Míg az autógyártásban léteznek olyan szabványos tesztek, amelyek a biztonságot garantálják, addig a szoftverek esetében korántsem ilyen egyértelmű a helyzet: a fejlesztésnek nincsenek minden gyártó számára kötelező kritériumai. A számítógépes programok vásárlásakor így a vevő sokszor a bizalomra, nem pedig valamilyen szabvány teljesítésére alapozza döntését. Mivel pedig a nem kielégítő minőségű szoftverek komoly biztonsági kockázatot jelentenek, a vezető gazdaságok képviselői egymással összefogva létrehoztak egy olyan – egységesnek szánt – előírásrendszert, amelynek tervezett célja, hogy garantálja a megfelelő biztonsági szintet.
„Az Egyesült Államok, Németország, Kanada és más országok is kialakították saját IT-biztonsági szabványukat, ezek azonban nehezen összemérhetőek” – mutat rá a közös szabvány szükségességére Gombás László, a biztonsági megoldásosat fejlesztő amerikai Symantec magyarországi képviseletének vezető rendszermérnöke. Emiatt született meg 1996 januárjában a Common Criteria (CC) nevű szabvány, amely – mint a neve is utal rá – általánosan elfogadott szempontokat kíván érvényesíteni az IT-biztonságban. A szakértők szerint a CC előnye, hogy nem előírásokat, hanem követelményrendszert tartalmaz, és csak az ebben meghatározott elvárásokra nyújt garanciát. A szakma ugyanakkor abban is egységes, hogy mindez számos problémát is felvet. „Ha egy autót bizonyos elvárások szerint bevizsgálnak, például, hogy guruljon, és ne ázzon be, ez még nem jelenti azt, hogy megfelel a vevő azon elvárásának is, hogy ne zötyögjön” – szemlélteti a problémát Gombás, aki szerint ez a követelményekben jelentkező hiányosság a szoftvereknél is előfordul.
Kovács Zoltán, a Kürt Rt. tanácsadási üzletágának vezetője szintén a követelményrendszer meghatározásának hiányát tartja a CC fő gyengéjének. „A szabvány meghatározza, hogy egy információs biztonsági előírásokat tartalmazó követelményt ki hagyhat jóvá, arról azonban tételesen nem rendelkezik, hogy mondjuk egy tűzfalnak milyen elvárásoknak kell megfelelnie. Persze nemcsak Magyarországon nem alkottak még ilyen követelményrendszert, nemzetközileg kidolgozott megoldás is kevés van” – mutat rá.
Hazai háttér
Magyarország formálisan már csatlakozott a Common Criteria egyezményhez. Az informatikai termékek és rendszerek biztonsági értékelésére és tanúsítására nemzetközileg elfogadott CC hazai elismeréséhez azonban szükség van egy nemzeti séma kialakítására is. Ez lesz a Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS), amelynek kidolgozása jelenleg is folyik az Információs Társadalom Koordinációs Tárcaközi Bizottság keretein belül. A séma, illetve az azt követő IHM-rendelet teremti meg az alapját, hogy hazánk ne csak elfogadja a tanúsítványokat, hanem itthon is megjelenjenek a tanúsító szervezetek.
