1 / 26

Common Criteria

Common Criteria. Om Common Criteria, CC CC och system Tankar om NBF och CC. Common Criteria. Common Criteria (CC) internationell generell metod för att evaluera system och produkter Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv

adair
Download Presentation

Common Criteria

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Common Criteria • Om Common Criteria, CC • CC och system • Tankar om NBF och CC

  2. Common Criteria • Common Criteria (CC) • internationell generell metod för att evaluera system och produkter • Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv • togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland

  3. Common Criteria Implementation Board CTCPEC Common Criteria Editorial Board (Canada) Version 2.0 May 1998 FC CC V1.0 TCSEC (U.S.A.) (U.S.A.) June 1999 International StandardISO/IEC 15408:1999 January 1996 ITSEC Version 2.1 August 1999 (Europe) Common Criteria Interpretations Management Board Common Criteria • Common Criteria ersätter/kompletterar befintliga standarder för evalueringar

  4. Common Criteria • Common Criteria allmänt: • tillåter jämförelse av oberoende evalueringar • hanterar • obehörig åtkomst (sekretess) • obehörig modifiering (integritet) • åsidosättande av funktion (tillgänglighet) • spårning (loggning) • både “praktisk” och “teoretisk”

  5. Certification Body, FMVCB Certification Report (CR) Evaluation working plan (EWP) Developer/ Sponsor (Certificate) Final Evaluation report (ETR) Appointment Interpretations ITSEF Problem Reports (OR) Single Evaluation Reports (SER) Evaluation deliverables Common Criteria - Roller

  6. Common Criteria • Evaluering enligt Common Criteria innebär följande • Granskning av utvecklarens kvalitetssystem, konfigurations-hantering (CM) och utvecklingsmiljö • Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering

  7. Common Criteria • En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna • Oberoende test • funktionstest • penetrationstest • Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter

  8. Common Criteria • Common Criteria använder • begreppet Protection Profile (PP) • begreppet Security Target (ST) • begreppet Target Of Evaluation (TOE) • säkerhetsrelaterade IT krav • assuranskrav indelade i sju assuransnivåer

  9. Common Criteria • Protection Profile (PP) • En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system • “Beskriver vad som behövs/krävs!”, inkluderande • Hotbild • Säkerhetsmål • Antaganden på omgivning och användning • Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer • Utgör en Säkerhetsmålsättning! • Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc

  10. Common Criteria • Security Target (ST) • Innehåller motsvarande information som en PP med några tillägg • Beskriver TOE konkret • Beskriver hur säkerhetsmålen uppfylls - Säkerhetsfunktioner • Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP • “Beskriver vad som erbjuds!” • Är vanligtvis en utvecklares svar på en eller flera PP’s • Krävs för att en produkt eller system skall kunna evalueras

  11. Common Criteria • Target Of Evaluation (TOE) • Produkten/systemet som skall evalueras • Definieras i Security Target • Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen • Kan vara svår att definiera, framförallt för system

  12. Common Criteria Assuranskrav beskriver • Vad utvecklaren skall göra • Vad som skall bevisas/beläggas och presenteras • Vad evalueraren skall kontrollera • Assuranskraven är indelade i sju paket/nivåer, EAL1-EAL7 • Högre nivå kräver större bevisning och djupare granskning • Nivå definieras i PP eller ST

  13. Common Criteria – EAL • EAL1 – Functionally tested • EAL2 – Structurally tested • EAL3 – Methodically tested and checked • EAL4 – Methodically designed, tested and reviewed • EAL5 – Semi formally designed and tested • EAL6 – Semi formally verified design and tested • EAL7 – Formally verified design and tested

  14. Skapa PP Evaluera PP Katalogisera PP Evaluerad PP Evaluerad ST Skapa ST Evaluera ST Common Criteria som process Skapa TOE Evaluera TOE Evaluerad TOE Certifierad TOE

  15. Common Criteria och system • Definition av produkt resp. system enligt CC • En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. • Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet

  16. Common Criteria - System • Definition av system enligt IEEE 610.12 • ”A collection of components organized to accomplish a specific function or set of functions” • Exempel på olika typer av system • Operativsystem • Client-server lösningar • Ledningssystem, ex vis SLB • Möjligt/lämpligt att evaluera enligt CC • Ja. Detta främst beroende av funktionen är känd, se definition ovan. • Men det finns för framförallt komplexa system en hel del svårigheter…

  17. Common Criteria - system

  18. Common Criteria - System • De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem • Enbart England har genomfört certifierade evalueringar av större system

  19. Common Criteria – System Några olika vägar att nå målet • PP för hela systemet och alla komponenter • PP enbart för alla komponenter • ST för hela systemet och separata ST för kritiska komponenter • PP för hela systemet och ST för komponenterna • Annan metod för systemet och CC för komponenterna

  20. Evaluering av system

  21. Common Criteria – System av system • Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad • Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: • vilken hotbild som bemöts av dessa • krav på omgivning från dessa • För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat

  22. Tankar om NBF och CC System av system Målsättning System Övergripande PP/STLägre EAL PP/STEvalueringHögre EAL Komponenter

  23. Klassificering av komponenter

  24. Common Criteria - System • Sammanfattning • Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt • Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” • Evaluera nerifrån och upp!

  25. Vad tillför då en CC evaluering? • Oberoende utvärdering • Möjlighet att värdera och jämföra IT-säkerhetslösningar • Ger assurans • Internationellt accepterad standard/metodik

  26. Common Criteria • Frågor? magnus.svensson@aerotechtelub.se 0470-42 738, 070-345 45 95

More Related