Common Criteria
Mostanában egyre gyakoribb, hogy a különböző állami pályázati kiírásokban egyre többet szerepel, hogy a fejlesztési folyamatnak, a szállított termékeknek meg kell felelnie Common Criteria valamelyik EAL szintjének. Történhet ez mindazért, mert az Európa Tanács felkérte a tagállamokat, hogy támogassák Common Criteria szabvány használatát, és a tanúsítványok kölcsönös elfogadását, melyhez Magyarország is csatlakozott. A Common Criteria nemzetközi (ISO-IEC 15408) és magyar szabvány is (MSZ ISO/IEC 15408:2002). Feltehetőleg emiatt az Államreform Operatív Program (ÁOP) “Elektronikus közigazgatási keretrendszer kialakítása” című projektjében is igen hangsúlyos a Common Criteria. Az E-közigazgatási Keretrendszer gyakorlatilag a államigazgatási szoftverfejlesztés interoperabilitását próbálja megvalósítani. Ennek eszközei többek között pl. a SOA alkalmazása, vagy a biztonsági szabványoknak való közös megfelelés. A Keretrendszer nem más, mint 20 új szabvány, 100 új publikáció, melyek megteremtik az elektronikus közigazgatás teljes fejlesztéséhez és üzemeltetéséhez az egységes technikai, szemantikai, IT biztonsági, alkalmazásfejlesztés-módszertani, valamint projektmenedzselési és monitoring platformot. A Keretrendszert a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központja (BME IK) által vezetett konzorcium nyerte, melynek tagjai még a szabványtárat elkészítő CompLex Kiadó Kft., a projektvezetésért és a minőségbiztosításért felelős Hendra Kft., a biztonsági előírásokat kidolgozó HunGuard Kft., a projektmenedzsment módszertant kidolgozó, valamint a tesztkörnyezetet biztosító Kopint-Datorg Zrt., továbbá az interoperabilitási és biztonsági követelményeket elkészítő Stratis Kft. A Követelménytárba kerülő dokumentumokkal kapcsolatos döntést a Közigazgatási Informatikai Bizottság (KIB) végzi. A Követelménytár a KIB 28. számú ajánlás részét képezi.
A Common Criteria for Information Technology Security Evaluation (Common Criteria - CC) informatikai termékek és rendszerek biztonsági értékelésének követelményrendszere, mely alapján ezek minősíthetőek, gyakorlatilag egy biztonsági szabványgyűjtemény. Az informatikai termék vagy rendszer az értékelés tárgya, Target of Evaluation (TOE). Fő fogalma a védelmi profil, Protection Profile (PP), mely egy termékfüggetlen, előre megadott és formalizált követelményeket tartalmazó dokumentum. Egy típusfeladatra több védelmi profil is készíthető, pl. lásd tűzfalakra vonatkozó védelmi profilok. Ezek a védelmi profilok szakemberek által elbírált, hitelesített dokumentumok. A TOE fejlesztői biztonsági rendszertervet készítenek már a konkrét termékre vonatkozóan, ez a Security Target (ST). Ez a PP-ben leírt elvekre (mit) konkrét megoldásokkal (hogyan?) válaszol.
A CC a követelményeket funkcionális és garancia csoportba osztja. Az előbbi írja le a funkcionális követelményeket, a második, hogy mik az elvárások a vizsgálatokkal. A vizsgálatok garantálják, hogy a TOE eleget tesz a funkcionális követelményeknek. A követelmények osztályokba, azon belül családokra, majd komponensekre oszthatók. A garancia szintek, Evaluation Assurance Level (EAL), mutatják meg, hogy a TOE milyen mélységben, erőforrás ráfordítással lett vizsgálva, hogy mennyire felel meg a követelmányeknek. Ezt hét szinten adják meg. Pl. EAL1 funkcionálisan tesztelve, míg az EAL4, mely a legjobban elterjedt, azt jelenti, hogy tervszerűen tervezve, tesztelve és átnézve. Igazából ez csak a termék dokumentáltságának a szintjét méri. Ez ellent is mond az Open Source termékeknek, valamint az agilis módszertanoknak, ahol a szoftver fontos, nem a dokumentáció. A CC inkább a klasszikus vízesés módszertannak felel meg. A legkomolyabb az EAL7 szint, ahol már formális bizonyítás van. Minél magasabb a biztonsági szint, annál drágább elérni. Fontos, hogy a szint nem a vizsgált rendszer biztonságának szintjét méri, hanem azt, hogy ez milyen szinten vizsgálták.
A minősített rendszerek (hardverek, szoftverek) listája publikusan elérhető, szűrhető és akár CSV-ben letölthető. Jelenleg 1396 tételt tartalmaz. Itt azért főleg biztonsági eszközök találhatóak, minél magasabbra megyünk a szoftver stack-en, annál kevesebb eszköz található.
Nézzük, hogy mi is lehet fontos pl. egy átlagos webes/intranetes n-rétegű alkalmazás architektúrájának kialakításánál. Operációs rendszerek közül még jó a felhozatal, adatbázisok szintjén sem panaszkodhatunk annyira, de Message Oriented Middleware és Java web konténerek és alkalmazásszerverek már nagyon ritkán minősítettek. Álljon itt egy táblázat, összefoglalásul.
Típus | Termék | Legfrissebb verziószám | EAL szint |
---|---|---|---|
Operációs rendszer | Windows Vista Enterprise; Windows Server 2008 Standard Edition; Windows Server 2008 Enterprise Edition; Windows Server 2008 Datacenter Edition | Windows Server 2008 R2 SP1 RC | EAL4+ |
Operációs rendszer | Red Hat Enterprise Linux Ver. 5.3 on Dell 11G Family Servers | Red Hat Enterprise Linux 6 | EAL4+ |
Operációs rendszer | Oracle Enterprise Linux Version 5 Update 1 | Oracle Linux 5 update 5 | EAL4+ |
Operációs rendszer | SUSE Linux Enterprise Server 10 SP1 | SUSE Linux Enterprise 11 | EAL4+ |
Operációs rendszer | Solaris 10 Release 11/06 Trusted Extensions | Solaris 10 10/09. | EAL4+ |
Adatbázis | Oracle Database 11g Enterprise Edition with Oracle Database Vault Release 11.1.0.7 with Critical Patch Updates up to and including July 2009 | Oracle Database 11g Release 2 | EAL4+ |
Adatbázis | IBM DB2 Version 9.7 Enterprise Server Edition for Linux, Unix, and Windows | IBM DB2 Version 9.7 | EAL4+ |
Adatbázis | PostgreSQL Certified Version V8.1.5 for Linux | PostgreSQL 9.0 | EAL1 |
Message oriented middleware | IBM WebSphere MQ 6.0.1.1 | IBM WebSphere MQ 7.0.1.3 | EAL4+ |
Alkalmazásszerver | JBoss Enterprise Application Platform Version 4.3 CP03 | JBoss Application Server 6.0 | EAL2+ |
Alkalmazásszerver | IBM WebSphere Application Server V6.1.0.2 | IBM WebSphere Application Server V7 | EAL4+ |
Alkalmazásszerver | BEA WebLogic Server 8.1 SP6 | Oracle WebLogic Server 11g Enterprise Edition | EAL2+ |
Alkalmazásszerver | Oracle Application Server 10g | Helyette: Oracle WebLogic Server 11g | EAL4 |
Látható, hogy sok helyen feltüntetik, hogy milyen környezetben, milyen service vagy fix pack-kel érvényes.
Azt a következtetést is levonhatjuk, hogy viszonylag lassan követi a minősítés a kiadást. Java web konténerek és alkalmazásszerverek között meg gyakorlatilag már nem találunk olyant, melyet szívesen használnánk, mert támogatja a legújabb szabványokat (pl. EJB 3), és minősítéssel is rendelkezik.