Prim Hírek

A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO 15408), melyet többek között az amerikai kormány, európai országok és más szervezetek használnak biztonságtechnikai minősítéshez.

A Common Criteria szabványos módon és szigorú követelményrendszerrel határozza meg, hogy minek kell felelnie egy terméknek. Elismertsége széles körökre terjed ki. Az információtechnológiai szakemberek és kormányzati szervek mellett a vállalati ügyfelek is a megbízhatóság pecsétjének is tekintik, küldetéskritikus megoldások esetén.

Az IBM eServer xSeries gépeken futó SuSE Linux Enterprise Server 8 az Evaluation Assurance Level 2+ minősítést érte el, melyet EAL2-ként is hívnak.

Az IBM és a SuSE azt is bejelentette, hogy az IBM eServer termékcsaládra célba vették a Linux magasabb szintű, Controlled Access Protection Profile (EAL3+) minősítést is, amelynek való megfelelés még ebben az évben várható.

A Common Criteria minősítésen felül az IBM eServeren futó SLES 8 még ebben az évben a Common Operating Environment (COE) szabványnak is megfelel majd, így ugyanaz a termék két követelményrendszert is teljesíteni fog.

Az utóbbi szabvány, mely egyben az amerikai védelmi minisztérium (DoD) szabványa is, a kereskedelemben kapható IT termékek használhatóságát és együttműködési képességeit határozza meg. A COE szabványt annak az ellenőrzésére használják, hogy mennyire egyezik meg egy szoftver kinézetében és kezelésében a kormányzati rendszerrel.

A COE az amerikai kormány szabványos számítástechnikai környezeteként széles körökben elterjedt és elismert.

"Az IBM és a SuSE kiváló döntése, hogy kitegye a SuSE Linux Enterprise Server terméket a Common Criteria tesztnek, kihívást jelent azon szkeptikusok számára, akik azt állítják, hogy a nyílt forráskódú operációs rendszerek nem tudnak megfelelni egy ilyen tesztnek, mivel szerintük a nyílt forráskódú környezet alkalmatlan a hasonló, szabványos folyamatokba való beilleszkedésre. Ez a bejelentés világosan mutatja az IBM elkötelezettségét egy olyan vállalati környezet mellett, mely biztonságos, költségtakarékos és nyílt," mondta Nicholas Donofrio, az IBM technológiáért és gyártásért felelős elnökhelyettese. "Ezzel a bejelentéssel megerősítjük azon elkötelezettségünket, hogy a teljes IBM eServer platformra megszerezzük a Common Criteria minősítést. Ami a legfontosabb: a Common Criteria minősítés a nyílt forráskódú szoftverek minőségéről és biztonságáról is tanúsít, nem csak kormányzati, hanem olyan ipari környezetben is, ahol a kritikus biztonsági megfelelést várnak el."

A minősítést a világ egyik vezető gyártófüggetlen IT biztonsági tanácsadó irodája, a németországi Bundesamt für Sicherheit in der Informationstechnik (BSI) által akkreditált atsec information security GmbH végezte el az IBM támogatásával.

A Common Criteria minősítésnél a szabványokban meghatározott pontokban ellenőrzésre kerül többek között a fejlesztési környezet, a biztonságtechnikai funkcionalitás, a biztonsági sebezhetőségek kezelése, a biztonsági pontok dokumentációja és a termékteszt. Az IBM xSeries gépen futó SLES 8-nál az atsec information security GmbH azt ellenőrizte, hogy a SuSE-nál hogyan zajlik a fejlesztés, a tesztelés és a termékek karbantartása, valamint azt, hogy a vállalaton belül milyen folyamatok zajlanak le egy saját terméket érintő biztonsági sebezhetőség felfedezésekor.

A SuSE és az IBM bejelentette, hogy a Common Criteria minősítés kulcsfontosságú elemeit a hónap végén közzé fogják tenni a CCeLinux konzorcium és a linuxos közösség számára. Emellett a SuSE és az IBM a jövőben is együtt fog működni a nyílt forráskódú fejlesztőkkel, hogy aktívan támogassa a Linux biztonsági fejlesztését azért, hogy a Linux még a jelen állapotánál is biztonságosabb legyen.

Azon felül, hogy az IBM elkötelezte magát amellett, hogy gyorsítsa a Linux fejlesztését és minősítését biztonságos és az ipari követelményeknek megfelelő operációs rendszerként, az IBM abba is energiát fektet, hogy új és meglévő IBM termékekhez szerezzen minősítést. A Common Criteria minősítés például az IBM premier virtualization technology termékhez (z/VM) 2004-re lett tervbe véve. Az z/VM a mainframe ügyfelek számára azt teszi lehetővé, hogy egyetlenegy zSeries szerveren több száz (vagy akár többezer) virtuális Linux szervert futtassanak. Ezen felül az IBM linuxos köztesszoftver termékcsaládjának minősítése is folyamatban van: az IBM Directory szintén most szerezte meg a Common Criteria minősítését, a WebSphere Application Server és a Tivoli Access Manager éppen minősítés alatt van, valamint további csoportmunka termékek is röviddel a minősítés előtt állnak.