1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC.

Slides:



Advertisements
Liknande presentationer
IHR 2005 Hur mycket kan du?. Inledning Här kan du kontrollera hur mycket du kan om det internationella hälsoreglementet, IHR Du får bedöma tio påståenden,
Advertisements

Målstyrning utifrån Lag om skydd mot olyckor
MKB Miljökonsekvensbeskrivning
VÄGLEDNING I NYTTOREALISERING Prioriteringsmodell Bilaga 6
Learning Study / Stöd för genomförande och dokumentation
Olika villkor Socialstyrelsens rapport 2010
Att söka till högskolan
Relationsdatabasdesign
Fujitsu 1. © Fujitsu 2008 Stockholm Libris inspirationsdag Kristian Wallin Anne Sandfær Fujitsu Services A/S.
December 2012 Förskrivnings- processen. 2 Bedöma behov av insatser Bedömning av hjälpmedelsbehov är en del av en habiliterings-, rehabiliterings- och.
Videokonsultation med medborgare
FL4 732G70 Statistik A Detta är en generell mall för att göra PowerPoint presentationer enligt LiUs grafiska profil. Du skriver in din rubrik,
Fi2 Lägesrapport om IT-utvecklingen i fastighetsbranschen
Leif Håkansson’s Square Dancer Rotation
Resultat från SWEA Framtidsenkät December Januari 2009 REGION ANALYS: MAME Korta version 13 april 2009 Kontakt med enkätgruppen:
HUR GÖR BORN GLOBALS? – OM FÄLLOR OCH FRAMGÅNGSFAKTORER FÖR UTLANDSFÖDDA FÖRETAG Sara Melén och Emilia Rovira Nordman Handelshögskolan i Stockholm.
Kurslitteraturen består av 11 kapitel som var och en belyser olika delar av automatiseringstekniken. De utgör fristående delar men har en gemensam röd.
Börsföretagens krisberedskap. 2 Var har ert företag kontor/anläggningar? (Flera alternativ kan anges)
Clean Energy Project Analysis Course Sammanfattning av introduktionsdelen © Minister of Natural Resources Canada 2001 – Foto : Nordex Gmbh.
Idrott och hälsa År 6 VT 2014 Linda Johansson.
Elkraft 7.5 hp distans: Kap. 3 Likströmsmotorn 3:1
Personuppgiftslagen (PuL) och
1 Vilket stöd kan lärosätena få i införandet av Ladok3? »NUAK »Lars Cronfalk »Ladok3 / Införandestöd.
Barn och Utbildning Föräldraenkät 2011 Totalt resultat förskola Svarsfrekvens hela enkäten (förskola och skola) 39 %
V E R S I O N N R 2. 0 T A V E L I D É E R I M I L J Ö.
Bastugatan 2. Box S Stockholm. Blad 1 Läsarundersökning Maskinentreprenören 2007.
V ersion Dialogseminarium – Patientens väg i vården Välkommen!
Medlemsföretaget Byggmästarn i Helsingborg Östra Göinge 2012 Lokalt företagsklimat.
Medlemsföretaget Byggmästarn i Helsingborg Kungsör 2012 Lokalt företagsklimat.
Medlemsföretaget Byggmästarn i Helsingborg Emmaboda 2012 Lokalt företagsklimat.
Övergripande inriktning för samhällsskydd och beredskap
Penningpolitik och räntebana Lars E.O. Svensson Sveriges riksbank 22 augusti
Effektstyrning® av IT Vad är det? Varför då? Hur gör man?
IT-UPPHANDLING Föredrag vid SFMI:s konferens den 4 november 2014
Fakta om undersökningen
INFÖR NATIONELLA PROVET
Svenska WebDewey Introduktion Harriet Aagaard Svenska Deweyredaktion
1 Funktioner Nr 3 Funktionstyper, högre ordningens funktioner och polymorfism.
Mattis Bergquist
Fakta om undersökningen
Lärarkompetenser 6 oktober 2014 Caroline Kearney Projektledare och utbildningsanalytiker.
Ett test för att definiera den fysiska konditionen utförs.
Styrteknik: Programmering med MELSEC IL PLC2A:1
TÄNK PÅ ETT HELTAL MELLAN 1-50
SLU LSF, Beställare Vård 1 34 Miljarder kronor ?.
Vår metodik för att energieffektivisera Flerfamiljsbostäder
Kunskapsintensiva miljöer och ekonomisk tillväxt Hans Lööf Centre of Excellence for Science and Innovation Studies, KTH. 1.
1 onTarget project management TM VÄLKOMNA EFFEKTIV KOMMUNAL E-FÖRVALTNING INKLUSIVE SKOLPORTAL Microsoft och Sigma.
Listor En lista är en föränderlig ordnad samling objekt.
Medlemsföretaget Byggmästarn i Helsingborg Åtvidaberg 2012 Lokalt företagsklimat.
Diskreta, deterministiska system Projekt 1.2; Vildkatt
är ett Ett ledningsstödsystem för områdesansvariga ”myndigheter”
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Planbesked Möjlighet för enskilda Öka förutsägbarheten
Medlemsföretaget Byggmästarn i Helsingborg Katrineholm 2012 Lokalt företagsklimat.
1 Anneli Juhlin FP
OpCon/xps - A case study. Club2200Page 1 OpCon/xps – A case study Club2200 Magnus Nyman & Hans Forslind.
Strategisk ekonomistyrning: Föreläsning Professor Fredrik Nilsson Linköping
Designstöd Daniel Fällman Institutionen för informatik Umeå universitet Design och utvärdering, 5 poäng.
1 Logging and monitoring of TCP traffic in SSH tunnels Masters thesis Anton Persson.
Ingenjörsmetodik IT & ME 2008
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
Räkna till en miljard 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13,14,15,16,17,18,19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, En miljard är ett.
1 L U N D S U N I V E R S I T E T Bygginnovationssystem, VBEN20 Kristian Widén.
Bild 1 Prognos för länets arbetsmarknad Stefan Tjb.
1 Mönstermatchning och rekursion Nr 4. 2 Förenklad notation val fnname = fn name => expression Förenklas till fun fnname name = expression Exempel fun.
1 Mjukvaru-utveckling av interaktiva system God utveckling av interaktiva system kräver abstrakt funktionell beskrivning noggrann utvecklingsmetod Slutanvändare.
Designstöd Design och utvärdering, 5 poäng
Kritiskt förhållningssätt
Tekniska system.
Presentationens avskrift:

1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC

2 Reg nr xxxxxxxxx Common Criteria Common Criteria (CC) –internationell generell metod för att evaluera system och produkter –Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv –togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland

3 Reg nr xxxxxxxxx Common Criteria Common Criteria ersätter/kompletterar befintliga standarder för evalueringar FC (U.S.A.) CTCPEC (Canada) ITSEC (Europe) Common Criteria Editorial Board January 1996 Common Criteria Implementation Board Version 2.0 May 1998 CC V1.0 TCSEC (U.S.A.) Common Criteria Interpretations Management Board Version 2.1 August 1999 International Standard ISO/IEC 15408:1999 June 1999

4 Reg nr xxxxxxxxx Common Criteria Common Criteria allmänt: –tillåter jämförelse av oberoende evalueringar –hanterar obehörig åtkomst (sekretess) obehörig modifiering (integritet) åsidosättande av funktion (tillgänglighet) spårning (loggning) –både “praktisk” och “teoretisk”

5 Reg nr xxxxxxxxx Common Criteria - Roller Certification Body, FMVCB ITSEF Developer/ Sponsor Evaluation deliverables Problem Reports (OR) Evaluation working plan (EWP) Final Evaluation report (ETR) Appointment (Certificate) Interpretations Certification Report (CR) Single Evaluation Reports (SER)

6 Reg nr xxxxxxxxx Common Criteria Evaluering enligt Common Criteria innebär följande –Granskning av utvecklarens kvalitetssystem, konfigurations- hantering (CM) och utvecklingsmiljö –Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering

7 Reg nr xxxxxxxxx Common Criteria –En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna –Oberoende test funktionstest penetrationstest –Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter

8 Reg nr xxxxxxxxx Common Criteria Common Criteria använder –begreppet Protection Profile (PP) –begreppet Security Target (ST) –begreppet Target Of Evaluation (TOE) –säkerhetsrelaterade IT krav –assuranskrav indelade i sju assuransnivåer

9 Reg nr xxxxxxxxx Common Criteria Protection Profile (PP) –En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system –“Beskriver vad som behövs/krävs!”, inkluderande Hotbild Säkerhetsmål Antaganden på omgivning och användning Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer –Utgör en Säkerhetsmålsättning! –Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc

10 Reg nr xxxxxxxxx Common Criteria Security Target (ST) –Innehåller motsvarande information som en PP med några tillägg Beskriver TOE konkret Beskriver hur säkerhetsmålen uppfylls - Säkerhetsfunktioner Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP –“Beskriver vad som erbjuds!” –Är vanligtvis en utvecklares svar på en eller flera PP’s –Krävs för att en produkt eller system skall kunna evalueras

11 Reg nr xxxxxxxxx Common Criteria Target Of Evaluation (TOE) –Produkten/systemet som skall evalueras –Definieras i Security Target –Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen –Kan vara svår att definiera, framförallt för system

12 Reg nr xxxxxxxxx Common Criteria Assuranskrav beskriver Vad utvecklaren skall göra Vad som skall bevisas/beläggas och presenteras Vad evalueraren skall kontrollera Assuranskraven är indelade i sju paket/nivåer, EAL1-EAL7 –Högre nivå kräver större bevisning och djupare granskning –Nivå definieras i PP eller ST

13 Reg nr xxxxxxxxx Common Criteria – EAL EAL1 – Functionally tested EAL2 – Structurally tested EAL3 – Methodically tested and checked EAL4 – Methodically designed, tested and reviewed EAL5 – Semi formally designed and tested EAL6 – Semi formally verified design and tested EAL7 – Formally verified design and tested

14 Reg nr xxxxxxxxx Common Criteria som process Skapa PPEvaluera PPEvaluerad PPKatalogisera PP Skapa STEvaluera ST Evaluerad ST Skapa TOE Evaluera TOEEvaluerad TOECertifierad TOE

15 Reg nr xxxxxxxxx Common Criteria och system Definition av produkt resp. system enligt CC –En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. –Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet

16 Reg nr xxxxxxxxx Common Criteria - System Definition av system enligt IEEE –”A collection of components organized to accomplish a specific function or set of functions” Exempel på olika typer av system –Operativsystem –Client-server lösningar –Ledningssystem, ex vis SLB Möjligt/lämpligt att evaluera enligt CC –Ja. Detta främst beroende av funktionen är känd, se definition ovan. –Men det finns för framförallt komplexa system en hel del svårigheter…

17 Reg nr xxxxxxxxx Common Criteria - system

18 Reg nr xxxxxxxxx Common Criteria - System De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem Enbart England har genomfört certifierade evalueringar av större system

19 Reg nr xxxxxxxxx Common Criteria – System Några olika vägar att nå målet –PP för hela systemet och alla komponenter –PP enbart för alla komponenter –ST för hela systemet och separata ST för kritiska komponenter –PP för hela systemet och ST för komponenterna –Annan metod för systemet och CC för komponenterna

20 Reg nr xxxxxxxxx Evaluering av system

21 Reg nr xxxxxxxxx Common Criteria – System av system Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: –vilken hotbild som bemöts av dessa –krav på omgivning från dessa För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat

22 Reg nr xxxxxxxxx Tankar om NBF och CC System av system System Komponenter Målsättning Övergripande PP/ST Lägre EAL PP/ST Evaluering Högre EAL

23 Reg nr xxxxxxxxx Klassificering av komponenter

24 Reg nr xxxxxxxxx Common Criteria - System Sammanfattning –Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt –Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” –Evaluera nerifrån och upp!

25 Reg nr xxxxxxxxx Vad tillför då en CC evaluering? Oberoende utvärdering Möjlighet att värdera och jämföra IT-säkerhetslösningar Ger assurans Internationellt accepterad standard/metodik

26 Reg nr xxxxxxxxx Common Criteria Frågor? ,