Скачать презентацию Common Criteria Om Common Criteria CC CC och Скачать презентацию Common Criteria Om Common Criteria CC CC och

0cc82b8fcb1d0762fadb35584ee23575.ppt

  • Количество слайдов: 26

Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC Reg nr xxxxx 1

Common Criteria • Common Criteria (CC) – internationell generell metod för att evaluera system Common Criteria • Common Criteria (CC) – internationell generell metod för att evaluera system och produkter – Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv – togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland Reg nr xxxxx 2

Common Criteria • Common Criteria ersätter/kompletterar befintliga standarder för evalueringar Common Criteria Implementation Board Common Criteria • Common Criteria ersätter/kompletterar befintliga standarder för evalueringar Common Criteria Implementation Board CTCPEC Common Criteria Editorial Board (Canada) TCSEC (U. S. A. ) FC (U. S. A. ) Version 2. 0 May 1998 CC V 1. 0 International Standard ISO/IEC 15408: 1999 June 1999 January 1996 ITSEC Version 2. 1 August 1999 (Europe) Common Criteria Interpretations Management Board Reg nr xxxxx 3

Common Criteria • Common Criteria allmänt: – tillåter jämförelse av oberoende evalueringar – hanterar Common Criteria • Common Criteria allmänt: – tillåter jämförelse av oberoende evalueringar – hanterar • obehörig åtkomst (sekretess) • obehörig modifiering (integritet) • åsidosättande av funktion (tillgänglighet) • spårning (loggning) – både “praktisk” och “teoretisk” Reg nr xxxxx 4

Common Criteria - Roller Evaluation working plan (EWP) Final Evaluation report (ETR) Single Evaluation Common Criteria - Roller Evaluation working plan (EWP) Final Evaluation report (ETR) Single Evaluation Reports (SER) ITSEF Reg nr xxxxx 5 Certification Body, FMVCB Certification Report (CR) (Certificate) Appointment Interpretations Problem Reports (OR) Evaluation deliverables Developer/ Sponsor

Common Criteria • Evaluering enligt Common Criteria innebär följande – Granskning av utvecklarens kvalitetssystem, Common Criteria • Evaluering enligt Common Criteria innebär följande – Granskning av utvecklarens kvalitetssystem, konfigurationshantering (CM) och utvecklingsmiljö – Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering Reg nr xxxxx 6

Common Criteria – En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade Common Criteria – En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna – Oberoende test • funktionstest • penetrationstest – Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter Reg nr xxxxx 7

Common Criteria • Common Criteria använder – – – Reg nr xxxxx 8 begreppet Common Criteria • Common Criteria använder – – – Reg nr xxxxx 8 begreppet Protection Profile (PP) begreppet Security Target (ST) begreppet Target Of Evaluation (TOE) säkerhetsrelaterade IT krav assuranskrav indelade i sju assuransnivåer

Common Criteria • Protection Profile (PP) – En implementationsoberoende beskrivning av säkerhetsmål och krav Common Criteria • Protection Profile (PP) – En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system – “Beskriver vad som behövs/krävs!”, inkluderande • Hotbild • Säkerhetsmål • Antaganden på omgivning och användning • Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer – Utgör en Säkerhetsmålsättning! – Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc Reg nr xxxxx 9

Common Criteria • Security Target (ST) – Innehåller motsvarande information som en PP med Common Criteria • Security Target (ST) – Innehåller motsvarande information som en PP med några tillägg • Beskriver TOE konkret • Beskriver hur säkerhetsmålen uppfylls Säkerhetsfunktioner • Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP – “Beskriver vad som erbjuds!” – Är vanligtvis en utvecklares svar på en eller flera PP’s Reg nr xxxxx 10 – Krävs för att en produkt eller system skall kunna evalueras

Common Criteria • Target Of Evaluation (TOE) – Produkten/systemet som skall evalueras – Definieras Common Criteria • Target Of Evaluation (TOE) – Produkten/systemet som skall evalueras – Definieras i Security Target – Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen – Kan vara svår att definiera, framförallt för system Reg nr xxxxx 11

Common Criteria Assuranskrav beskriver • Vad utvecklaren skall göra • Vad som skall bevisas/beläggas Common Criteria Assuranskrav beskriver • Vad utvecklaren skall göra • Vad som skall bevisas/beläggas och presenteras • Vad evalueraren skall kontrollera • Assuranskraven är indelade i sju paket/nivåer, EAL 1 -EAL 7 – Högre nivå kräver större bevisning och djupare granskning – Nivå definieras i PP eller ST Reg nr xxxxx 12

Common Criteria – EAL • EAL 1 – Functionally tested • EAL 2 – Common Criteria – EAL • EAL 1 – Functionally tested • EAL 2 – Structurally tested • EAL 3 – Methodically tested and checked • EAL 4 – Methodically designed, tested and reviewed • EAL 5 – Semi formally designed and tested • EAL 6 – Semi formally verified design and tested • EAL 7 – Formally verified design and tested Reg nr xxxxx 13

Common Criteria som process Skapa PP Evaluera PP Skapa ST Katalogisera PP Evaluera ST Common Criteria som process Skapa PP Evaluera PP Skapa ST Katalogisera PP Evaluera ST Evaluerad PP Evaluerad ST Skapa TOE Evaluera TOE Reg nr xxxxx 14 Evaluerad TOE Certifierad TOE

Common Criteria och system • Definition av produkt resp. system enligt CC – En Common Criteria och system • Definition av produkt resp. system enligt CC – En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. – Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet Reg nr xxxxx 15

Common Criteria - System • Definition av system enligt IEEE 610. 12 – ”A Common Criteria - System • Definition av system enligt IEEE 610. 12 – ”A collection of components organized to accomplish a specific function or set of functions” • Exempel på olika typer av system – Operativsystem – Client-server lösningar – Ledningssystem, ex vis SLB • Möjligt/lämpligt att evaluera enligt CC – Ja. Detta främst beroende av funktionen är känd, se definition ovan. – Men det finns för framförallt komplexa system en hel del svårigheter… Reg nr xxxxx 16

Common Criteria - system Reg nr xxxxx 17 Common Criteria - system Reg nr xxxxx 17

Common Criteria - System • De flesta CC evalueringar som är gjorda är för Common Criteria - System • De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem • Enbart England har genomfört certifierade evalueringar av större system Reg nr xxxxx 18

Common Criteria – System Några olika vägar att nå målet – – ST för Common Criteria – System Några olika vägar att nå målet – – ST för hela systemet och separata ST för kritiska komponenter – PP för hela systemet och ST för komponenterna – 19 PP enbart för alla komponenter – Reg nr xxxxx PP för hela systemet och alla komponenter Annan metod för systemet och CC för komponenterna

Evaluering av system Reg nr xxxxx 20 Evaluering av system Reg nr xxxxx 20

Common Criteria – System av system • Svårt att använda CC, eftersom målbilden oftast Common Criteria – System av system • Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad • Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: – vilken hotbild som bemöts av dessa – krav på omgivning från dessa • För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat Reg nr xxxxx 21

Tankar om NBF och CC System av system Målsättning System Komponenter Reg nr xxxxx Tankar om NBF och CC System av system Målsättning System Komponenter Reg nr xxxxx 22 Övergripande PP/ST Lägre EAL PP/ST Evaluering Högre EAL

Klassificering av komponenter Reg nr xxxxx 23 Klassificering av komponenter Reg nr xxxxx 23

Common Criteria - System • Sammanfattning – Bra för begränsade system, i andra fall Common Criteria - System • Sammanfattning – Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt – Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” – Evaluera nerifrån och upp! Reg nr xxxxx 24

Vad tillför då en CC evaluering? • Oberoende utvärdering • Möjlighet att värdera och Vad tillför då en CC evaluering? • Oberoende utvärdering • Möjlighet att värdera och jämföra IT-säkerhetslösningar • Ger assurans • Internationellt accepterad standard/metodik Reg nr xxxxx 25

Common Criteria • Frågor? magnus. svensson@aerotechtelub. se 0470 -42 738, 070 -345 45 95 Common Criteria • Frågor? magnus. [email protected] se 0470 -42 738, 070 -345 45 95 Reg nr xxxxx 26