bezpecnost

Dan Lukes dan at obluda.cz
Tue Feb 28 10:15:41 CET 2006


Jindra Fucik napsal/wrote, On 02/28/06 09:11:
> Kdysi se dalo FreeBSD provozovat jako operacni system v rezimu C2, jeste to 
> plati? 

	O tom tedy opravdu nic nevim a dost sebevedome tvrdim, ze bych patrne 
vedel, kdyby to nekdy platilo.

	Bezpecnostni klasifikaci ma vzdy cely system (a tim nemyslim system 
operacni, ale cely soubor hardware+software).

	Je prakticky vylouceno, aby nekdy platilo, ze *FreeBSD* (bez dalsich 
podrobnych udaju o konkretnim systemu) splnovalo podminky C2 natoz aby 
na takovou uroven bylo formalne certifikovano.

	Zati bych rekl, ze vidim nejmene jeden duvod, proc FreeBSD bez ohledu 
na hardware C2 ani ekvivalentni certifikaci mt nemuze - v soucasne dobe 
mu chyby odpovidajici accounting. A je spise pravdepodobne, ze tech 
zavad bude jeste i o neco vic - ale aby bylo necertifikovatelne staci jedna.

	Pokud vim, existuji nejake derivaty FreeBSD, ktere se snazily dosahnout 
az na TCSEC/Bx uroven certifikace, ale mam dojem, ze zadny nebyl uspesne 
certifikovan - a navic neslo o nekomercne dostupne systemy.

	Jeste bych podotkl, ze TCSEC/Orange book uz se prakticky aktivne 
nepouziva a tak pravdepodobne uz nikdy nikdo neziska zadnou C2 
certifikaci. Pokud vim, tak soucasna pouzivana americka norma takrka 
ekvivalentni TCSEC/C2 je CAPP.

	Navic, zda se, ze system budete pouzivat tady a ne v americe - v tom 
pripade by vas spis mely normy pouzivane tady - tedy ITSEC respektive, 
lepe, "Common Criteria". Tady vas nejpravdepodobneji zajimala uroven 
E3/FC-2.

	Nicmene, je otazka, jestli se vubec ubirate spravnym smerem. Nevim, pro 
koho presne pripravujete co, ale troufam si podotknout, ze davat na kozi 
chlivek superdrahy certifikovany zamek je obvykle zbytecny a nesmyslny 
vydaj - utocnik proste vykopne vratka, nebo zezadu vylame planky - kozu 
ukradne a zamku si nebude vubec vsimat.

	Takze - pokud se cela ta firma neni pripravena podrobit komplexnim 
bezpecnostnim opatrenim (rekneme, ze dobry start je podivat se na BS 
7799) tak celkem nema smysl premyslet o TCSEC/C2 / CAPP / E3/FC-2 nebo 
jakkoli jinak certifikovanych systemech.

						Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list