Hagyományos "vadászterületem" a Zrínyi Miklós Nemzetvédelmi Egyetem Robothadviselés konferenciája, ahol idén egy (talán) közérdeklődésre is számottartó előadást fogok tartani. A téma pedig - dobpergés - a közigazgatási informatikai rendszerek fejlesztőire vonatkozó biztonsági követelmények.
Miért is kell ezzel foglalkozni? Azért, mert ez egy teljesen szűz terület, igazából nincsenek különleges elvárások, pedig a Common Criteria szerint kell ilyen. Szerintem pedig ez így nincsen jól. Kell, hogy a megrendelő valamilyen módon kontrollálja azokat a fejlesztőket, akik neki a szoftvert előállítják. Közig rendszereknél pedig ez különösen igaz. Megfogalmaztam ezért egy szervezeti, egy műszaki és egy szabályzati követelménylistát, amiket hozzáigazítottam a KIB 25. és a KIB 28. ajánlások szelleméhez. Ezt azt jelenti, hogy három biztonsági szintet állapítottam meg. Az első a széles körben, interneten keresztül elérhető rendszerek fejlesztésére vonatkozik, a második a belső használatúakra, a harmadik pedig az államtitkot kezelő szoftverekre.
Természetesen cikk is készül majd, ez elvileg a 2010. januári Hadmérnökben fog megjelenni, onnantól lehet majd vele vitatkozni. Ha pedig jó, talán beveszik a KIB 28. ajánlásai közé. A blogon úgyis linkelni fogom majd a végleges anyagot!