Jak důvěřujete bezpečnostnímu řešení, které chrání váš informační systém? Ačkoliv je to klíčová otázka, není dost často kladená. Ať už jste podnik nebo státní instituce, potřebujete naprostou důvěru v produkt, který vás chrání. Jaký smysl má instalace bezpečnostního řešení, pokud není efektivní… nebo v horším případě, pokud má zadní vrátka, která mohou umožnit přístup zvenčí?

Jak si v reálném světě, plném napětí a podezírání, vybrat s důvěrou z řady mezinárodních řešení? Na globální úrovni v současné době existuje několik certifikací prokazujících odolnost produktů. Ale co koncept důvěry? K vyplnění této mezery vytvořilo několik evropských zemí jiný typ označení kvality: kvalifikace. Jaký je však rozdíl mezi „kvalifikací“ a „certifikací“? A jaký to má všechno smysl?

Certifikace nebo kvalifikace: v čem je rozdíl?

Podívejme se na případ Francie a její Národní agentury pro kybernetickou bezpečnost (ANSSI), která se může pochlubit mnohaletými zkušenostmi v oblasti kvalifikace. Existuje několik typů štítků: Common Criteria Certification, First Level Security Certification (CSPN) a Qualification, které samy o sobě mohou být buď základní (Basic), standardní (Standard), nebo zvýšená (Enhanced). Co tyto varianty znamenají?

Certifikace

Certifikace je prohlášení potvrzující robustnost bezpečnostního produktu. Vydavatelé softwaru definují „bezpečnostní cíl“, který popisuje hodnocené bezpečnostní funkce a kontext jejich použití. Akreditovaná nezávislá laboratoř, Centrum d´Évaluation de la Sécurité des Technologies de l’Information (CESTI), provádí hodnocení procesu vývoje produktu a jeho odolnosti vůči dané úrovni útoku.

Certifikace Common Criteria (CC) je uznávána a vydávána v řadě zemí. Ukazuje úroveň, na které byla vyhodnocena odolnost produktu vůči útoku. Například firewall může být certifikován na EAL3 +, EAL4 + atd.

First Level Security Certification (CSPN) byla implementována ANSSI jako alternativa k hodnocení certifikace CC, jejíž náklady a dlouhé trvání mohou být někdy překážkou. Testy se provádějí s omezeným časovým rozvrhem a zatížením (obvykle 2 měsíce, 25 až 35 pracovních dnů). Je ale potřeba zmínit menší problém s nomenklaturou: na rozdíl od certifikace CC, která je mezinárodně uznávaná, je CSPN v současné době ryze francouzskou značkou. Cílem je však v budoucnosti získat celoevropské uznání.

Co možná nevíte o certifikaci

  • Pokud certifikační proces následně nevede k získání kvalifikace, agentura vydávající země není zapojena do vymezení bezpečnostního cíle. Výrobci tedy mohou do jisté míry cíl přizpůsobit, jak uznají za vhodné, a případně z hodnocení vyloučit některé bezpečnostní funkce produktu. Je proto nezbytné pečlivě prozkoumat bezpečnostní cíl vybraný výrobcem v porovnání s vaší potřebou zabezpečení. Protože za výběr příslušného bezpečnostního řešení nesete odpovědnost sami.
  • Zpráva o certifikaci může vyvolat výhrady nebo doporučení, která je třeba pečlivě prozkoumat s ohledem na vaši vlastní situaci.
  • A konečně, certifikace se vztahuje na konkrétní verze softwaru nebo hardwaru, takže se ujistěte, že se výsledná certifikace nevztahuje na produkt nebo verzi před několika lety, které již nemusí být prodávána nebo podporována.

Kvalifikace

Více než pouhá certifikace představuje kvalifikace doporučení ANSSI a je vyjádřením důvěry francouzského státu v bezpečnostní produkt a jeho výrobce.

Prvním předpokladem je získání certifikace na dostatečně vysoké úrovni, avšak s bezpečnostním cílem ověřeným ANSSI. Kromě certifikačního procesu ANSSI provádí další analýzy včetně auditu zdrojového kódu hodnoceného produktu. Dejte si pozor na odvážná tvrzení – měli byste být na pozoru, pokud výrobce tvrdí, že jeho kvalifikace čeká na schválení, ale není schopen předložit oficiální dopis potvrzující zahájení kvalifikačního procesu.

Tato kvalifikace produktu je uznávána ve Francii a (v některých případech) také v Evropě. Předpokladem je také schválení produktu pro ochranu utajovaných informací „NATO restricted“ nebo „EU restricted“.

  • Status „NATO restricted“ se vztahuje na informace, jejichž neoprávněné zveřejnění by bylo v rozporu se zájmy NATO nebo některých jejích členských států. K zařazení do katalogu řešení oprávněných k zajištění takových informací nestačí pouze certifikace, produkt musí obdržet standardní kvalifikaci.
  • Status „EU restricted“ se vztahuje na informace, jejichž neoprávněné zveřejnění by bylo v rozporu se zájmy Evropské unie nebo některých jejích členských států. Aby byl produkt zařazen do katalogu řešení schválených EU pro zajištění těchto informací, musí být kvalifikován dvěma agenturami členských států EU (ve Francii, standardní kvalifikace). Zde opět nestačí jen certifikace.

Proč si vybrat produkt kvalifikovaný společností ANSSI mimo Francii?

Ačkoli je ve Francii jejich použití v některých regulačních kontextech povinné, řešení kvalifikovaná francouzskou národní agenturou rozhodně nejsou vyhrazena výhradně pro francouzské organizace. Pokud zvolíte řešení kvalifikované ANSSI, vybíráte produkt doporučený dobře známou a důvěryhodnou bezpečnostní agenturou členského státu Evropské unie:

  • To vám zaručuje produkt, jehož robustnost byla vyzkoušena a testována v rámci certifikačního procesu
  • na cíl vyhodnocení a využití ověřený ANSSI,
  • jehož zdrojový kód byl auditován,
  • a je vyráběn společností, jejíž procesy vývoje, dodávek a podpory jsou považovány za důvěryhodné členským státem Evropské unie.

Aby ANSSI usnadnila organizacím výběr produktů, začala v nedávné době nabízet katalog kvalifikovaných řešení, které jsou označený štítkem: „Security Visa“. Toto vízum oceňuje řešení uznaná francouzskou vládou jako robustní a důvěryhodná po důkladném testování a důsledné analýze.

Díky tomuto vízu a podpoře ze strany německé agentury pro kybernetickou bezpečnost BSI (Bundesamt fur Sicherheit in der Informationstechnik) upevňuje ANSSI svou evropskou pozici v prosazování bezpečnostních požadavků na vysoké úrovni.

A co vy? Máte konkrétní důkaz, že můžete věřit svému současnému bezpečnostnímu řešení a společnosti, která jej vyrábí? Důvěřujete štítkům a certifikacím, se kterými byly vydány?

Autor: Julien Paffumi, Stormshield
Překlad a úpravy: Jan Mazal, VPGC

Zdroj: Stormshield – Qualified security solutions: choosing a trusted solution