výběr výrobky pro různé PP.
Další dokument CC je Security Target (ST) a specifikuje bezpečnostní funkce poskytované produktem.
Jak CC používají:
7 EAL(úroveň záruk)
The Open Web Application Security Project má být nástrojem pro měření úrovně bezpečnosti webových aplikací. Bezpečnostní kritéria podle OWASP se dělí na základní kritéria a rozšiřující kritéria (která zaručují vyšší stupeň úroveň ochrany). Dále se každé kritérium ohodnocuje podle úroveň záruk za bezpečnost a to do těchto kategorií:
Standard (neboli norma, doporučení) je úmluva o technické specifikaci, nebo o jiném podobně přesně stanoveném kritériu. Standardy se dělí na de iure (schválena uznávanou institucí) na de facto (v rámci jisté komunity, např.: RFC) a firemní (proprietární) standardy.
V různých oblastech technického života existují známé standardizační de iure organizace. Zde je výčet několika z nich:
Standardizace čehokoliv: ISO - International Organization for Standardization Oblast elektrotechniky: IEC International Electrotechnical Commision Komunikace: ITU International Telecommunications Union V oblasti IT: ISO/IEC JTC1 tzv. Joint Technical Committee. JTC1 zřídilo společně ISO a IEC, proto ISO/IEC :-) V oblasti bezpečnosti IT: podvýbor SC 2 výboru ISO TC 68 V oblasti IT komunikace: ITU-T (úzce spolupracuje s ISO/IEC JTC1)
Dále existují speciální, evropské, standardizační organizace (opět de iure): CEN (obdoba ISO), CENELEC (obdoba IEC), ETSI (obdoba ITU).
Na národní úrovni existují také de iure organizace (např. ČSNI). Nicméně v IT hrají důležitou roli především ty z USA: IEEE (elektronika, elektrotechnika), NIST, ANSI (zástupce USA v organizaci ISO, věnuje se bezpečnosti v IT a především v bankovnictví).
Co se týče De Facto standardů tak nejznámější jsou organizace ISOC (internet society) a IAB (internet activities board - rada pro internetové činnosti). Dobrým příkladem De Facto standardů jsou RFC, které zpracovává IETF (internet engineering task force). IETF byla pověřena IABem. Posledním zajímavou De Facto standardizační komunitou je OWASP (Open Web Application Security Project). Jak název napovídá vydává standardy vývoje bezpečných webových aplikací.
Konkrétních standardů je samozřejmě velké množství (přehled je ve slidech 03_standardy od strany 25). Nejdůležitější asi je ISMS (Information Security Management System) standard (ISO/IEC 27001:2005).
Krom výše uvedených standardů jsou důležité i ty z kategorie firemních, příkladem je PKCS (public key cryptography standards), který je publikovaný firmou RSA Labs.
http://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=37209
https://is.muni.cz/auth/el/1433/podzim2012/PV079/um/PV079_2012_L07.pdf druha polovica slajdov
6. otázka oboru INS