Prim Hírek

A testület fő védnökei: az NSA (National Security Agency – Nemzetbiztonsági ügynökség), a DISA (Defense Information Systems Agency – Információrendszer-védelmi Ügynökség) és a NIST (National Institute of Standards and Technology – Nemzeti Szabványügyi és Műszaki-fejlesztési Hivatal). A további állami szervezetek mellett természetesen az ipar és a kutatói szféra reprezentánsai is részt vesznek abban a munkában, ami már vagy két éve elindult, de főként a múlt évi kibernetikai és fizikai terroresemények hatására gyorsult fel. A tagok közt nem látom a Microsoftot, de például a HP-t vagy akár az IBM-et sem. Ugyanakkor a résztvevőknek vagy egyharmada egyéni tag, Ausztráliától, Indián át, Ománig. Magyar név nem akadt a szemembe. A legközelebbi tán egy osztrák.

A 2000. októberében alapított szervezet 7 fő szabványforrást jelölt meg kiindulópontként. A BS 7799-es angol szabványt, az IETF RFC 2196-os dokumentumát, azt ISACA informatikai auditor szövetség COBIT ajánlását, egy FISCAM szövetségi auditor ajánlást, a GASSP nemzetközi biztonsági szövetségi (I2SF) ajánlást, a NIST rendszerbiztonsági előírásait és a SysTrust rendszerbiztonsági alapelveket és kritériumokat.

A munka során több operációs rendszer biztonsági előírásainak a tervezete, és a hozzájuk tartozó tesztek bétaváltozata készült már el. Az eddig megcélzott operációs rendszerek: Sun Solaris (1. szint), Linux (1. szint), HP-UX (1.szint), Cisco IOS (1. és 2. szint), Windows 2000 (1. szint) és Windows NT (1. szint). Ebből a sorból emelkedett most ki július 17-én a Windows 2000 munkahelyekre vonatkozó szabvány legutolsó változatának a bejelentése, amelyhez készen van a megfelelő tesztanyag is. A különböző változatok dokumentumai, valamint a teszteléshez szükséges eszközök a CIS-ről letölthetők.

A most elfogadott W2K tesztanyag letöltő oldalán a következő anyagok találhatók: * Level-1 Benchmark for Windows 2000 (v1.1.7), * Windows 2000 Professional Operating System Benchmark - Consensus Baseline Security Settings (v1.0), * Level-1 Benchmark for Windows NT (v1.0.3), * Scoring Tool (v2.1.1) és * Implementation Guide. Tehát, a W2K mellett az NT-s változat is ott van. A Scoring Tool (nem erőszakos!) böngésző-elemző pedig közös.

Az 1. szintű Windows 2000 tesztkészlet összesen 500 lépésből áll. Áprilisban a bizottság tett egy fogadalmat, hogy reggel 9-kor nekiülnek, és addig föl nem állnak, amíg át nem rágják magukat az összes elemén. Hát, jó későre járt, mire végeztek annyira, hogy már csak 4 olyan elem maradt, amihez már csak az NSA ragaszkodott, a többiek nem. A szabványt kielégítő rendszerkonfiguráció még nem biztos, hogy támadhatatlan, de eddig hasonló szabvány még nem készült, úgyhogy legközelebb már ehhez képest lehet mérni a továbbiak teljesítményét. Megjegyzendő, hogy a Microsoft maga is jelentős erőfeszítéseket tesz az utóbbi időben a rendszereinek a biztonságáért, úgyhogy külön hálószemet is épített ennek a támogatására, valamint CD-n is ad ki tesztanyagokat és összefoglaló biztonsági javításokat. A magyar iroda ráadásul külön élenjáró a témában, tulajdonképpen Redmondot megelőzve kezdte el ilyen CD összeállítását. Természetesen a CIS tesztanyag olyan további lehetőség, amely független kontrollt tesz lehetővé.

A hírek szerint a következő operációs rendszer, amelynek kapcsán a konszenzus közelinek tűnik, a Cisco IOS útválasztó operációs rendszer, ami legalább olyan súlyú a világháló szempontjából, mint a W2K szabvány.

Az állami szabványosítási szervezetek, és a Védelmi minisztérium még nem döntött arról, hogy a CIS ajánlásait milyen mértékben veszi figyelembe, de az a hír járja, hogy minimális követelményként akarják használni a későbbi beszerzések során.

Center for Internet Security http://www.cisecurity.org/

Windows 2000 Workstation Benchmark – Consensus Baseline http://www.cisecurity.org/bench_win2000.html

Microsoft Security http://www.microsoft.com/security/