1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC
2 Reg nr xxxxxxxxx Common Criteria Common Criteria (CC) –internationell generell metod för att evaluera system och produkter –Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv –togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland
3 Reg nr xxxxxxxxx Common Criteria Common Criteria ersätter/kompletterar befintliga standarder för evalueringar FC (U.S.A.) CTCPEC (Canada) ITSEC (Europe) Common Criteria Editorial Board January 1996 Common Criteria Implementation Board Version 2.0 May 1998 CC V1.0 TCSEC (U.S.A.) Common Criteria Interpretations Management Board Version 2.1 August 1999 International Standard ISO/IEC 15408:1999 June 1999
4 Reg nr xxxxxxxxx Common Criteria Common Criteria allmänt: –tillåter jämförelse av oberoende evalueringar –hanterar obehörig åtkomst (sekretess) obehörig modifiering (integritet) åsidosättande av funktion (tillgänglighet) spårning (loggning) –både “praktisk” och “teoretisk”
5 Reg nr xxxxxxxxx Common Criteria - Roller Certification Body, FMVCB ITSEF Developer/ Sponsor Evaluation deliverables Problem Reports (OR) Evaluation working plan (EWP) Final Evaluation report (ETR) Appointment (Certificate) Interpretations Certification Report (CR) Single Evaluation Reports (SER)
6 Reg nr xxxxxxxxx Common Criteria Evaluering enligt Common Criteria innebär följande –Granskning av utvecklarens kvalitetssystem, konfigurations- hantering (CM) och utvecklingsmiljö –Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering
7 Reg nr xxxxxxxxx Common Criteria –En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna –Oberoende test funktionstest penetrationstest –Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter
8 Reg nr xxxxxxxxx Common Criteria Common Criteria använder –begreppet Protection Profile (PP) –begreppet Security Target (ST) –begreppet Target Of Evaluation (TOE) –säkerhetsrelaterade IT krav –assuranskrav indelade i sju assuransnivåer
9 Reg nr xxxxxxxxx Common Criteria Protection Profile (PP) –En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system –“Beskriver vad som behövs/krävs!”, inkluderande Hotbild Säkerhetsmål Antaganden på omgivning och användning Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer –Utgör en Säkerhetsmålsättning! –Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc
10 Reg nr xxxxxxxxx Common Criteria Security Target (ST) –Innehåller motsvarande information som en PP med några tillägg Beskriver TOE konkret Beskriver hur säkerhetsmålen uppfylls - Säkerhetsfunktioner Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP –“Beskriver vad som erbjuds!” –Är vanligtvis en utvecklares svar på en eller flera PP’s –Krävs för att en produkt eller system skall kunna evalueras
11 Reg nr xxxxxxxxx Common Criteria Target Of Evaluation (TOE) –Produkten/systemet som skall evalueras –Definieras i Security Target –Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen –Kan vara svår att definiera, framförallt för system
12 Reg nr xxxxxxxxx Common Criteria Assuranskrav beskriver Vad utvecklaren skall göra Vad som skall bevisas/beläggas och presenteras Vad evalueraren skall kontrollera Assuranskraven är indelade i sju paket/nivåer, EAL1-EAL7 –Högre nivå kräver större bevisning och djupare granskning –Nivå definieras i PP eller ST
13 Reg nr xxxxxxxxx Common Criteria – EAL EAL1 – Functionally tested EAL2 – Structurally tested EAL3 – Methodically tested and checked EAL4 – Methodically designed, tested and reviewed EAL5 – Semi formally designed and tested EAL6 – Semi formally verified design and tested EAL7 – Formally verified design and tested
14 Reg nr xxxxxxxxx Common Criteria som process Skapa PPEvaluera PPEvaluerad PPKatalogisera PP Skapa STEvaluera ST Evaluerad ST Skapa TOE Evaluera TOEEvaluerad TOECertifierad TOE
15 Reg nr xxxxxxxxx Common Criteria och system Definition av produkt resp. system enligt CC –En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. –Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet
16 Reg nr xxxxxxxxx Common Criteria - System Definition av system enligt IEEE –”A collection of components organized to accomplish a specific function or set of functions” Exempel på olika typer av system –Operativsystem –Client-server lösningar –Ledningssystem, ex vis SLB Möjligt/lämpligt att evaluera enligt CC –Ja. Detta främst beroende av funktionen är känd, se definition ovan. –Men det finns för framförallt komplexa system en hel del svårigheter…
17 Reg nr xxxxxxxxx Common Criteria - system
18 Reg nr xxxxxxxxx Common Criteria - System De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem Enbart England har genomfört certifierade evalueringar av större system
19 Reg nr xxxxxxxxx Common Criteria – System Några olika vägar att nå målet –PP för hela systemet och alla komponenter –PP enbart för alla komponenter –ST för hela systemet och separata ST för kritiska komponenter –PP för hela systemet och ST för komponenterna –Annan metod för systemet och CC för komponenterna
20 Reg nr xxxxxxxxx Evaluering av system
21 Reg nr xxxxxxxxx Common Criteria – System av system Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: –vilken hotbild som bemöts av dessa –krav på omgivning från dessa För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat
22 Reg nr xxxxxxxxx Tankar om NBF och CC System av system System Komponenter Målsättning Övergripande PP/ST Lägre EAL PP/ST Evaluering Högre EAL
23 Reg nr xxxxxxxxx Klassificering av komponenter
24 Reg nr xxxxxxxxx Common Criteria - System Sammanfattning –Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt –Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” –Evaluera nerifrån och upp!
25 Reg nr xxxxxxxxx Vad tillför då en CC evaluering? Oberoende utvärdering Möjlighet att värdera och jämföra IT-säkerhetslösningar Ger assurans Internationellt accepterad standard/metodik
26 Reg nr xxxxxxxxx Common Criteria Frågor? ,