Kritéria hodnotenia bezpečnosti IS
Pri budovaní bezpečného systému sa zvyčajne postupuje tak, že na základe vypracovaného projektu sa vyberú najprv základné komponenty (nielen technické prostriedky, ale aj základné programové vybavenie – operačné systémy atď.). Tieto sa potom zostavujú do celku, nad ktorým je potom vybudované vlastné aplikačné programové vybavenie. Keďže kvalita výsledného celku značne závisí od kvality a vlastností základných komponentov, je vhodné mať pri ich výbere k dispozícii výsledky nezávislého posúdenia a overenia proklamovaných vlastností. Z hľadiska bezpečnosti sa to deje podľa presne definovaných kritérií hodnotenia bezpečnosti.
Kritériá hodnotenia bezpečnosti sú normatívy, ktoré predpisujú určité vlastnosti prvku IS na zabezpečenie ich určitej úrovne bezpečnosti. Slúžia ako podklad pre tvorcu časti IS, aby jeho produkt mohol byť certifikovaný ako bezpečný na určitej úrovni, a tiež pre používateľa pri zostavovaní IS ako určitá záruka požadovanej úrovne ochrany. Určujú sa nimi bezpečnostné vlastnosti iba operačného systému IS a niektorých základných častí technických prostriedkov. Nepostihujú, a vzhľadom na rozmanitosť riešení rôznych IS ani nemôžu postihovať, bezpečnosť globálne.
Najznámejšími kritériami hodnotenia bezpečnosti sú tzv. Trusted Computer Security Evaluation Criteria (TCSEC). Tieto kritéria špecifikujú bezpečnosť systému ako jeho schopnosť zabrániť úniku údajov, t.j. sledujú predovšetkým zachovanie dôvernosti informácií. Počítačové systémy sú z hľadiska bezpečnosti rozdelené do siedmich základných tried A1, B3, B2, B1, C2, C1 a D. Trieda A1 zodpovedá najvyšším nárokom na bezpečnosť a C1 minimálnym a do triedy D sú zaradené systémy bez bezpečnostných vlastností.
Následne si aj ďalšie krajiny vypracovali vlastné kritériá, napr. anglické Systems Security Confidence Levels, nemecké IT- Sicherheitskriterien (stanovujú osem tried kvality Q0 až Q7 a desať tried
funkčnosti F1 až F10) atď.
V rámci harmonizácie jednotlivých národných kritérií do medzinárodne platného celku, vznikli v Európe tzv. Information Technology Security Evaluation Criteria (ITSEC). Tieto špecifikujú sedem tried miery záruky E0 až E6 a desať tried funkčnosti.
Medzi ďalšie používané kritéria patria tzv. Common Criteria. Tieto rozdeľujú hodnotené produkty do siedmich kvalitatívnych úrovní EAL1 až EAL7.
Z hľadiska auditu bezpečnosti IS, v každej krajine je to prakticky odlišne organizované a zabezpečované - vyplýva to z existencie národných štandardov pre bezpečnosť IS a tiež relevantných národných legislatívnych noriem. V tomto smere najznámejšou organizáciou je Information Systems Audit and Control Association (ISACA).
V roku 1994 sa stal slovenský preklad kritérií ITSEC pod názvom Harmonizované kritériá bezpečnosti informačných technológií, súčasťou súboru odporúčaných štandardov pre budovanie IS v štátnej správe Slovenskej republiky.
