54 PROIZVODI I SISTEMI
PROCJENA KVALITETA PROIZVODA
CERTIFIKACIJA PREMA ZAJEDNIČKIM KRITERIJIMA ZAJEDNIČKI KRITERIJI ZA OCJENU SIGURNOSTI INFORMACIJSKE TEHNOLOGIJE (SKRAĆENO ZAJEDNIČKI KRITERIJI ILI CC) MEĐUNARODNI SU STANDARD ZA NEZAVISNU PROCJENU SIGURNOSTI I CERTIFIKACIJU HARDVERA, FIRMVERA ILI SOFTVERA. RIJEČ JE O POZNATOM PROGRAMU CERTIFICIRANJA KOJI POSTAJE SVE POPULARNIJI JER PREDSTAVLJA GARANCIJU SIGURNOSNIH FUNKCIJA PROIZVODA Piše: Ena Kurtović, specijalistkinja za certificiranje u oblasti sigurnosti, Secura BV ena.kurtovic@secura.com
Prema Zajedničkim kriterijima, različite IT proizvode mogu ocjenjivati i certificirati nezavisne laboratorije za procjenu sigurnosti, kao i tijela za certifikaciju. Proizvodi koji se mogu certificirati na osnovu metodologije uključuju softverske proizvode (npr. rješenja za brisanje podataka, antivirusni programi, baze podataka itd.), kao i hardver i integrisane proizvode (pametne kartice, integrisani sklopovi, IoT, medicinski i pametni uređaji itd.). Proizvod se može evaluirati na osnovu sedam mogućih nivoa procijenjene sigurnosti (Evaluation Assurance Level – EAL), pri čemu svaki novi nivo podiže složenost procjene i obuhvaćenost testom.
Kompleksni procesi Procjena pomoću Zajedničkih kriterija je prilično rigorozna, uz detaljnu analizu aspekata koji se odnose na sigurnost proizvoda, počevši od procjene razvojne dokumentacije (tj. tehničke dokumentacije i opisa arhitekture) i dokumentacije sa smjernicama (priručnici za konfiguraciju i korisnike, isporuka i instalacija itd.). Nakon toga ona obuhvata procesne aspekte analize, kao što su razvoj, proizvodnja, upravljanje promjenama i drugi aspekti životnog ciklusa proizvoda. Na kraju se rade funkcionalni i penetracijski
www.asadria.com juni/lipanj 2021.
testovi kako bi se utvrdilo jesu li sigurnosne funkcije proizvoda doista na nivou koji je naveden. Kako je rečeno, kod viših nivoa EAL-a potrebna je veća detaljnost i pokrivenost, što znači da će, pored ostalih aktivnosti evaluacije, biti potrebni pregledi koda ili terenske posjete. Procjena na temelju Zajedničkih kriterija striktno se pridržava sigurnosnih i zahtjeva procjene definiranih u okviru metodologije. Ova metodologija se sastoji od nekoliko dokumenata: • Dio 1: Uvod i opći model • Dio 2: Sigurnosne funkcionalne komponente
• Dio 3: Komponente provjere sigurnosti • Standardna metodologija za procjenu sigurnosti informacijske tehnologije (CEM)
Osnove za procjenu Zahtjevi definirani u “Dijelu 2: Sigurnosne funkcionalne komponente” služe kao osnova za ocjenu proizvoda. Ovi zahtjevi definiraju očekivane (tražene) sigurnosne funkcije proizvoda u opsegu procjene. Primjeri takvih mogućnosti uključuju kriptografiju, autentifikaciju, autorizaciju, fizičku zaštitu, evidentiranje događaja itd. Na ovaj način za sve proizvode koji se ocjenjuju na osno-
