1. Az informatikai hardver és szoftver rendszerelemek kiválasztása az ITSEC szerint
Az alábbiakban az ITSEC szempontjait, eljárásait mutatjuk
be, mint a bevezetendô informatikai rendszer vagy egyes rendszerelemek
kiválasztásánál figyelemb veendô
tényezôket. A jövôben ez a kiválasztás
fokozatosan könnyebb lesz azáltal, hogy egyre több olyan
termék, illetve rendszer kerül forgalomba, amelyeket már
bevizsgáltak és minôsítési
tanúsítvánnyal láttak el (jelenleg még csak
a NATO országok minôsítési rendszerében).
Amennyiben egy informatikai rendszer kiépítését
vagy egy meglévô informatikai rendszerhez új hardver vagy
szoftver komponensek beszerezését tervezzük, úgy az
informatika biztonság vizsgálata és
biztosítása eljárásához
elsôként azokat a biztonsági követelményeket
kell feltárnunk, amelyek az informatikai rendszerrel szemben
fennállnak. Ehhez a kézikönyv 2. fejezetében
leírt eljárást a harmadik szakasz
(kockázatelemzés) befejezéséig végre kell
hajtanunk. Az elôirányzott, vázlatosan leírt hardver
és szoftver konfigurációt vizsgálatnak kell
alávetnünk. A rendszer leendô üzemeltetôje
már a bevezetés tervezése során utána
nézhet az ITSEC elemei között, hogy az egyes biztonsági
alapfunkciók mely fenyegetô tényezôk ellen hatnak,
és hogyan definiálhatók az egyes
minôsítési fokozatok. Ennek alapján
választhat az ott leírt biztonsági funkciók
közül olyanokat, amelyek biztonsági követelményeit
lefedik és eldöntheti, milyen minôsítési
fokozatban kell megvalósulnia a biztonsági
követelményeknek, hogy a maradványkockázat a
kívánatos mértékre csökkenthetô legyen.
A minôsítéssel tanúsított termékek
listájának birtokában azután eldönthetô,
hogy a piacon hozzáférhetô rendszerek és komponensek
közül melyek alkalmasak a saját felhasználói
céljainak megvalósítására. Alternatív
megoldásként a felhasználó az
elvárásait továbbíthatja a gyártóhoz,
hogy attól egy adekvát rendszert kaphasson, amely a feladatainak
megoldására alkalmas és emellett a biztonság
követelményeit is teljesíti.