Konstruowanie zabezpieczeń produktów i systemów informatycznych posiadających mierzalny poziom uzasadnionego zaufania

• Autorzy: Białas A.

Warianty tytułu

EN

Design engineering of protections of products and informatics systems characterized by a measurable level of a reasonable confidence

• Języki publikacji: PL

Abstrakty

PL

Artykuł, w świetle standardu ISO/IEC 15408 Common Criteria, przedstawia przegląd zagadnień związanych z konstruowaniem i oceną zabezpieczeń wbudowywanych w dowolne produkty lub systemy informatyczne. Ocena ta dotyczy uzasadnionego zaufania do zabezpieczeń, utożsamianego potocznie z ich wiarygodnością. Po krótkim wprowadzeniu w tematykę związaną ze standardem, skrótowo opisano kilkuetapowy i dość sformalizowany proces konstruowania zabezpieczeń. W jego wyniku powstaje dokument zwany zadaniem zabezpieczeń, który specyfikuje zbiór funkcji zabezpieczających wbudowywanych w produkt lub system informatyczny. Ponadto precyzowany jest poziom uzasadnionego zaufania, utożsamiany z rygoryzmem, z jakim implementowane są te funkcje. Ciężar opracowania materiału dowodowego potwierdzającego zadeklarowany poziom uzasadnionego zaufania spoczywa głównie na konstruktorach i osobach odpowiedzialnych za procesy wytwarzania i utrzymania. Materiał wraz z produktem lub systemem informatycznym poddawany jest niezależnej ocenie według metodyki związanej ze standardem. Pozytywny i dodatkowo zweryfikowany wynik tej oceny pozwala na uzyskanie certyfikatu na spełnienie wymagań deklarowanego poziomu uzasadnionego zaufania. Produkty certyfikowane, dzięki tej niezależnej i wnikliwej ocenie, są uznawane za bardziej wiarygodne, więc mogą być używane do odpowiedzialnych zastosowań.

EN

The paper presents a review of the issues relating to design engineering and assessment of the protections to be built into any products or informatics systems, regarding the standard: ISO/IEC 15408 Common Criteria. The assessment has been applied to the reasonable confidence in the protections, which is usually identified with the reliability of the protections. After a short introduction has been made to the subject matter related to the standard, there has been described in brief a few-stage and quite formalized process of design of the protections resulted in a document called a task of protections, which specifies a set of protective functions to be built into a product or an informatics system. Furthermore there has become specified a level of a reasonable confidence, which has been identified with a rigorism with which the functions have been implemented. The elaboration of an evidentiary material to confirm the declared level of the reasonable confidence is to be made exclusively by designers and the persons responsible for manufacturing and maintenance processes. That material including a product or an informatics system is to be evaluated by the methodology process related to the standard. The positive and additionally verified result of that evaluation allows a certificate of meeting the requirements of the declared level of the reasonable confidence to be issued. Thanks that independent and penetrating evaluation, the certified products are recognized as more reliable and may be used for responsible applications.

Słowa kluczowe

PL

konstruowanie zabezpieczeń; ocena zabezpieczeń

EN

assessment of protections; design engineering of protections

• Wydawca: Instytut Technik Innowacyjnych EMAG
• Czasopismo: Mechanizacja i Automatyzacja Górnictwa
• Rocznik: 2009
• Tom: R. 47, nr 1
• Strony: 45--54
• Opis fizyczny: Bibliogr. 15 poz.,Tab., rys.,

Twórcy

autor

Białas A.

• Centrum Elektryfikacji i Automatyzacji Górnictwa EMAG

Bibliografia

• 1. ISO/IEC 15408-1, Information technology - Security techniques - Evaluation criteria for IT security - Introduction and general model (Common Criteria Part 1).
• 2. ISO/IEC 15408-2, Information technology - Security techniques - Evaluation criteria for IT security - Security functional requirements (Common Criteria Part 2).
• 3. ISO/IEC 15408-3, Information technology - Security techniques - Evaluation criteria for IT security - Security assurance requirements (Common Criteria Part 3).
• 4. Common Criteria portal: http://www.commoncriteriaportal.org/
• 5. ISO/IEC TR 15446 Guide for the production of protection pro-files and security targets.
• 6. Common Evaluation Methodology for Information Technology Security (Part 1-2).
• 7. Białas A.: Semiformal Common Criteria Compliant IT Security Development Framework. Studia Informatica vol. 29, Number 2B(77), Silesian University of Technology Press, Gliwice 2008.
• 8. Białas A.: IT security development - computer-aided tool supporting design and evaluation. W: Kowalik J., Górski J., Sachenko A. (eds.): Cyberspace Security and Defense. vol. 196, Springer Verlag, Heidelberg 2005, s. 3-23.
• 9. Białas A.: A semiformal approach to the security problem of the target of evaluation (TOE) modeling. W: Arabnia H., Aissi S. (Eds), Vert G., Williams P. (Assoc. Co Eds): Proc. of the 2006 Int. Conf. on Security and Management. CSREA Press, Las Vegas 2006, s. 19-25.
• 10. Białas A.: Semiformal Approach to the IT Security Development. W: Zamojski W., Mazurkiewicz J., Sugier J., Walkowiak T.: Pro-ceedings of the International Conference on Dependability of Computer Systems DepCoS-RELCOMEX 2007. IEEE Computer Society, Los Alamitos, Washington, Tokyo, s. 3-11.
• 11. Białas A.: Modeling the Security Objectives According to the Common Criteria Methodology. W: Aissi S., Arabnia H. (Editors), Daimi K., Gligoroski D., Markowsky G., Solo A.,M.,G. (ASSOC. CO Eds), Proc. of the 2007 Int. Conf on Security and Management. CSREA Press, Las Vegas 2007, s. 223-229.
• 12. Białas A.: Semiformal framework for ICT security development. The 8th International Common Criteria Conference (ICCC). Rome, 25-27 September 2007.
• 13. Białas A.: Ontology-based Approach to the Common Criteria Compliant IT Security Development. W: Proceedings of the 2008 International Conference on Security and Management - SAM'08 (The World Congress In Applied Computing). June, Las Vegas 2008.
• 14. Białas A.: Podstawy zaufania do produktu lub systemu informatycznego, Rozdział w: Grzywak A., Kapczyński A. (Praca zbiorowa pod red. naukową): Zastosowanie Internetu w społeczeństwie informacyjnym, Wydawnictwo Wyższej Szkoła Biznesu w Dąbrowie Górniczej, 2008, pp. 187-201.
• 15. Annex IB of Commission Regulation (EC) No.1360/2002 on recording equipment in road transport: Requirements for Construction, Testing, Installation and Inspection (in: Official Journal of the European Communities, L 207 / 1 ff.), Commission of the European Communities, 05.08.2002, appendix 10, chapter 3.2.