Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Bezpieczeństwo oceniane metodycznie

Z każdej lekcji można wyciągnąć pozytywne wnioski. Dzięki nam deweloper poprawia swoje procesy rozwoju sprzętu czy oprogramowania, staranniej definiuje i wdraża wymagania bezpieczeństwa, więc następna wersja produktu jest zwykle lepiej przygotowana. Rozmowa z Elżbietą Andrukiewicz, kierownikiem Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych

W uruchomionym na początku marca Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych mają pracować wysoko wykwalifikowani specjaliści. Wszystkie organizacje odczuwają jednak deficyt ekspertów ds. cyberbezpieczeństwa. Jaki jest plan Instytutu Łączności na ich pozyskanie?

Trzon zespołu tworzą specjaliści z Instytutu Łączności – Państwowego Instytutu Badawczego [dalej: IŁ-PIB]. Jest to mieszanka doświadczenia i młodości pracowników instytutowych zespołów badawczo-rozwojowych. Ponadto mamy specjalistów pozyskanych z warszawskich uczelni technicznych. Praca w naszym laboratorium otwiera możliwości realizacji prac naukowo-badawczych, w tym skorzystania z tzw. doktoratów wdrożeniowych, co przyciąga do Instytutu studentów i młodych naukowców. Przyjęliśmy też model kształcenia stosowany praktycznie we wszystkich laboratoriach tego typu, w którym młodzi specjaliści asystują kwalifikowanym ewaluatorom, zdobywając w ten sposób niezbędne doświadczenie.

Skąd wezmą się pieniądze na specjalistów i profesjonalną aparaturę?

Laboratorium powstało ze środków programu krajowego NCBiR „Cyberbezpieczeństwo i e-Tożsamość” w ramach realizacji projektu „Krajowy schemat oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodny z Common Criteria” (KSO3C). Głównym produktem tego projektu jest w pełni funkcjonująca organizacja złożona z jednostki certyfikującej oraz dwóch laboratoriów realizujących oceny bezpieczeństwa produktów teleinformatycznych – jednym z nich jest laboratorium oceny bezpieczeństwa otwarte w IŁ-PIB. Ta organizacja już jest w stanie wydawać certyfikaty bezpieczeństwa. Po spełnieniu rygorystycznych wymagań technicznych i organizacyjnych certyfikaty te będą uznawane w Europie i na całym świecie. KSO3C jest przedsięwzięciem komercyjnym, co oznacza, że po zakończeniu projektu laboratorium w IŁ-PIB będzie świadczyć usługi oceny bezpieczeństwa produktów teleinformatycznych na zasadach rynkowych.

Co się stanie z uzyskanymi pieniędzmi?

Zainteresowanie usługami laboratorium już dziś przekracza nasze najśmielsze oczekiwania. Przewidywane zyski ze świadczenia usług w dużej części będą musiały być przeznaczone na wzrost potencjału technicznego i ludzkiego. Warto też podkreślić, że laboratorium w IŁ-PIB rozpoczyna nowe projekty badawczo-rozwojowe, które mają na celu rozszerzenie kompetencji w nowych obszarach cyberbezpieczeństwa. Jest to projekt wdrożenia systemu oceny zgodności dla modułów kryptograficznych (projekt „Eksperymentalna platforma walidacyjna”) oraz prac związanych z formalnym modelowaniem algorytmów i protokołów kryptograficznych, a także projekt ewaluacji bezpieczeństwa komponentów sieci 5G. Mamy zamiar uczestniczyć w projektach unijnych dotyczących certyfikacji cyberbezpieczeństwa, które są planowane od tego roku w związku z potrzebą wdrażania tzw. aktu o cyberbezpieczeństwie.

Proszę powiedzieć, co konkretnie ma być badane w laboratorium.

Ocenie bezpieczeństwa mogą być poddawane produkty teleinformatyczne – zarówno oprogramowanie, jak i komponenty sprzętowo-programowe. Dotyczy to produktów w różnych obszarach zastosowań, takich jak np.: infrastruktura krytyczna – programowalne sterowniki, VPN, sieci bezprzewodowe; infrastruktura informatyczna – IPSec, moduły kryptograficzne, systemy wykrywania wtargnięć, systemy antywirusowe; administracja publiczna – paszporty, prawa jazdy; zdalna identyfikacja i uwierzytelnienie – podpis elektroniczny, pieczęć elektroniczna; opieka zdrowotna – urządzenia medyczne, karty lekarza i pacjenta.

Wspomniała Pani, że laboratorium jest zgodne z międzynarodową normą Common Criteria. Jakie są jej najważniejsze cechy?

Trzyczęściowa norma międzynarodowa, będąca także Polską Normą ISO/IEC 15408 „Kryteria oceny zabezpieczeń informatycznych”, znana jako Common Criteria, zawiera kompletne i usystematyzowane modele: bezpieczeństwa oraz oceny bezpieczeństwa. Zgodnie z modelem bezpieczeństwa można określić specyfikację architektury i wymagania bezpieczeństwa. Z kolei model oceny bezpieczeństwa pozwala zweryfikować z pożądanym poziomem zaufania do tej oceny, czy zastosowane w produkcie funkcje bezpieczeństwa w sposób spójny i wystarczający spełniają określone wcześniej wymagania bezpieczeństwa. Modele te opisane są w części 1 normy. Natomiast część 2 zawiera zbiór funkcjonalnych wymagań bezpieczeństwa podzielonych na klasy, rodziny i komponenty funkcjonalne, opisany w spójny i logiczny sposób. Modelowanie wymagań bezpieczeństwa dla konkretnego produktu oznacza wybór odpowiednich komponentów funkcjonalnych. Zbiór możliwych komponentów funkcjonalnych bezpieczeństwa opisanych w normie jest bardzo obszerny, ale gdy potrzebne są jeszcze dodatkowe, to norma umożliwia ich zdefiniowanie według ściśle określonej systematyki. Dzięki zastosowaniu metodyki Common Criteria można wykazać w najbardziej kompletny i systematyczny sposób spełnienie zasady security by design. W tym zakresie norma Common Criteria nie ma konkurencji. W części 3 zawarto zbiór komponentów uzasadnienia zaufania do oceny bezpieczeństwa. Jest on opisany w analogiczny sposób jak funkcjonalne wymagania bezpieczeństwa – zgodnie z taką samą systematyką klas, rodzin i komponentów. Dobór komponentów uzasadnienia zaufania pozwala na zdefiniowanie z pożądaną dokładnością zakresu, głębokości i rygoru oceny bezpieczeństwa. Ta dokładność jest wyznaczona potrzebami użytkownika związanymi z zastosowaniem badanego produktu.

[...]

Rozmawiał: Eryk Chilmon

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej