International magazine for security engineering

Security Revue

September 12th, 2008 at 9:05

Prehľad metodík, metrík a kritérií hodnotenia efektívneho ISMS. Časť II.

in: Information Security

napísal Ing. František KALUŽA, Katedra bezpečnostného manažmentu, Fakulta špeciálneho inžinierstva,ŽU v Žiline, email: kaluza@vuje.sk

3. HODNOTENIA - METRIKY INFORMAČNEJ BEZPEČNOSTI
Skutočná hodnota informácií a informačných aktív spoločnosti je odhalená až pri ich strate dostupnosti, dôvernosti, integrity, príp. autenticity. Vo všeobecnosti nie je dôležité, ktorý atribút je samostatne dôležitejší, ale to, že má určitú hodnotu v konkrétnom systéme spracovania informácií. Pokiaľ chceme objektívne zmerať hodnotu informácií v informačných systémoch, ich kritickosť pre obchodné procesy a pre udržanie konkurencieschopnosti, môžeme použiť rôzne metriky. Metriky slúžia často ako podporný nástroj pre audit informačnej bezpečnosti spoločnosti. Či už sa jedná o interný, či certifikačný audit dané normy slúžia veľmi dobre ako nástroje merania informačnej bezpečnosti, pričom sú plne v súlade s normou ISO 9001.

3.1 ISO/IEC 15504 INFORMAČNÉ TECHNOLÓGIE – HODNOTENIE PROCESOV
Norma vnáša prvky riadenia kvality do softvérového a systémového inžinierstva. Skladá sa z 5 častí [18, článok 3, bod. 2.2.2, str. 70-71]:

ISO/IEC 15504 - 1: 2004 Informačné technológie – Hodnotenie procesov – 1. časť: Koncepcia a slovník

ISO/IEC 15504 - 2: 2003 Informačné technológie – Hodnotenie procesov – 2. časť: Realizácia hodnotenia. V podstate najdôležitejšia časť stanovuje minimálne nevyhnutné požiadavky a základné východiskové predpoklady na vykonanie hodnotenia spôsobilosti procesov tak, aby bolo možné zachovať súlad medzi hodnoteniami a stanoveniami spôsobilosti procesov v rôznych časových obdobiach. Významné pozitíva 2. časti:

  • uvádza a charakterizuje metodiku ako merať procesy v rámci organizácie,
  • stanovuje minimálne požiadavky na: spôsob a metodiku vykonania hodnotenia procesov, meranie a priraďovanie konkrétnych hodnôt spôsobilosti procesov, výber modelov, ktoré sa využívajú pri hodnotení spôsobilosti procesov (referenčný model, model hodnotenia procesov), mechanizmus potvrdzovania zhody medzi procesmi v organizácii s referenčnými modelmi, resp. požiadavkami normy.

V 2. časti sú taktiež:

  • vysvetlená podstata spôsobu merania procesov,
  • vysvetlené úloha a stanovenie požiadaviek na výber referenčných modelov,
  • udané odporúčania na výber nástrojov pri hodnotení procesov,
  • stanovené požiadavky na hodnotiteľa procesov,
  • uvedené metodiky, ako posudzovt zhodu medzi požiadavkami normy a skutočným stavom procesov.

SO/IEC 15504 - 3: 2004 Informačné technológie – Hodnotenie procesov – 3. časť: Usmernenie pre realizáciu hodnoteni

Stanovuje spôsob ako zdokumentovať hodnotenie procesov. Hodnotenie procesov má v sebe zahrnuté 2 dimenzie:

  • Dimenziu procesnú,
  • Dimenziu hodnotenia spôsobilosti jednotlivých procesov.

Účelom hodnotenia procesov v organizácii je:
1) porovnať existujúci procesný model v organizácii s tzv. externým referenčným procesným modelom,
2) „zmerať “ identifikované procesy v organizácii a priradiť každému procesu konkrétne hodnotenie spôsobilosti procesu

ISO/IEC 15504-4:2004 Informačné technológie – Hodnotenie procesov – 4. časť: Praktické usmernenia pre zlepšovanie procesov a určovanie procesnej spôsobilosti
Jej účelom je predovšetkým:

  • Definovanie postupov, ako využiť výsledky hodnotenia spôsobilosti procesov na trvalé zlepšovanie procesov ako základnej súčasti trvalého napredovania celej organizácie
  • Definovanie hodnotiaceho modelu na stanovenie výslednej spôsobilosti procesov, ktorého účelom je identifikácia silných a slabých stránok, ako aj identifikácia jej najväčších rizík.

ISO/IEC 15504-5:2006 Informačné technológie – Hodnotenie procesov – 5. časť: Príklad modelu pre hodnotenie procesov: jej základom je tvorba vzorového modelu hodnotenia procesov, ktorý vychádza z procesného referenčného modelu. Z častí 2-3 tejto normy vyplýva, že:

  • organizácia musí mať zavedený a definovaný model, ktorý obsahuje sústavu na seba nadväzujúcich procesov
  • každému procesu (samostatne) sa na základe porovnávania s referenčným procesným modelom prideľuje „známka“ (1-nedostatočne vykonávaný proces, …., 6-optimalizovaný proces) ako úroveň spôsobilosti procesu,
  • Na každej úrovni hodnotenia spôsobilosti procesu sa prideľujú tzv. „procesné atribúty - PA“ (level 1: PA 1.1, level 2: PA1.1, PA 1.2, …., level 5: PA 5.1, PA 5.2) a každý procesný atribút je ešte hodnotený ako: N/Not achieved (nedosiahnutý), P/Partially achieved (čiastočne dosiahnutý), L/Largelly achieved (z väčšej miery dosiahnutý) a F/Fully achieved (úplne dosiahnutý).

Z daného vyplýva hodnotiteľnosť procesu „známkou“. V 3. časti je uvedená prevodová tabuľka stanovenia spôsobilosti procesov na základe dosiahnutých hodnotení procesných atribútov.

  • Výsledky hodnotenia všetkých procesov podľa definovanej procesnej mapy sú zaznamenané vo forme profilu hodnotenia, pričom z profilu je jasné, na akej je úrovni sledovaný proces.

Zaujímavými a využiteľnými normami v tejto oblasti sú taktiež normy:

  • ISO/IEC 90003: Návod na používanie ISO 9001:2000 pre počítačový softvér,
  • ISO/IEC 9126-1: Kvalita produktu, časť 1: model kvality

3.2 ISO/IEC 21827 SSE-CMM (SYSTEMS SECURITY ENGINEERING CAPABILITY MATURITY MODEL) MODEL VYZRETOSTI BEZPEČNOSTNÝCH INŽINIERSKYCH SYSTÉMOV
Norma ako samotný názov prezrádza popisuje vyzretosť bezpečnostných inžinierskych systémov modelom, ktorý popisuje charakteristiky podstatné k úspechu bezpečnostných inžinierskych procesov spoločností. Norma je aplikovateľná vo všetkých bezpečnostných, komerčných spoločnostiach aj na akademickej oblasti. Norma nepopisuje jednotlivé procesy alebo postupy, ale zachytáva zvyklosti obvykle obsiahnuté v priemysle. Predpokladom využitia metriky je ako:

  • Nástroj pre inžinierke organizácie k ohodnocovaniu bezpečnostných praktík a definovaniu ich vylepšení,
  • Štandardný mechanizmus pre zákazníkov k ohodnocovaniu dodávateľskej bezpečnostnej vyzretosti,
  • Základy pre vyhodnocovanie bezpečnostnej spoľahlivosti spoločností.

SSE CMM špecifikuje bezpečnostné inžinierske činnosti, ktoré zabezpečujú dôveryhodnosť produktu v celom období životného cyklu produktu, vrátane definovania konceptu, analýzy požiadaviek, dizajnu, vývoja, integrácie, inštalácie, prevádzky, údržby a vyradenia. SSE CMM je využívaný vývojármi, bezpečnostnými projektantami a integrátormi, a spoločnosťami, ktoré poskytujú bezpečnostné služby a bezpečnostnú inžiniersku činnosť. Model je štandardnou metrikou pre bezpečnostnú prax pokrývajúcu nasledovné oblasti:

  • Životný cyklus projektu, vrátane vývoja, prevádzky, údržby, a vyradených aktivít,
  • Celé organizácie vrátane manažmentu, organizačných a inžinierskych aktivít,
  • Interakcie s inými disciplínami, ako systémový softvér a hardvér, ľudský faktor, riadenie prevádzky, prevádzky a údržby,
  • Interakcie s ostatnými organizáciami, vrátane získavania, riadenia prevádzky, certifikácie, akreditácie a hodnotenia.

Metriky a SSE-CMM:
Pokiaľ sa týka použitia SSE–CMM nasledovné typy metrík sú sledované a študované:

  • Procesná metrika: špecifická metrika, ktorá by mohla poslúžiť ako kvantitatívny alebo kvalitatívny dôkaz o zrelosti pre jednotlivé SSE-CCM procesné zóny, alebo by mohla slúžiť základné označenie prítomnosti / absencie procesu vývoja (zrelosti). Táto metrika poskytuje informácie o samotných procesoch.
  • Bezpečnostná metrika: obsahuje merateľné výsledky SSE-CCM procesov, ktoré môžu poslúžiť ako dôkaz jeho účinnosti. Bezpečnostná metrika môže byť objektívna alebo subjektívna, kvantitatívna alebo kvalitatívna. Tento typ metriky poskytuje informácie o výsledkoch týchto procesov a zároveň môže nezainteresovanej osobe poskytnúť informácie o efektivite využívania procesu dosiahnutím definovaného akceptovateľného bezpečnostného výsledku.

3.3 COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) CIELE RIADENIA V OBLASTI INFORMAČNÝCH A SÚVISIACICH TECHNOLÓGIÍ
Riadenie informačnej bezpečnosti počas životného cyklu IS/IT vyžaduje systematický a metodický prístup. Jeden zo štandardov, ktoré usmerňujú takýto prístup je COBIT. Prostriedky štandardu COBIT sa majú používať ako usmernenie vychádzajúce z najlepšej praxe. Každá z ďalej uvedených súčastí je organizovaná podľa procesov riadenia IT tak, ako je to definované v časti COBIT Framework. COBIT je určený na používanie pre manažment z oblasti podnikania a IT, ako aj pre audítorov IS, preto jeho používanie umožňuje chápanie podnikateľských cieľov a komunikáciu najlepších praktík a odporúčaní, ktoré sa majú vytvoriť okolo spoločne chápanej a uznávanej štandardnej „reference”:

COBIT Control Objectives - generické formulácie vysokej a detailnej úrovne o minimálnych požiadavkách na dobrú kontrolu, definuje sa tu 34 informatických procesov, ktoré sú zaradené do 4 domén:

  • Plánovanie a organizácia,
  • Získavanie a implementácia,
  • Dodávka a podpora,
  • Monitorovanie.

Táto metrika aj metodika je uvedená v tejto časti úmyselne, pretože je najčastejšie používaná bezpečnostnými audítormi pri vykonávaní auditu.

Samotný COBIT definuje pre každú zo 4 domén množstvo konkrétnych procesov a súvisiacich kontrolných cieľov. Predstavuje vlastne rámec a detailný postup pre budovanie systému nezávislého zhodnocovania bezpečnosti, spoľahlivosti a kvality IS/IT z hľadiska ich celého vývojového resp. životného cyklu. COBIT však predstavuje dôležitý metodický základ, ktorý je konkrétne rozvíjaný prostredníctvom Control Objectives for Net Centric Technology (CONCT). Dá sa tiež povedať, že CONCT je špecifická aplikácia COBITu pre sieťové prostredia IT/IS. Metodický rámec a model CONCT je identický s COBITom. V prípade CONCT však už pozorujeme zmienky o konkrétnych prvkoch IT vrátane platforiem, protokolov, sietí. Na získanie praktickej predstavy treba uviesť, že CONCT sú vlastne nasledovné štyri publikácie:

  • Časť 1 - Framework,
  • Časť 2 - Intranet/Extranet/Internet,
  • Časť 3 - Data Warehouse,
  • Časť 4 - Online Transaction Processing (OLTP).

COBIT Audit Guidelines - usmernenie pre každú kontrolnú oblasť o tom, ako porozumieť danej oblasti, vyhodnotiť každý kontrolný mechanizmus, posúdiť súlad a zdôvodniť riziko, že kontrolné mechanizmy sa nedodržiavajú.

Management Guidelines - usmernenie k tomu, ako hodnotiť a zlepšovať výkonnosť IT procesov s využitím modelov vyspelosti, metriky a kritických faktorov úspechu. Preto tento dokument definuje súbor požiadaviek na informácie determinujúcich informatické procesy v rámci spoločnosti:

  • informácia včas na správnom mieste,
  • čo najúčinnejší spôsob spracovania informácie,
  • dôveryhodnosť a spoľahlivosť informácie,
  • presnosť a komplexnosť informácie,
  • dostupnosť informácie,
  • súlad informácie s legislatívnymi, technickými a internými požiadavkami.

Na to aby boli požiadavky účinne zabezpečené je nutné dosiahnuť efektívne riadenie a trvalé zlepšovanie informatických procesov v spoločnosti. Toto je možné pomocou podporných nástrojov informatických procesov:

  • Model vyzretosti (podobné ako CMM Integration uvedený vyššie): meranie vyzretosti informatických procesov na stupnici 0-5 (0-najnižšia, 5-najvyššia).
  • Kritický faktor úspechu: definovanie najdôležitejších vlastností informatického procesu, ktoré umožňujú kontrolu procesu.
  • Indikátory kľúčových cieľov: definovanie metrík, ktoré môžu napovedať vedeniu spoločnosti, či procesy smerujú k plneniu cieľov.
  • Kľúčové indikátory výkonnosti: meranie výkonnosti informatických procesov.

COBIT Implementation Tool Set: diagnostika stavu prostredia prostredníctvom diagnostických nástrojov zisťujúcich správnosť správy IT. Dokument poskytuje aj rady pre implementáciu COBIT-u, podložené skúsenosťami spoločností.

3.4 ĎALŠIE METRIKY SÚVISIACE S INFORMAČNOU BEZPEČNOSŤOU A ICT

3.4.1 INTOSAI – SMERNICE PRE ŠTANDARDY VNÚTORNEJ KONTROLY PRE VEREJNÝ SEKTOR [19]
Výbor pre štandardy vnútornej kontroly (INTOSAI) vydal a pravidelne aktualizuje rovnomernú smernicu pre kontrolu a audit. Metodika INTOSAI-IS (International Organization of Supreme Audit Institutions - Information Systems) – berie do úvahy informačný systém ako servisnú službu pre spracovanie informácií a v rámci nej sa zameriava na:

audit platformy zameraný na:

  • organizáciu a riadenie,
  • bezpečnostnú politiku,
  • zaistenie kontinuity a obnovu po havárii,
  • riadenie IT a využívanie externých poskytovateľov služieb.

audity aplikácií, zaoberajúce sa:

  • organizáciou,
  • dokumentáciou,
  • vstupmi, spracovaním, prenosmi a výstupmi údajov,
  • správou uložených údajov.

Smernice vychádzajú z integrovaného rámca pre vnútornú kontrolu COSO (Committee on Sponsoring Organisations of the Treadway Commission’s). Vnútorná kontrola je ucelený proces vykonávaný manažmentom a zamestnancami subjektu, ktorý je určený na odhaľovanie rizík a poskytovanie dostatočného uistenia o tom, že sa dosahujú nasledovné všeobecné ciele:

  • správne, etické, hospodárne, účinné a efektívne vykonávanie činnosti (operations…);
  • plnenie povinnosti „zodpovedať sa“ (accountability);
  • súlad s príslušnými právnymi predpismi a nariadeniami (compliance);
  • ochrana prostriedkov pred stratou, zneužitím a zničením (safeguarding resources).

Smernice neposkytujú podrobné zásady a postupy pre implementovanie vnútornej kontroly, skôr poskytujú široký rámec, v rámci ktorého môžu subjekty rozvíjať takéto podrobné kontroly. Pre rozsiahle využívanie informačných systémov vo všetkých verejných organizáciách sa mimoriadne dôležitými stali kontroly informačných technológií, ktorým je venovaná aj samostatná časť smerníc. Kontroly informačných technológií sa vzťahujú na všetky prvky procesu vnútornej kontroly subjektu vrátane kontrolného prostredia, hodnotenia rizika, kontrolnej činnosti, informovania a komunikácie ako aj monitoringu. Na účely vysvetlenia sú ale zahrnuté v rámci „Kontrolnej činnosti“. Cieľom výboru je vytvoriť príručku pre zriadenie a fungovanie efektívnej vnútornej kontroly vo verejnom sektore. Dôležitým adresátom týchto smerníc je preto vláda. Môže využívať tieto smernice ako základ implementovania a výkonu vnútornej kontroly vo svojich organizáciách. Keďže hodnotenie vnútornej kontroly je všeobecne akceptovaným štandardom vládneho auditu, audítori môžu tieto smernice používať ako jeden z nástrojov auditu. Smernice pre štandardy vnútornej kontroly, ktoré obsahujú model COSO, môžu byť preto používané aj vládou ako príklad vhodného rámca vnútornej kontroly pre svoje organizácie, a taktiež aj audítormi ako nástroj pre hodnotenie vnútornej kontroly.

Zámerom smerníc však nie je nahradiť kontrolné štandardy INTOSAI alebo ďalšie relevantné kontrolné štandardy. Tento dokument definuje odporúčaný rámec pre vnútornú kontrolu vo verejnom sektore a poskytuje základ aj pre hodnotenie vnútornej kontroly. Prístup sa vzťahuje na všetky prvky fungovania organizácie. Zámerom však nie je obmedziť alebo zrušiť presne určené úlohy v oblasti vytvárania legislatívy, pravidiel alebo ďalších záležitostí, ktoré sú na rozhodnutí organizácie.

3.4.2 TICKIT SCHEME
Nie je príliš rozšírenou metrikou, je uznávaná len zo strany certifikačných spoločností akreditovaných akreditačnými spoločnosťami UKAS a SWEDAC. Základným cieľom je na základe spracovanej certifikačnej schémy hodnotiť kompetentnosť organizácií, zameraných na vývoj, dodávku a údržbu SW. Predstavuje certifikačnú schému na certifikáciu SW organizácií na báze systému manažérstva kvality podľa noriem ISO 900x. TickIT bola vyvinutá organizáciou TickIT Office, ktorá je súčasťou BSI.

3.4.3 NIST (NATIONAL INSTITUTE FOR STANDARDS AND TECHNOLOGY) SP (SPECIAL PUBLICATION) 800-80 “GUIDE FOR DEVELOPING PERFORMANCE METRICS FOR INFORMATION SECURITY”
Návod pre vytváranie metrík na meranie výkonnosti informačnej bezpečnosti. Metrika umožňuje merať pôsobenie zranitosti a sily informačnej bezpečnosti v spoločnostiach.V 43 stranách obsahuje 17 kontrolných opatrení ktoré SP 800-53 doporučuje používať pre ochranu informačných systémov v spoločnosti. Keďže je návod publikovaný americkou NIST je zjavné, že jej použitie je účelné v špecifickom národnom prostredí a zväčša u väčších štátnych inštitúcií.

LITERATÚRA

[1] ISO/IEC 27001: 2005: Informačné technológie – Zabezpečovacie techniky - Systémy riadenia informačnej bezpečnosti – Požiadavky
[2] ISO/IEC 17799: 2005: Informačné technológie – Zabezpečovacie techniky - Kódex praxe riadenia informačnej bezpečnosti
[3] ČSN ISO/IEC 13335 – 1: Informačné technológie - Smernice pre riadenie bezpečnosti IT
- Časť 1: Pojatie a modely bezpečnosti IT2
[4] ČSN ISO/IEC 13335 – 2: Informačné technológie – Riadenie a plánovanie bezpečnosti IT
[5] ČSN ISO/IEC 13335 – 3: Informačné technológie - Smernice pre riadenie bezpečnosti IT
- Časť 3: Techniky pre riadenie bezpečnosti IT
[6] ČSN ISO/IEC 13335 – 4: Informačné technológie - Smernice pre riadenie bezpečnosti IT
- Časť 4: Výber ochranných opatrení
[7] ČSN ISO/IEC 15408 – 1: Informačné technológie – Bezpečnostné techniky – Kritériá pre hodnotenie bezpečnosti IT – Časť 1: Úvod a všeobecný model
[8] ČSN ISO/IEC 15408 – 2: Informačné technológie – Bezpečnostné techniky – Kritériá pre hodnotenie bezpečnosti IT – Časť 2: Bezpečnostné funkčné požiadavky
[9] ČSN ISO/IEC 15408 – 3: Informačné technológie – Bezpečnostné techniky – Kritériá pre hodnotenie bezpečnosti IT – Časť 3: Požiadavky na záruky bezpečnosti
[10] http://www.itsm.sk – Slovenská stránka zameraná na IT Service Management
[11] http://www.itil.sk – Slovenská stránka zameraná na IT infrastructure Library
[12] VYSKOČ, J: Kritéria hodnotenia bezpečnosti I. , Zdroj: http://pc.server.sk/—bezpecnost-vseobecne-kriteria-hodnotenia-bezpecnosti–category-je-2-x-id-je-1619 , 14.05.2002
[13] VYSKOČ, J: Kritéria hodnotenia bezpečnosti II., Zdroj: http://pc.server.sk/—bezpecnost-vseobecne-information-technology-security-evaluation-criteria-itsec–category-je-2-x-id-je-1635, 17.5.2002
[14] http://www.isecom.org/ - stránka inštitútu pre bezpečnosť a metodológiu
[15] www.bsonline.bsi-global.com – stránka brtiského štandardizačného inštitútu
[16] BÍRO, P: Informačná bezpečnosť v medzinárodnom kontexte, Zborník z konferencie: Informačná bezpečnosť ´08, Bratislava, SASIB, 13.02.2008.
[17] http://www.iso27001security.com/ - stránka venovaná štandardom súvisiacim s informačnou bezpečnosťou
[18] www.atpjournal.sk - Štandardizácia a systémy manažérstva kvality v softvérovom a systémovom inžinierstve, Ing. Major L., MBA
[19] INTOSAI – smernice pre štandardy vnútornej kontroly pre verejný sektor
[20] http://csrc.nist.gov/publications/PubsSPs.html - Špeciálne publikácie Národného inštitútu pre štandardy a technológie USA, divízia počítačovej bezpečnosti

ZOZNAM SKRATIEK

ANSI American National Standards Institute (Americký národný štandardizačný inštitút)
BCP Business Continuity Planning (Plánovanie kontinuity činnosti)
BSI British Standards Institution (Britská štandardizačná inštitúcia)
CC Common Criteria (Spoločné kritériá)
COBIT Control Objectives for Information and related Technology (Ciele riadenia v oblasti informačných a súvisiacich technológií)
CONCT Control Objectives for Net Centric Technology (Ciele riadenia v oblasti sieťovo orientovaných technológií)
COSO Committee on Sponsoring Organisations (Komisia sponzorujúcich organizácií)
CMP Crisis Management Planning (Plánovanie krízového riadenia)
CTCPEC Canadian Trusted Computer Product Evaluation Criteria (Kanadské hodnotiace kritéria spoľahlivosti počítačových produktov)
DCID Director of Central Intelligence Directives (Príkaz riaditeľa CIA)
DRP Disaster Recovery Planning (Plánovanie obnovy po havárii)
DoD Department of Defence USA (Ministerstvo obrany USA)
F France (Francúzsko)
FISCAM Federal Information System Control Audit Manual (Auditný manuál pre kontrolu federálnych informačných systémov)
G Germany (Nemecko)
ICT Information and Comunication Technology (IKT – Informačné a komunikačné technológie)
INTOSAI: International Organization of Supreme Audit Institutions (Medzinárodná organizácia najvyšších kontrolných úradov)
ISMS Information Secrity Management Systems (Systémy riadenia informačnej bezpečnosti)
ISO International Organization for Standardization (Medzinárodná štandardizačná organizácia)
ITIL IT infrastructure Library (Knižnica infraštruktúry IT)
ITSEC Information Technology Security Evaluation Criteria (Hodnotiace kritériá bezpečnosti Informačných technológií)
ITSM IT service management (Riadenie služiebIT)
N Netherland (Holandsko)
NIST National Institute for Standards and Technology (Národný inštitút pre štandardy a technológie USA)
PAS Publicly Accessible Specification (Verejne prístupná špecifikácia)
PDCA Plan–Do-Check-Act (Plánovať – vykonávať – Kontrolovať - Pôsobiť)
SOX Sarbanes Oxley
SP Special Publication (špeciálna publikácia)
SSE CMM Systems Security Engineering Capability Maturity Model (Model vyzretosti bezpečnostných inžinierskych systémov)
SW Software (Softvér)
UK United Kingdom (Spojené kráľovstvo)
TCSEC Trusted Computer Systems Evaluation Criteria (Hodnotiace krítéria spoľahlivosti počítačových systémov)


 

RSS feed for comments on this post

Comment spam protected by SpamBam

  • SK :: TBM dictionary


    Terminológia bezpečnostného manažmentu

  • Guarantors


     
     

  • Partners


     
     

Rexter

Securitaci

Sopciak.com - IT services