Bezpecnost.

[Frantisek Krupka]

Pavel Kankovsky wrote:
> 
> nejprve bych tomu dotycnemu polozil otazku, zda je dle jeho nazoru 
> bezpecny system, ve kterem 1) nejsou bezpecnostni diry, 2) jsou, ale 
> nevi se o nich

Nekteri z nich jsou si 'jisti', ze pokud o tech dirach nevedi oni, nevi
o nich nikdo :-)))

Je nutne pocitat s tim, ze system muze obsahovat diry, takove riziko
vsak musi byt odpovidajicim zpusobem zvladano (vyhazeni nepotrebnych
sluzeb, pozastaveni urcite sluzby, instalace patchu, odpovidajici audit
atd)

> nevim jak v americke armade, ale pro ziskani certifikace ITSEC (nevim
> presne od jake urovne) je nutny nezavisly audit zdrojovych kodu (ovsem
> take formalni popis bezpecnostnich funkci a formalni dukaz toho, ze 
> jsou navrzeny a implementovany spravne)
> 

Dovolim si trochu upresnit. Pozadavky na podklady pro hodnoceni se lisi
podle pozadovane urovne zhodnoceni (viz ITSEC "4 ASSURANCE -
CORRECTNESS"). Zalezi tedy na tom, na jake urovni ma byt produkt nebo
system IT hodnocen (tedy jakou miru zaruky na bezpecnost pozaduji)



                                         Krupka F.,