ITSEC

Kryteria oceny bezpieczeństwa technologii informacyjnej ( ITSEC ) to uporządkowany zestaw kryteriów oceny bezpieczeństwa komputerowego w produktach i systemach. ITSEC został po raz pierwszy opublikowany w maju 1990 r. we Francji , Niemczech , Holandii i Wielkiej Brytanii na podstawie prac istniejących w tych krajach. Po szeroko zakrojonym przeglądzie międzynarodowym, wersja 1.2 została następnie opublikowana w czerwcu 1991 przez Komisję Wspólnot Europejskich do użytku operacyjnego w ramach programów oceny i certyfikacji.

Od czasu uruchomienia ITSEC w 1990 r. wiele innych krajów europejskich zgodziło się uznać ważność ocen ITSEC.

ITSEC został w dużej mierze zastąpiony przez Common Criteria , który zapewnia podobnie zdefiniowane poziomy oceny i realizuje koncepcję celu oceny oraz dokument Security Target.

koncepcje

Oceniany produkt lub system, zwany obiektem oceny , jest poddawany szczegółowemu badaniu jego zabezpieczeń, którego kulminacją są kompleksowe i przemyślane testy funkcjonalne i penetracyjne. Stopień badania zależy od pożądanego poziomu zaufania do celu. Aby zapewnić różne poziomy pewności, ITSEC definiuje poziomy oceny , oznaczone od E0 do E6. Wyższe poziomy oceny obejmują bardziej szczegółowe badanie i testowanie celu.

W przeciwieństwie do wcześniejszych kryteriów, w szczególności TCSEC opracowanych przez amerykańskie służby obronne , ITSEC nie wymagał, aby oceniane cele zawierały określone cechy techniczne w celu osiągnięcia określonego poziomu pewności. Na przykład obiekt docelowy ITSEC może zapewniać funkcje uwierzytelniania lub integralności bez zapewniania poufności lub dostępności. Funkcje bezpieczeństwa danego celu zostały udokumentowane w Celu bezpieczeństwa dokument, którego treść musiała zostać oceniona i zatwierdzona przed oceną samego celu. Każda ocena ITSEC opierała się wyłącznie na weryfikacji funkcji bezpieczeństwa określonych w Celu Bezpieczeństwa.

Używać

Formalna notacja Z została wykorzystana do udowodnienia właściwości bezpieczeństwa systemu elektronicznej gotówki Mondex z kartami inteligentnymi, co pozwoliło mu osiągnąć poziom ITSEC E6, najwyższy przyznany poziom bezpieczeństwa.

Bibliografia

  • ITSEC (czerwiec 1991). „Kryteria oceny bezpieczeństwa technologii informacyjnej (ITSEC): wstępne zharmonizowane kryteria” (PDF) . Dokument COM(90) 314, wersja 1.2. Komisja Wspólnot Europejskich. Zarchiwizowane od oryginału (PDF) w dniu 2006-05-23 . Źródło 2006-06-02 .
Pobrano z „ https://en.wikipedia.org/w/index.php?title=ITSEC&oldid=1068179199