ITSEC - ITSEC
Information Technology Security Evaluation Criteria ( ITSEC ) je strukturovaný soubor kritérií pro hodnocení počítačovou bezpečnost v rámci produktů a systémů. ITSEC byl poprvé publikován v květnu 1990 ve Francii , Německu , Nizozemsku a Velké Británii na základě existujících prací v příslušných zemích. Po rozsáhlém mezinárodním přezkumu byla verze 1.2 následně v červnu 1991 zveřejněna Komisí Evropských společenství pro provozní použití v rámci systémů hodnocení a certifikace.
Od zahájení ITSEC v roce 1990 se řada dalších evropských zemí dohodla na uznání platnosti hodnocení ITSEC.
ITSEC byl do značné míry nahrazen společnými kritérii , která poskytují podobně definované úrovně hodnocení a implementují cíl koncepce hodnocení a dokument Security Target.
Koncepty
Hodnocený produkt nebo systém, nazývaný cíl hodnocení , je podroben podrobnému zkoumání svých bezpečnostních prvků, které vyvrcholí komplexním a informovaným funkčním a penetračním testováním. Stupeň vyšetření závisí na požadované úrovni spolehlivosti v cíli. Pro zajištění různých úrovní spolehlivosti ITSEC definuje úrovně hodnocení označené E0 až E6. Vyšší úrovně hodnocení zahrnují rozsáhlejší zkoumání a testování cíle.
Na rozdíl od dřívějších kritérií, zejména TCSEC vyvinutého americkým obranným zařízením , ITSEC nevyžadoval, aby hodnocené cíle obsahovaly konkrétní technické vlastnosti, aby bylo dosaženo konkrétní úrovně záruky. Cíl ITSEC může například poskytovat funkce ověřování nebo integrity, aniž by poskytoval důvěrnost nebo dostupnost. Funkce zabezpečení daného cíle byly zdokumentovány v dokumentu Security Target , jehož obsah musel být vyhodnocen a schválen před hodnocením samotného cíle. Každé hodnocení ITSEC bylo založeno výhradně na ověření bezpečnostních prvků identifikovaných v bezpečnostním cíli.
Použití
Formální notace Z byla použita k prokázání bezpečnostních vlastností elektronického peněžního systému Mondex smart card, což mu umožnilo dosáhnout úrovně ITSEC E6, což je nejvyšší udělená klasifikace úrovně zabezpečení.
Reference
Bibliografie
- ITSEC (červen 1991). „Bezpečnost informačních technologií Hodnotící kritéria (ITSEC): Kritéria Předběžná Harmonizované“ (PDF) . Dokument COM (90) 314, verze 1.2. Komise Evropských společenství. Archivovány z původního (PDF) 23. května 2006 . Citováno 2006-06-02 .