Az MSZ ISO/IEC 15408-1,2,3 szabványok az információbiztonságot, az információ vagyon védelmét az információk mozgását, tárolását szolgáló eszközök és rendszerek megbíthatóságának szabályozásával segítik.
A szabványsorozat tagjai egyenként és egymásra építve is eredményesen használhatók vállalkozása informácóvédelmének megvalósításában.
A szabványok az informatikai eszközök és rendszerek biztonságával kapcsolatos különböző biztonsági szempontokat szabályoznak, ezek:
- biztonsági tulajdonságok értékelése
- funkcionális követelmények meghatározása, szabályozása
- garanciális követelmények meghatározása, szabályozása
Az informatikai biztonságértékelés közös szempontjai szabványsorozat 1. része: Bevezetés és általános model – ISO/IEC 15408-1
Alkalmazási terület
Az MSZ ISO/IEC 15408-1 szabvány az informatikai eszközök és rendszerek biztonsági értékelését szabályozza. „Közös szempontokat” Common Critera (CC) határoz meg, amelyek lehetővé teszik az informatikai termékek és rendszerek biztonsági tulajdonságainak értékelését és összehasonlíthatóságát.
A felállított egységes követelmények szerint elvégzett értékelés eredményei lehetővé teszik a vásárló és/vagy a használó számára, hogy eldöntse; az informatikai eszköz vagy rendszer elég biztonságos-e a szándékolt alkalmazáshoz és, hogy a biztonsági kockázat megfelelő szintű-e.
A „közös szempontok” követelményei a biztonság három sérülésmódja köré csoportosulnak: bizalmasság, sértetlenség és rendelkezésre állás.
A közös szempontok alapján értékelhetőek hardverek, förmerek és softverek egyaránt.
A biztonsági értékelések lefolytatása és a rendszerek működtetése
Három csoport érdekelt az informatikai termékek és rendszerek biztonság értékelésében: fogyasztók, fejlesztők és értékelők.
- Fogyasztók: az értékelés segítheti a fogyasztókat annak eldöntésében, hogy a kiválasztott termék vagy rendszer kielégíti-e a biztonsági igényeiket.
- Fejlesztők: a „közös szempontok” segítik a fejlesztőket abban, hogy a kifejlesztett termékek és rendszerek elégítsék ki a vevők, alkalmazók biztonsági igényeiket.
- Értékelők: a „közös szempontok” az értékelőket abban segítik, hogy összehasonlító értékelést tudjanak adni, valamely termék vagy rendszer biztonságának értékeléséhez
Az informatikai biztonságértékelés közös szempontjai szabványsorozat 2. része: A biztonság funkcionális követelményei – ISO/IEC 15408-2
Alkalmazási terület
A ISO/IEC 15408-2 szabvány meghatározza az informatikai eszközök és rendszerek funkcionális követelményeit. Az így meghatározott biztonsági funkciók képezik az alapját a biztonsági követelményeknek, amelyek meghatározzák az elvárt, biztonsági magatartásokat, és a biztonsági célokat.
A biztonsági funkciók azokat a biztonsági követelményeket határozzák meg, amelyek a működési területen előforduló veszélyek elleni fellépést biztosítják.
Az ISO/IEC 15408-2 célközönsége a biztonságos IT-rendszerek és termékek vásárlói, fejlesztői és értékesítői.
Ezek a csoportok a szabványt a következőképpen használhatják:
- Fogyasztóként, olyan termékek kiválasztásakor, amelyek igényeiknek megfelelő funkcionális követelményeket teljesítenek
- Fejlesztőként, a fogyasztói biztonsági követelmények teljesítéséhez szabványos módszert alkalmazhatnak
- Értékesítőként,ellenőrizhetik, hogy az adott termékekre és rendszerekre megadott funkcionális követelmények kielégítik-e az IT biztonsági követelményeit.
A funkcionális követelmények kiterjesztése és karbantartása
Az ISO/IEC 15408-2 szabvány által megadott funkcionális követelmények nem teljeskörűek, nem adnak megoldást minden felmerülő problémára. Ehelyett egy sor olyan biztonsági követelményt kínál, amelyek használhatók a piac igényeit figyelembe vevő bizalmi termékek kialakításához.
Mivel a fogyasztók igényei, nézetei változnak a funkcionális követelményeket folyamatosan karban kell tartani. Felmerülhetnek olyan igények, amelyek a funkcionális követelmények kiterjesztését indokolják, akár nem szabványos elemekre is.
Az informatikai biztonságértékelés közös szempontjai szabványsorozat 3. része: A biztonság garanciális követelményei – ISO/IEC 15408-3
Alkalmazási terület
Az ISO/IEC 15408-3 szabvány az informatikai eszközök és rendszerek garanciális követelményeit határozza meg.
A szabvány tartalmazza azokat a garancia szinteket, amelyek meghatározzák a garanciamérések skáláját, azokat az egyedi garanciaösszetevőket, amelyekből a garanciaszinteket képezik.
Szolgáltatásunk:
-
Információbiztonsági rendszerek kidolgozása, tanácsadás, felkészítés tanúsító auditra
-
Rendszerismereti képzés