evaluation laboratories in the hungarian information security evaluation and certification scheme...
DESCRIPTION
Hungary has joined the Common Criteria Recognition Agreement. Development of the Hungarian Information Security Evaluation and Certification Scheme (MIBÉTS) has begun with this act. Basic element of this scheme – which is a simplified form of Common Criteria – is the presence of evaluation laboratories. The presentation deals with the requirements of MIBÉTS laboratories and the expectations and exercises related to the evaluators. Beside the general standards in connection with the laboratories we review the specifications of the British national scheme and the current Hungarian legislation. After this we talk about the MIBÉTS specific regulations, i.e. the departmental order about laboratories. The second part of the presentation shows international examples about the shaping and operation of evaluation laboratories.TRANSCRIPT
![Page 2: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/2.jpg)
Tartalom
• Bevezetés
• Az angol példa
• Az amerikai példa
• A tajvani példa
• Következtetések
• SWOT
![Page 3: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/3.jpg)
Bevezetés
• A CCRA csatlakozással elfogadjuk a külföldön kiadott CC tanúsítványokat
• Célunk, hogy előbb-utóbb Magyarország is CC tanúsítvány kibocsátó országgá váljon
• Ehhez fontos lépés a saját nemzeti séma létrehozása, mely alapján a magyar értékelőlaborok felkészülhetnek a CC követelmények teljesítésére
• Konkrét akkreditációs követelmények azonban eddig nem jelentek meg, így a külföldi példákból kell kiindulni
![Page 4: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/4.jpg)
Az angol példa
• A MIBÉT Séma az angol UK ITSec Scheme alapján alakult ki
• Az értékelőlaborokat ebben a sémában Commercial Evaluation Facility-nek (CLEF) hívják
• Akkreditációjuk a UKAS, a brit akkreditációs rendszer felelőssége
![Page 5: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/5.jpg)
Az angol példa
• A megbízható működés alapfeltétele, hogy a labor csak a sémába tartozó értékeléssel foglalkozzon
• Ehhez önálló szakértői bázisra, önálló eszközökre és önálló munkakörnyezetre van szüksége
• A személyzetnek megfelelő képzettséggel kell rendelkeznie
• Ha az alapfeltételek teljesülnek, a labort az ISO 17025:2000 szabványnak megfelelően kell bevizsgáltatni
![Page 6: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/6.jpg)
Minőségi előírások
• Az értékelő-szervezet legfontosabb szerepkörei a következők:– műszaki irányító,
– minőségbiztosítási irányító,
– üzleti vezető,
– adminisztrációs felelős,
– biztonsági menedzser
• Az értékelést 2-3 fős csoportok végzik, a műszaki irányító felügyelete alatt
![Page 7: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/7.jpg)
Biztonsági előírások
• A CLEF-nek biztosítania kell az üzleti információk védelmét, amit a felügyelőszerv vizsgál
• Ennek részleteit egy Biztonsági Kézikönyvben kell leírni
• Ez foglalkozik a fizikai, a személyzeti és az információs biztonsággal is
![Page 8: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/8.jpg)
Felkészültség
• A jó értékelő ismeri az informatikai biztonság alapelveit, az értékelés eljárásait, és ezeket alkalmazni is tudja
• Az értékelő lehet gyakornok vagy minősített értékelő
• Ahhoz, hogy valaki értékelő lehessen, el kell végeznie egy tanfolyamot
• Ha rendelkezésre áll a megfelelő szakmai stáb, egy mintaértékelést kell végrehajtani
![Page 9: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/9.jpg)
Akkreditáció
• Az értékelő-szervezet 0. vagy 1. szintű akkreditációval rendelkezhet
• Az 1. szintű akkreditáció telephelyen kívüli vizsgálatra is feljogosít
• Az akkreditáció folyamata tartalmazza az értékelési szempontok és a módszertan felhasználásának vizsgálatát
• Ha a UKAS mindent rendben talál, egy 3-4 hónapos mintaértékelést kell végrehajtani
![Page 10: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/10.jpg)
Mintaértékelés
• A mintaértékelés során vizsgálják az egyéni képességeket és az adminisztrációs és menedzsment eljárásokat
• A TOE egy valós termék, amit a CLEF is javasolhat
• A tipikus mintaértékelésben 3-4 gyakornok értékelő vesz részt
• Az értékelés során elsősorban az értékelőket vizsgálják, és nem a konkrét terméket
![Page 11: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/11.jpg)
Oktatás
• Az értékelői tanfolyam 3 modulból áll:– IT biztonsági elvek és értékelése, a séma bemutatása
– Biztonsági követelmények, fejlesztési reprezentációk, funkcionális tesztelés, fejlesztési környezet, működési környezet, sérülékenység vizsgálat, behatolási tesztelés, garancia fenntartása
– Az értékelés lefolytatása és menedzselése
• Az értékelő labor is tarthat előadásokat, ha akkreditáltatja az oktatást
![Page 12: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/12.jpg)
Külföldi példák - USA
• Az IT biztonsági értékelési rendszerek szülőhazája az Egyesült Államok
• A fontos állami szerveknél elvárás, hogy minden olyan informatikai rendszer vagy termék, mely érzékeny adatokat kezel, rendelkezzen CC minősítéssel
• Az egyik első tanúsítvány-kiállító az USA-ban a SAIC CCTL
![Page 13: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/13.jpg)
Külföldi példák - USA
• A SAIC CCTL akkreditációja a minőségirányítási kézikönyv benyújtásával kezdődött
• Ezek után vizsgálták a munkatársak kompetenciáját
• A vizsgálat egy éven át folyt, aminek végén EAL1-4 értékelésekre kaptak felhatalmazást
• Az első két évben 4 értékelést folytattak
![Page 14: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/14.jpg)
Külföldi példák - USA
• 2002-ben 11 értékelő dolgozott főállásban a cégnél
• Őket a cég más osztályain dolgozó kollégák segítik
• Szükség esetén más munkatársakat is bevonnak
• A munkához egy önálló épület áll rendelkezésükre
![Page 15: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/15.jpg)
Külföldi példák - Tajvan
• A tajvani kormányzat a jelentős tajvani gyártók nyomására kezdett el foglalkozni a CC bevezetésével
• A séma és a labor kialakításával a Nemzeti Cheng Kung Egyetemet bízták meg
• A projekt összesen 4 millió dollár költségvetéssel gazdálkodik
• 15 szakember tanul CC kibocsátó országokban
![Page 16: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/16.jpg)
Külföldi példák - Tajvan
• Céljaik:– A tajvani IT termékek versenyképességének
növelése– Az értékelési idő lecsökkentése azzal, hogy
hazai labor végzi a munkát– A termékek minőségének javítása
![Page 17: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/17.jpg)
Következtetések
• Egy megfelelően felkészült értékelőlabor rendelkezik:– felkészült értékelőkkel (3-5 fő),– bevonható szakértőkkel, bármilyen területen
(20-30 fő),– a megfelelő hátteret biztosító környezettel
(adminisztráció, infrastruktúra, stb.),– pénzügyi függetlenséggel,
![Page 18: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/18.jpg)
Következtetések
– oktatási kapacitással,– ISO 17025:2000, ISO 9001: 2000 és BS 7799-
2:2002 megfeleléssel,
• A MIBÉTS, és ezen keresztül a CC sikeres adaptációja elképzelhetetlen hatékony állami szerepvállalás nélkül
![Page 19: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/19.jpg)
SWOT
• Erősségek:– világviszonylatban is kimagasló oktatási tematika,
– kimagasló értékelési gyakorlat több informatikai biztonsági témakörben
• Gyengeségek:– nincs kereslet Magyarországon az IT biztonsági
tanúsításokra,
– az értékelés túlságosan drága és sok időt vesz igénybe
![Page 20: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/20.jpg)
SWOT
• Lehetőségek:– a Magyarországon fejlesztő multik figyelmének
felkeltése,– versenyelőny a többi kelet-közép-európai országgal
szemben• Veszélyek:
– a CC tanúsítvány kibocsátó országok nem érdekeltek abban, hogy a kis országok is rendelkezzenek ezzel a tudással,
– az állami szervek aktív részvétele és figyelme nélkül a séma csendben kimúlhat
![Page 21: Evaluation laboratories in the Hungarian Information Security Evaluation and Certification Scheme (in Hungarian)](https://reader035.vdocuments.mx/reader035/viewer/2022062513/557a2215d8b42a48458b4650/html5/thumbnails/21.jpg)
Köszönöm a figyelmet!