Ako dôverujete bezpečnostnému riešeniu, ktoré chráni váš informačný systém? Hoci je to kľúčová otázka, nie je dosť často kladená. Či už ste podnik alebo štátna inštitúcia, potrebujete úplnú dôveru v produkt, ktorý vás chráni. Aký zmysel má inštalácia bezpečnostného riešenia, pokiaľ nie je efektívne … alebo v horšom prípade, ak má zadné vrátka, ktoré môžu umožniť prístup zvonku?

Ako si v reálnom svete, plnom napätia a podozrievania vybrať s dôverou z množstva medzinárodných riešení? Na globálnej úrovni v súčasnosti existuje niekoľko certifikácií preukazujúcich odolnosť produktov. Ale čo koncept dôvery? Na vyplnenie tejto medzery vytvorilo niekoľko európskych krajín iný typ označenie kvality: kvalifikácia. Aký je však rozdiel medzi „kvalifikáciou“ a „certifikáciou“? A aký to má všetko zmysel?

Certifikácia alebo kvalifikácia: v čom je rozdiel?

Pozrime sa na prípad Francúzska a jej Národnej agentúry pre kybernetickú bezpečnosť (ANSSI), ktorá sa môže pochváliť mnohoročnými skúsenosťami v oblasti kvalifikácie. Existuje niekoľko typov štítkov: Common Criteria Certification, First Level Security Certification (CSPN) a Qualification, ktoré samy o sebe môžu byť buď základná (Basic), štandardná (Standard), alebo zvýšená (Enhanced). Čo tieto varianty znamenajú?

Certifikácia

Certifikácia je vyhlásenie potvrdzujúce robustnosť bezpečnostného produktu. Vydavatelia softvéru definujú „bezpečnostný cieľ“, ktorý popisuje hodnotené bezpečnostné funkcie a kontext ich použitia. Akreditované nezávislé laboratórium, Centrum d’Évaluation de la Sécurité des Technologies de l’Information (CESTI), vykonáva hodnotenie procesu vývoja produktu a jeho odolnosti voči danej úrovni útoku.

Certifikácia Common Criteria (CC) je uznávaná a vydávaná v mnohých krajinách. Ukazuje úroveň, na ktorej bola vyhodnotená odolnosť produktu voči útoku. Napríklad firewall môže byť certifikovaný na EAL3 +, EAL4 + atď.

First Level Security Certification (CSPN) bola implementovaná ANSSI ako alternatíva k hodnoteniu certifikácie CC, ktorej náklady a dlhé trvanie môžu byť niekedy prekážkou. Testy sa vykonávajú s obmedzeným časovým rozvrhom a zaťažením (zvyčajne 2 mesiace, 25 až 35 pracovných dní). Je ale potrebné spomenúť menší problém s nomenklatúrou: na rozdiel od certifikácie CC, ktorá je medzinárodne uznávaná, je CSPN v súčasnosti rýdzo francúzskou značkou. Cieľom je však v budúcnosti získať celoeurópske uznanie.

Čo možná neviete o certifikácii

  • Ak certifikačný proces následne nevedie k získaniu kvalifikácie, agentúra vydávajúcej krajiny nie je zapojená do vymedzenia bezpečnostného cieľa. Výrobcovia teda môžu do istej miery cieľ prispôsobiť, ako uznajú za vhodné, a prípadne z hodnotenia vylúčiť niektoré bezpečnostné funkcie produktu. Je preto nevyhnutné dôkladne preskúmať bezpečnostný cieľ vybraný výrobcom v porovnaní s vašou potrebou zabezpečenia. Pretože za výber príslušného bezpečnostného riešenia nesiete zodpovednosť sami.
  • Správa o certifikáciu môže vyvolať výhrady alebo odporúčania, ktoré je potrebné starostlivo preskúmať s ohľadom na vašu vlastnú situáciu.
  • A konečne, certifikácia sa vzťahuje na konkrétne verzie softvéru alebo hardvéru, takže sa uistite, že sa výsledná certifikácia nevzťahuje na produkt alebo verziu pred niekoľkými rokmi, ktoré už nemusí byť predávaná alebo podporovaná.

Kvalifikácia

Viac ako samotná certifikácia predstavuje kvalifikácia odporúčanie ANSSI a je vyjadrením dôvery francúzskeho štátu v bezpečnostný produkt a jeho výrobcu.

Prvým predpokladom je získanie certifikácie na dostatočne vysokej úrovni, avšak s bezpečnostným cieľom overeným ANSSI. Okrem certifikačného procesu ANSSI vykonáva ďalšie analýzy vrátane auditu zdrojového kódu hodnoteného produktu. Dajte si pozor na odvážne tvrdenie – mali by ste byť na pozore, ak výrobca tvrdí, že jeho kvalifikácia čaká na schválenie, ale nie je schopný predložiť oficiálny list potvrdzujúci začatí kvalifikačného procesu.

Táto kvalifikácia produktu je uznávaná vo Francúzsku a (v niektorých prípadoch) aj v Európe. Predpokladom je tiež schválenie produktu na ochranu utajovaných skutočností „NATO restricted“ alebo „EU restricted“.

  • Status „NATO restricted“ sa vzťahuje na informácie, ktorých neoprávnené zverejnenie by bolo v rozpore so záujmami NATO alebo niektorých jej členských štátov. K zaradeniu do katalógu riešení oprávnených na zabezpečenie týchto informácií nestačí iba certifikácia, produkt musí dostať štandardnú kvalifikáciu.
  • Status „EU restricted“ sa vzťahuje na informácie, ktorých neoprávnené zverejnenie by bolo v rozpore so záujmami Európskej únie alebo niektorých jej členských štátov. Aby bol produkt zaradený do katalógu riešení schválených EÚ na zabezpečenie týchto informácií, musí byť kvalifikovaný dvoma agentúrami členských štátov EÚ (vo Francúzsku, štandardná kvalifikácia). Tu opäť nestačí len certifikácia.

Prečo si vybrať produkt kvalifikovaný ANSSI mimo Francúzska?

Hoci je vo Francúzsku ich použitie v niektorých regulačných kontextoch povinné, riešenia kvalifikované francúzskou národnou agentúrou rozhodne nie sú vyhradené len pre francúzske organizácie. Ak zvolíte riešenie kvalifikované ANSSI, vyberáte produkt odporúčaný dobre známou a dôveryhodnou bezpečnostnou agentúrou členského štátu Európskej únie:

  • To vám zaručuje produkt, ktorého robustnosť bola vyskúšaná a testovaná v rámci certifikačného procesu
  • na cieľ vyhodnotenie a využitie overený ANSSI,
  • ktorého zdrojový kód bol auditovaný,
  • a je vyrábaný spoločnosťou, ktorej procesy vývoja, dodávok a podpory sú považované za dôveryhodné členským štátom Európskej únie.

Aby ANSSI uľahčila organizáciám výber produktov, začala nedávno ponúkať katalóg kvalifikovaných riešení, ktoré sú označené štítkom: „Security Visa“. Toto vízum oceňuje riešenie uznané francúzskou vládou ako robustné a dôveryhodné po dôkladnom testovaní a dôsledné analýze.

Vďaka týmto vízam a podpore zo strany nemeckej agentúry pre kybernetickú bezpečnosť BSI (Bundesamt fur Sicherheit in der Informationstechnik) upevňuje ANSSI svoju európsku pozíciu v presadzovaní bezpečnostných požiadaviek na vysokej úrovni.

A čo vy? Máte konkrétny dôkaz, že môžete veriť svojmu súčasnému bezpečnostnému riešeniu a spoločnosti, ktorá ho vyrába? Dôverujete štítkom a certifikáciám, s ktorými boli vydané?

Autor: Julien Paffumi, Stormshield
Preklad a úpravy: Jan Mazal, VPGC

Zdroj: Stormshield – Qualified security solutions: choosing a trusted solution