Presentation laddar. Vänta.

Presentation laddar. Vänta.

1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC.

Publicerades avBerit Olofsson

Liknande presentationer

En presentation över ämnet: "1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC."— Presentationens avskrift:

1 1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC

2 2 Reg nr xxxxxxxxx Common Criteria Common Criteria (CC) –internationell generell metod för att evaluera system och produkter –Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv –togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland

3 3 Reg nr xxxxxxxxx Common Criteria Common Criteria ersätter/kompletterar befintliga standarder för evalueringar FC (U.S.A.) CTCPEC (Canada) ITSEC (Europe) Common Criteria Editorial Board January 1996 Common Criteria Implementation Board Version 2.0 May 1998 CC V1.0 TCSEC (U.S.A.) Common Criteria Interpretations Management Board Version 2.1 August 1999 International Standard ISO/IEC 15408:1999 June 1999

4 4 Reg nr xxxxxxxxx Common Criteria Common Criteria allmänt: –tillåter jämförelse av oberoende evalueringar –hanterar obehörig åtkomst (sekretess) obehörig modifiering (integritet) åsidosättande av funktion (tillgänglighet) spårning (loggning) –både “praktisk” och “teoretisk”

5 5 Reg nr xxxxxxxxx Common Criteria - Roller Certification Body, FMVCB ITSEF Developer/ Sponsor Evaluation deliverables Problem Reports (OR) Evaluation working plan (EWP) Final Evaluation report (ETR) Appointment (Certificate) Interpretations Certification Report (CR) Single Evaluation Reports (SER)

6 6 Reg nr xxxxxxxxx Common Criteria Evaluering enligt Common Criteria innebär följande –Granskning av utvecklarens kvalitetssystem, konfigurations- hantering (CM) och utvecklingsmiljö –Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering

7 7 Reg nr xxxxxxxxx Common Criteria –En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna –Oberoende test funktionstest penetrationstest –Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter

8 8 Reg nr xxxxxxxxx Common Criteria Common Criteria använder –begreppet Protection Profile (PP) –begreppet Security Target (ST) –begreppet Target Of Evaluation (TOE) –säkerhetsrelaterade IT krav –assuranskrav indelade i sju assuransnivåer

9 9 Reg nr xxxxxxxxx Common Criteria Protection Profile (PP) –En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system –“Beskriver vad som behövs/krävs!”, inkluderande Hotbild Säkerhetsmål Antaganden på omgivning och användning Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer –Utgör en Säkerhetsmålsättning! –Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc

10 10 Reg nr xxxxxxxxx Common Criteria Security Target (ST) –Innehåller motsvarande information som en PP med några tillägg Beskriver TOE konkret Beskriver hur säkerhetsmålen uppfylls - Säkerhetsfunktioner Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP –“Beskriver vad som erbjuds!” –Är vanligtvis en utvecklares svar på en eller flera PP’s –Krävs för att en produkt eller system skall kunna evalueras

11 11 Reg nr xxxxxxxxx Common Criteria Target Of Evaluation (TOE) –Produkten/systemet som skall evalueras –Definieras i Security Target –Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen –Kan vara svår att definiera, framförallt för system

12 12 Reg nr xxxxxxxxx Common Criteria Assuranskrav beskriver Vad utvecklaren skall göra Vad som skall bevisas/beläggas och presenteras Vad evalueraren skall kontrollera Assuranskraven är indelade i sju paket/nivåer, EAL1-EAL7 –Högre nivå kräver större bevisning och djupare granskning –Nivå definieras i PP eller ST

13 13 Reg nr xxxxxxxxx Common Criteria – EAL EAL1 – Functionally tested EAL2 – Structurally tested EAL3 – Methodically tested and checked EAL4 – Methodically designed, tested and reviewed EAL5 – Semi formally designed and tested EAL6 – Semi formally verified design and tested EAL7 – Formally verified design and tested

14 14 Reg nr xxxxxxxxx Common Criteria som process Skapa PPEvaluera PPEvaluerad PPKatalogisera PP Skapa STEvaluera ST Evaluerad ST Skapa TOE Evaluera TOEEvaluerad TOECertifierad TOE

15 15 Reg nr xxxxxxxxx Common Criteria och system Definition av produkt resp. system enligt CC –En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. –Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet

16 16 Reg nr xxxxxxxxx Common Criteria - System Definition av system enligt IEEE 610.12 –”A collection of components organized to accomplish a specific function or set of functions” Exempel på olika typer av system –Operativsystem –Client-server lösningar –Ledningssystem, ex vis SLB Möjligt/lämpligt att evaluera enligt CC –Ja. Detta främst beroende av funktionen är känd, se definition ovan. –Men det finns för framförallt komplexa system en hel del svårigheter…

17 17 Reg nr xxxxxxxxx Common Criteria - system

18 18 Reg nr xxxxxxxxx Common Criteria - System De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem Enbart England har genomfört certifierade evalueringar av större system

19 19 Reg nr xxxxxxxxx Common Criteria – System Några olika vägar att nå målet –PP för hela systemet och alla komponenter –PP enbart för alla komponenter –ST för hela systemet och separata ST för kritiska komponenter –PP för hela systemet och ST för komponenterna –Annan metod för systemet och CC för komponenterna

20 20 Reg nr xxxxxxxxx Evaluering av system

21 21 Reg nr xxxxxxxxx Common Criteria – System av system Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: –vilken hotbild som bemöts av dessa –krav på omgivning från dessa För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat

22 22 Reg nr xxxxxxxxx Tankar om NBF och CC System av system System Komponenter Målsättning Övergripande PP/ST Lägre EAL PP/ST Evaluering Högre EAL

23 23 Reg nr xxxxxxxxx Klassificering av komponenter

24 24 Reg nr xxxxxxxxx Common Criteria - System Sammanfattning –Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt –Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” –Evaluera nerifrån och upp!

25 25 Reg nr xxxxxxxxx Vad tillför då en CC evaluering? Oberoende utvärdering Möjlighet att värdera och jämföra IT-säkerhetslösningar Ger assurans Internationellt accepterad standard/metodik

26 26 Reg nr xxxxxxxxx Common Criteria Frågor? magnus.svensson@aerotechtelub.se 0470-42 738, 070-345 45 95

Ladda ner ppt "1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC."

Liknande presentationer

IHR 2005 Hur mycket kan du?. Inledning Här kan du kontrollera hur mycket du kan om det internationella hälsoreglementet, IHR 2005. Du får bedöma tio påståenden,

IHR 2005 Hur mycket kan du?. Inledning Här kan du kontrollera hur mycket du kan om det internationella hälsoreglementet, IHR Du får bedöma tio påståenden,
Målstyrning utifrån Lag om skydd mot olyckor

Målstyrning utifrån Lag om skydd mot olyckor
MKB Miljökonsekvensbeskrivning

MKB Miljökonsekvensbeskrivning
VÄGLEDNING I NYTTOREALISERING Prioriteringsmodell Bilaga 6

VÄGLEDNING I NYTTOREALISERING Prioriteringsmodell Bilaga 6
Learning Study / Stöd för genomförande och dokumentation

Learning Study / Stöd för genomförande och dokumentation
Olika villkor Socialstyrelsens rapport 2010

Olika villkor Socialstyrelsens rapport 2010
Att söka till högskolan

Att söka till högskolan
Relationsdatabasdesign

Relationsdatabasdesign
Fujitsu 1. © Fujitsu 2008 Stockholm 2008-04-02 Libris inspirationsdag Kristian Wallin Anne Sandfær Fujitsu Services A/S.

Fujitsu 1. © Fujitsu 2008 Stockholm Libris inspirationsdag Kristian Wallin Anne Sandfær Fujitsu Services A/S.
December 2012 Förskrivnings- processen. 2 Bedöma behov av insatser Bedömning av hjälpmedelsbehov är en del av en habiliterings-, rehabiliterings- och.

December 2012 Förskrivnings- processen. 2 Bedöma behov av insatser Bedömning av hjälpmedelsbehov är en del av en habiliterings-, rehabiliterings- och.
Videokonsultation med medborgare

Videokonsultation med medborgare
2017-04-03 FL4 732G70 Statistik A Detta är en generell mall för att göra PowerPoint presentationer enligt LiUs grafiska profil. Du skriver in din rubrik,

FL4 732G70 Statistik A Detta är en generell mall för att göra PowerPoint presentationer enligt LiUs grafiska profil. Du skriver in din rubrik,
Fi2 Lägesrapport om IT-utvecklingen i fastighetsbranschen

Fi2 Lägesrapport om IT-utvecklingen i fastighetsbranschen
Leif Håkansson’s Square Dancer Rotation

Leif Håkansson’s Square Dancer Rotation
Resultat från SWEA Framtidsenkät December 2008 - Januari 2009 REGION ANALYS: MAME Korta version 13 april 2009 Kontakt med enkätgruppen:

Resultat från SWEA Framtidsenkät December Januari 2009 REGION ANALYS: MAME Korta version 13 april 2009 Kontakt med enkätgruppen:
HUR GÖR BORN GLOBALS? – OM FÄLLOR OCH FRAMGÅNGSFAKTORER FÖR UTLANDSFÖDDA FÖRETAG Sara Melén och Emilia Rovira Nordman Handelshögskolan i Stockholm.

HUR GÖR BORN GLOBALS? – OM FÄLLOR OCH FRAMGÅNGSFAKTORER FÖR UTLANDSFÖDDA FÖRETAG Sara Melén och Emilia Rovira Nordman Handelshögskolan i Stockholm.
Kurslitteraturen består av 11 kapitel som var och en belyser olika delar av automatiseringstekniken. De utgör fristående delar men har en gemensam röd.

Kurslitteraturen består av 11 kapitel som var och en belyser olika delar av automatiseringstekniken. De utgör fristående delar men har en gemensam röd.
Börsföretagens krisberedskap. 2 Var har ert företag kontor/anläggningar? (Flera alternativ kan anges)

Börsföretagens krisberedskap. 2 Var har ert företag kontor/anläggningar? (Flera alternativ kan anges)
Clean Energy Project Analysis Course Sammanfattning av introduktionsdelen © Minister of Natural Resources Canada 2001 – 2005. Foto : Nordex Gmbh.

Clean Energy Project Analysis Course Sammanfattning av introduktionsdelen © Minister of Natural Resources Canada 2001 – Foto : Nordex Gmbh.
Idrott och hälsa År 6 VT 2014 Linda Johansson.

Idrott och hälsa År 6 VT 2014 Linda Johansson.

Liknande presentationer

Google-annonser