Az it-biztonsággal kapcsolatos gondok egyik gyökere a szabványosítás hiánya. Több egymásnak ellentmondó tézis létezik ezen a téren, a világ legnagyobb gazdaságai éppen ezért döntöttek egy szabványrendszer felállításáról Ez a Common Criteria (CC) rendszer, amelynek alkalmazása már rövid távon is számos előnnyel jár.
A 90-es években az informatika felfutó, és egyben húzó iparággá változott. Ugyanakkor az átgondolatlan megoldások alkalmazása miatt a rendszerek jelentős részben nem úgy sikerültek, ahogyan az elvárható lett volna. A programok nem nyitottak, és ekképp nem is fejleszthetők az alkalmazó cég növekedésének vagy a változó technológiának megfelelően, a kompatibilitás állandó probléma és sok esetben koncepcionális tévedések kényszerítik ki a rendszerek idő előtti cseréjét. Elég a mostanában zajló hardvermigrációkra, illetve a pénzügyi szektorban meglévő elavult – de gyakorlatilag kiválthatatlan – alkalmazásokra, illetve a Y2K-lázra utalni, hogy világos legyen: az átgondolatlanság rengeteg gondot, de legfőképpen költséget jelent az alkalmazóknak.
A probléma egyik gyökere a szabványosítás hiánya, ami különösen érezhető az it-biztonság terén. Több egymást kiegészítő vagy egymásnak ellentmondó tézis létezik ezen a téren a saját megoldásaival, amelyek sokszor lehetetlen feltételeket támasztanak azzal szemben, aki használni próbálja őket. A világ legnagyobb gazdaságai éppen ezért úgy döntöttek, hogy olyan számítástechnikai szabványrendszert állítanak fel, amelynek alkalmazása hosszabb távon megalapozhatja a biztosíthatóságot. A rendszer a Common Criteria (CC) nevet kapta.
A CC használata nemcsak a távlati célként megfogalmazott biztosíthatóság miatt célszerű, hanem ettől függetlenül rövid távon is számos előnnyel jár – véli Kaiser László a SaveAs Kft. technikai igazgatója. Az alkalmazó szabadon választhat magának a megcélzott biztonsági szintnek megfelelő, már regisztrált védelmi profilok közül, sőt kialakíthatja saját elvárásrendszerét is. Autós példával élve ez a rendszer szervizkönyve. A rendszerek üzemeltetése során a már bevezetett védelmi profilok nagy segítséget nyújtanak az új elemek telepítésekor, egyszerűsítik a dokumentálást, illetve a dokumentációkban történő eligazodást. Működtetése lerövidíti és olcsóbbá teszi a belső, illetve külső vizsgálatokat és auditokat, hiszen az ellenőrnek a dokumentációkban megfogalmazott elvárásokat és a rájuk adott válaszokat csak egyszer kell megvizsgálnia, a konkrét megvalósítás ellenőrzéséhez pedig kész ellenőrzőlista áll a rendelkezés
ére. Hasonlóan egyszerűsíti a beszállítók munkájának ellenőrzését és a fejlesztések műszaki átvételét, hiszen a szervizkönyv megfelelő részei már a pályázat mellékleteként rögzítik az elvárásokat. Márpedig Kaiser szerint a technológiai projektek egyik méregfoga a rosszul definiált megrendelés, amely sokszor vezet a határidők csúszásához, többletkiadásokhoz, rosszabb esetben pereskedéshez.
A CC működtetése Kaiser László szerint nemcsak konkrétan megfogható anyagi előnyökhöz juttatja az alkalmazót. A precíz dokumentáció miatt például nem fordulhat elő, hogy egy technikai szakember esetleges távozásával szürke foltok maradnak a rendszerben, mert az új alkalmazott a CC-nek megfelelő dokumentációkat használva rövid idő alatt képes megismerni és üzemeltetni az átvett rendszert. Az informatikai szakemberek lecserélése sok nagyvállaltnál okozott már gondot, még az olyan kirívó esetektől eltekintve is, mint amikor egy amerikai cég – később persze elítélt – sértett rendszergazdája szándékosan megrongálta a futó programokat és jelentős adatveszteséget okozott.
A CC alkalmazásával ma még kevés informatikai cég foglalkozik Magyarországon, ami nem is csoda, hiszen kevés a megrendelő is. A piacon összesen 4-5 a CC-t teljes körben bevezető nagyvállalatról beszélnek. Kaiser szerint a CC igazi áttörését a biztosíthatóság megjelenése hozza majd el, ám ehhez a rendszert alkalmazó cégek számának és súlyának el kell érnie egy kritikus tömeget.
