Vládní aktivity v USA zajišťují ochranu důležitých informací

Za bezpečností webů a celého internetu stojí také bezpečnost operačních systémů, aplikací i dalšího softwaru. Ve...


Za bezpečností webů a celého internetu stojí také bezpečnost operačních
systémů, aplikací i dalšího softwaru. Ve Spojených státech se po řadě událostí
z posledních týdnů a měsíců (nejen ve spojitosti s internetem) vládní orgány
stále více zajímají o zvýšení ochrany svých systémů.
Americká Národní bezpečnostní agentura (NSA) nařídila, že všechny nové vládní
informační systémy v rámci bezpečnostních složek musejí používat operační
systémy, aplikace, firewally a další prvky, které splnily obecná kritéria
(Common Criteria, CC) stanovená v tzv. "Oranžové knize". Díky tomu budou
sjednocena pravidla pro akceptování určitého zařízení z hlediska jeho
bezpečnosti a jednotlivé státy i vládní organizace je již nebudou muset dále
testovat.
Program Oranžové knihy NSA, který vznikl v roce 1996, ale doposud byl používán
spíše sporadicky, nyní podporuje 15 amerických států.
Podle Rona Rosse, ředitele National Information Assurance Partnership (NIAP),
jež spolupracuje na certifikačním programu, jsou nejdůležitějším prvkem
operační systémy. Pokud totiž není certifikován samotný OS, tak nelze přirozeně
používat ani návazné aplikace, které již podmínky Oranžové knihy NSA splňovat
mohou. Získání CC certifikace ovšem vyžaduje kromě vysoké bezpečnosti také
velké finanční náklady spojené s celým procesem. Navíc bez toho, aby bylo
jisté, že software procesem projde. Například Microsoft prý předal Windows 2000
k certifikaci do laboratoří SAIC (Science Applications International
Corporation) již před rokem, ale zatím získání CC certifikace neohlásil.
V Oranžové knize je navrženo 7 úrovní zabezpečení (Evalution Assurance Level,
EAL), přičemž EAL 1 je nejnižší a EAL 7 nejvyšší úroveň bezpečnosti. EAL 1 je
vhodný, pokud nároky na bezpečnost "nejsou velké", EAL 2 požaduje po vývojářích
informace o návrhu a testování "konzistentní s dobrými komerčními aplikacemi".
Úroveň EAL 3 požaduje u produktů "metodické testování a ladění" a testovací
laboratoře by měly vyhledávat "zřejmé bezpečnostní díry". EAL 4 je pak vnímán
jako nejvyšší level, který je ještě pro firmy ekonomicky návratný zdrojový kód
je vyhodnocován laboratoří a dodavatel musí být připraven přizpůsobit aplikaci
dalším bezpečnostním požadavkům. Je běžnou praxí, že dodavatelé softwaru řeší
další bezpečnostní požadavky zákazníků individuálně a ani se nesnaží získat
vyšší úroveň zabezpečení. Pro zajímavost Common Criteria definují případy pro
požadování zabezpečení na úrovni EAL 7 jako "vysoce riskantní situace, kde
hodnota chráněných dat ospravedlňuje vysoké náklady".









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.