Bezpecnost.
Frantisek Krupka
krupka na pha.pvt.cz
Úterý Listopad 4 12:16:22 CET 1997
Pavel Kankovsky wrote:
>
> nejprve bych tomu dotycnemu polozil otazku, zda je dle jeho nazoru
> bezpecny system, ve kterem 1) nejsou bezpecnostni diry, 2) jsou, ale
> nevi se o nich
Nekteri z nich jsou si 'jisti', ze pokud o tech dirach nevedi oni, nevi
o nich nikdo :-)))
Je nutne pocitat s tim, ze system muze obsahovat diry, takove riziko
vsak musi byt odpovidajicim zpusobem zvladano (vyhazeni nepotrebnych
sluzeb, pozastaveni urcite sluzby, instalace patchu, odpovidajici audit
atd)
> nevim jak v americke armade, ale pro ziskani certifikace ITSEC (nevim
> presne od jake urovne) je nutny nezavisly audit zdrojovych kodu (ovsem
> take formalni popis bezpecnostnich funkci a formalni dukaz toho, ze
> jsou navrzeny a implementovany spravne)
>
Dovolim si trochu upresnit. Pozadavky na podklady pro hodnoceni se lisi
podle pozadovane urovne zhodnoceni (viz ITSEC "4 ASSURANCE -
CORRECTNESS"). Zalezi tedy na tom, na jake urovni ma byt produkt nebo
system IT hodnocen (tedy jakou miru zaruky na bezpecnost pozaduji)
Krupka F.,
Další informace o konferenci Linux