Procjena kvaliteta proizvoda

ZAJEDNIČKI KRITERIJI ZA OCJENU SIGURNOSTI INFORMACIJSKE TEHNOLOGIJE (SKRAĆENO ZAJEDNIČKI KRITERIJI ILI CC) MEĐUNARODNI SU STANDARD ZA NEZAVISNU PROCJENU SIGURNOSTI I CERTIFIKACIJU HARDVERA, FIRMVERA ILI SOFTVERA. RIJEČ JE O POZNATOM PROGRAMU CERTIFICIRANJA KOJI POSTAJE SVE POPULARNIJI JER PREDSTAVLJA GARANCIJU SIGURNOSNIH FUNKCIJA PROIZVODA

Piše: Ena Kurtović Piše: Ena Kurtović, specijalistkinja za , specijalistkinja za certificiranje u oblasti sigurnosti,certifi ciranje u oblasti sigurnosti, Secura BV Secura BV ena.kurtovic@secura.com ena.kurtovic@secura.com

Prema Zajedničkim kriterijima, različite IT proizvode mogu ocjenjivati i certifi cirati nezavisne laboratorije za procjenu sigurnosti, kao i tijela za certifi kaciju. Proizvodi koji se mogu certifi cirati na osnovu metodologije uključuju softverske proizvode (npr. rješenja za brisanje podataka, antivirusni programi, baze podataka itd.), kao i hardver i integrisane proizvode (pametne kartice, integrisani sklopovi, IoT, medicinski i pametni uređaji itd.). Proizvod se može evaluirati na osnovu sedam mogućih nivoa procijenjene sigurnosti (Evaluation Assurance Level – EAL), pri čemu svaki novi nivo podiže složenost procjene i obuhvaćenost testom.

Procjena pomoću Zajedničkih kriterija je prilično rigorozna, uz detaljnu analizu aspekata koji se odnose na sigurnost proizvoda, počevši od procjene razvojne dokumentacije (tj. tehničke dokumentacije i opisa arhitekture) i dokumentacije sa smjernicama (priručnici za konfi guraciju i korisnike, isporuka i instalacija itd.). Nakon toga ona obuhvata procesne aspekte analize, kao što su razvoj, proizvodnja, upravljanje promjenama i drugi aspekti životnog ciklusa proizvoda. Na kraju se rade funkcionalni i penetracijski testovi kako bi se utvrdilo jesu li sigurnosne funkcije proizvoda doista na nivou koji je naveden. Kako je rečeno, kod viših nivoa EAL-a potrebna je veća detaljnost i pokrivenost, što znači da će, pored ostalih aktivnosti evaluacije, biti potrebni pregledi koda ili terenske posjete. Procjena na temelju Zajedničkih kriterija striktno se pridržava sigurnosnih i zahtjeva procjene defi niranih u okviru metodologije. Ova metodologija se sastoji od nekoliko dokumenata: • Dio 1: Uvod i opći model • Dio 2: Sigurnosne funkcionalne komponente • Dio 3: Komponente provjere sigurnosti • Standardna metodologija za procjenu sigurnosti informacijske tehnologije (CEM)

Zahtjevi defi nirani u “Dijelu 2: Sigurnosne funkcionalne komponente” služe kao osnova za ocjenu proizvoda. Ovi zahtjevi defi niraju očekivane (tražene) sigurnosne funkcije proizvoda u opsegu procjene. Primjeri takvih mogućnosti uključuju kriptografi ju, autentifi kaciju, autorizaciju, fi zičku zaštitu, evidentiranje događaja itd. Na ovaj način za sve proizvode koji se ocjenjuju na osno-

Ena Kurtović

vu Zajedničkih kriterija moraju se odabrati relevantne funkcije s popisa defi niranog u Dijelu 2, uz mogućnost da se, po potrebi, defi niraju namjenske mogućnosti. Tako se osigurava primjena istovjetnih očekivanja u pogledu sigurnosti, bez obzira na vrstu, marku ili kategoriju proizvoda, ali i ujednačenost i međunarodno priznavanje rezultata. Sa stanovišta evaluacije, neophodni zahtjevi su standardizirani i u “Dijelu 3: Komponente provjere sigurnosti”. Zahtjevi sadržani u ovom dijelu nude jasan način na koji bi laboratorija za procjenu sigurnosti trebala obavljati aktivnosti procjene unutar određenog opsega. Oni obično uključuju kombinaciju pregleda dokumentacije i procesa, validacije i penetracijskih testiranja. Načini na koje se zaključci provedene procjene tumače i prezentiraju u formi izvještaja također su defi nirani zahtjevima iz dijela 3, čime se osigurava da svaka licencirana laboratorija testira proizvode i interpretira rezultate na istovjetan način.

Certifi kat o zajedničkim kriterijima danas mogu izdati različita tijela za certifi kaciju, odnosno članovi nacionalnih certifi kacijskih programa. Razni državni programi grupirani su prema sporazumima o uzajamnom priznavanju na osnovu kojih se direktno priznaju rezultati i certifi kati proizvoda koji se međusobno ocjenjuju. Najvažniji ugovori o međusobnom priznavanju u domenu Zajedničkih kriterija su CCRA (Globalni sporazum o priznavanju certifi kata do nivoa 2 – EAL2) i SOGIS (Evropski sporazum o priznavanju certifi kata bez obzira na nivo). U bliskoj budućnosti svi državni programi trebaju biti objedinjeni u jedinstvenu shemu na nivou Evropske unije, tako da će CC certifi kat biti priznat u cijeloj EU, uz otklanjanje razlika između državnih programa certifi kacije. Kompanije certifi ciraju svoje proizvode da bi stekle razne pogodnosti koje, između ostalog, uključuju međunarodno uzajamno priznavanje certifi kata, pouzdanu demonstraciju traženih sigurnosnih funkcija proizvoda, temelj za sklapanje strateških partnerstva s lokalnim vlastima ili integratorima proizvoda i plasiranje proizvoda na nova tržišta te prednost u odnosu na slične necertifi cirane konkurentske proizvode.

Secura je trenutno licencirana kao laboratorija koja primjenjuje Zajedničke kriterije u skladu s holandskim programom NSCIB. Uprkos izazovima koje nosi pandemija COVIDa, NSCIB je osigurao impresivnu poziciju na CC tržištu i trenutno je na 3. mjestu po broju certifi ciranih proizvoda u 2020. Suprotno većini zemalja, Holandija je uspjela znatno povećati broj izdatih certifi kata u posljednjih nekoliko godina. Prednosti NSCIB programa su jasan i predvidljiv proces ocjenjivanja, kao i jasno planiranje aktivnosti, čime se izbjegavaju potencijalna kašnjenja. Više informacija o Zajedničkim kriterijima saznajte na stranici www.secura.com/services/iot/common-criteria.

Procjene i certifi kacije prema Zajedničkim kriterijima su u posljednjih nekoliko godina posebno popularne u svijetu pametnih kartica i integrisanih sklopova. No, trendovi se kreću u pravcu veće raznovrsnosti pro-

izvoda koje kompanije žele certifi cirati. Linije proizvoda koje postaju sve zanimljivije u odnosu na CC evaluaciju uključuju, npr., aplikacije za zaštitu od softverskih prijetnji, mrežne uređaje i softver, multifunkcionalne štampače, pa čak i potrošačke uređaje interneta stvari (IoT). U domenu pametnih kartica i integrisanih sklopova procjena se obično podudara s višim nivoima sigurnosti (EAL5 ili više) kako bi se obuhvatili visoki rizici povezani s tim proizvodima. S druge strane, visok nivo EAL procjene može biti izazov za IoT uređaje s obzirom na trajanje i cijenu. IoT proizvodi (i integrisani uređaji općenito) trebaju brze i lako izvedive opcije certifi ciranja koje su bliže nivoima procjene EAL1, EAL2 ili EAL3. Evaluacija u skladu s ovim nižim nivoima procijenjene sigurnosti osigurat će široku priznatost dobijenih certifi kata te skratiti trajanje procesa, smanjiti cijenu i potrebu za interakcijom s klijentima.