Presentation laddar. Vänta.

Presentation laddar. Vänta.

1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC.

Liknande presentationer


En presentation över ämnet: "1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC."— Presentationens avskrift:

1 1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC

2 2 Reg nr xxxxxxxxx Common Criteria Common Criteria (CC) –internationell generell metod för att evaluera system och produkter –Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv –togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland

3 3 Reg nr xxxxxxxxx Common Criteria Common Criteria ersätter/kompletterar befintliga standarder för evalueringar FC (U.S.A.) CTCPEC (Canada) ITSEC (Europe) Common Criteria Editorial Board January 1996 Common Criteria Implementation Board Version 2.0 May 1998 CC V1.0 TCSEC (U.S.A.) Common Criteria Interpretations Management Board Version 2.1 August 1999 International Standard ISO/IEC 15408:1999 June 1999

4 4 Reg nr xxxxxxxxx Common Criteria Common Criteria allmänt: –tillåter jämförelse av oberoende evalueringar –hanterar obehörig åtkomst (sekretess) obehörig modifiering (integritet) åsidosättande av funktion (tillgänglighet) spårning (loggning) –både “praktisk” och “teoretisk”

5 5 Reg nr xxxxxxxxx Common Criteria - Roller Certification Body, FMVCB ITSEF Developer/ Sponsor Evaluation deliverables Problem Reports (OR) Evaluation working plan (EWP) Final Evaluation report (ETR) Appointment (Certificate) Interpretations Certification Report (CR) Single Evaluation Reports (SER)

6 6 Reg nr xxxxxxxxx Common Criteria Evaluering enligt Common Criteria innebär följande –Granskning av utvecklarens kvalitetssystem, konfigurations- hantering (CM) och utvecklingsmiljö –Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering

7 7 Reg nr xxxxxxxxx Common Criteria –En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna –Oberoende test funktionstest penetrationstest –Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter

8 8 Reg nr xxxxxxxxx Common Criteria Common Criteria använder –begreppet Protection Profile (PP) –begreppet Security Target (ST) –begreppet Target Of Evaluation (TOE) –säkerhetsrelaterade IT krav –assuranskrav indelade i sju assuransnivåer

9 9 Reg nr xxxxxxxxx Common Criteria Protection Profile (PP) –En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system –“Beskriver vad som behövs/krävs!”, inkluderande Hotbild Säkerhetsmål Antaganden på omgivning och användning Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer –Utgör en Säkerhetsmålsättning! –Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc

10 10 Reg nr xxxxxxxxx Common Criteria Security Target (ST) –Innehåller motsvarande information som en PP med några tillägg Beskriver TOE konkret Beskriver hur säkerhetsmålen uppfylls - Säkerhetsfunktioner Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP –“Beskriver vad som erbjuds!” –Är vanligtvis en utvecklares svar på en eller flera PP’s –Krävs för att en produkt eller system skall kunna evalueras

11 11 Reg nr xxxxxxxxx Common Criteria Target Of Evaluation (TOE) –Produkten/systemet som skall evalueras –Definieras i Security Target –Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen –Kan vara svår att definiera, framförallt för system

12 12 Reg nr xxxxxxxxx Common Criteria Assuranskrav beskriver Vad utvecklaren skall göra Vad som skall bevisas/beläggas och presenteras Vad evalueraren skall kontrollera Assuranskraven är indelade i sju paket/nivåer, EAL1-EAL7 –Högre nivå kräver större bevisning och djupare granskning –Nivå definieras i PP eller ST

13 13 Reg nr xxxxxxxxx Common Criteria – EAL EAL1 – Functionally tested EAL2 – Structurally tested EAL3 – Methodically tested and checked EAL4 – Methodically designed, tested and reviewed EAL5 – Semi formally designed and tested EAL6 – Semi formally verified design and tested EAL7 – Formally verified design and tested

14 14 Reg nr xxxxxxxxx Common Criteria som process Skapa PPEvaluera PPEvaluerad PPKatalogisera PP Skapa STEvaluera ST Evaluerad ST Skapa TOE Evaluera TOEEvaluerad TOECertifierad TOE

15 15 Reg nr xxxxxxxxx Common Criteria och system Definition av produkt resp. system enligt CC –En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. –Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet

16 16 Reg nr xxxxxxxxx Common Criteria - System Definition av system enligt IEEE 610.12 –”A collection of components organized to accomplish a specific function or set of functions” Exempel på olika typer av system –Operativsystem –Client-server lösningar –Ledningssystem, ex vis SLB Möjligt/lämpligt att evaluera enligt CC –Ja. Detta främst beroende av funktionen är känd, se definition ovan. –Men det finns för framförallt komplexa system en hel del svårigheter…

17 17 Reg nr xxxxxxxxx Common Criteria - system

18 18 Reg nr xxxxxxxxx Common Criteria - System De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem Enbart England har genomfört certifierade evalueringar av större system

19 19 Reg nr xxxxxxxxx Common Criteria – System Några olika vägar att nå målet –PP för hela systemet och alla komponenter –PP enbart för alla komponenter –ST för hela systemet och separata ST för kritiska komponenter –PP för hela systemet och ST för komponenterna –Annan metod för systemet och CC för komponenterna

20 20 Reg nr xxxxxxxxx Evaluering av system

21 21 Reg nr xxxxxxxxx Common Criteria – System av system Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: –vilken hotbild som bemöts av dessa –krav på omgivning från dessa För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat

22 22 Reg nr xxxxxxxxx Tankar om NBF och CC System av system System Komponenter Målsättning Övergripande PP/ST Lägre EAL PP/ST Evaluering Högre EAL

23 23 Reg nr xxxxxxxxx Klassificering av komponenter

24 24 Reg nr xxxxxxxxx Common Criteria - System Sammanfattning –Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt –Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” –Evaluera nerifrån och upp!

25 25 Reg nr xxxxxxxxx Vad tillför då en CC evaluering? Oberoende utvärdering Möjlighet att värdera och jämföra IT-säkerhetslösningar Ger assurans Internationellt accepterad standard/metodik

26 26 Reg nr xxxxxxxxx Common Criteria Frågor? magnus.svensson@aerotechtelub.se 0470-42 738, 070-345 45 95


Ladda ner ppt "1 Reg nr xxxxxxxxx Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC."

Liknande presentationer


Google-annonser