Krit eria hodnocen informacn bezpecnosti

Transkript

1 Motivace pro hodnocen Krit eria hodnocen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Existuje produkt (syt em) deklarujc odolnost v uci jist ym hrozb am v uci informacn bezpecnosti deklaruje, ze zajist'uje integritu, d uvernost, dostupnost,... pri plnen jm poskytovan ych sluzeb deklaruje, ze tyto vlastnosti zajist'uje v uci napr. bezn ym utok um, nebo proti siln ym utok um nebo proti profesion alnm utok um,... Na z aklade ceho mohu verit, ze tyto deklarace jsou d uveryhodn e? Standardn resen { tret nez avisl a strana provede hodnocenm vlastnost produktu (syst emu) a potvrd, ze deklarace je validn { potvrzen m uze mt formu auditn (hodnotc) zpr avy { d uveryhodnejs potvrzen je vyd an certik atu d uveryhodnou certikacn autoritou Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 1 Motivace pro hodnocen Jak siln a je z aruka za to, ze deklarace vlastnosti produktu (syst emu) je validn? Sla z aruky se prirozene odvozuje od d uslednosti, detailnosti, presnosti, d ukladnosti,... proveden eho hodnocen Cena za zsk an z aruky je minim alne prmo umern a pozadovan e sle z aruky, obvykle jej cena se zvysuje rychleji Jak silnou z aruku za d uv eryhodnost vlastnost produktu (syst emu) potrebuji? Potrebn a sla z aruky je d ana potenci alem mozn ych skod zp usoben ych provozov anm produktu (syst emu) Pro syst em resc beznou provozn agendu organizace pravdepodobne vystaven y pouze bezn ym slab ym utok u stac slabs z aruka nez pro produkt (syst em) zpracov avajc vysoce citliv a data s potenci alem siln ych utok u (napr. syst em elektronick eho bankovnictv) Motivace pro hodnocen Cm je ovlivnena dosaziteln a sla z aruky za d uveryhodnost? Pozitivn v ysledek hodnocen proveden y ov erenm bezpecnostnch vlastnost produktu (syst emu) oprav nuje vyslovit pouze velmi nzkou z aruku pokud hodnocen bylo proveden e pouze na z aklade test u v uci uzivatelsk emu manu alu nzkou z aruku, pokud pro hodnocen se navc pouzila neform aln specikace vlastnost (formou eseje) stredne silnou z aruku, pokud se pri hodnocen pouzila semi-form aln specikace, zkoumal se detailn n avrh a zdrojov e k ody program u atd. atd.... velmi silnou z aruku, pokud se pro hodnocen pouzila plne form aln specikace vlastnost (algebraicko-logick y model) a pokud se pri hodnocen form alne prok azala validnost a n avaznost n avrhu, detailnho n avrhu a implementace Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 3

2 Motivace pro hodnocen Aby byla deklarovan a z aruka za validnost bezpecnostnch vlastnost produktu (syst emu) d uv eryhodn a, mus se vyslovit na z aklade standardizovan eho, vseobecn e uzn avan eho, reprodukovateln eho, opakovateln eho,... postupu takov y postup specikuje standard ISO/IEC 15408, Evaluation criteria for IT security Cl predn asky { pozn an z asad a princip u ISO/IEC Standard res jak zadat pri popt avce / v yberov em rzen pozadovanou urove n z aruky za deklarovanou informacn bezpecnost produktu / syst emu (deklarac pozadovan eho prolu ochran) Standard rovn ez res jak deklarovat urove n z aruky za dosazenou informacn bezpecnost nabzen eho produktu (deklarac bezpecnostnho cle produktu) Standard denuje postup nez avisl eho posouzen informacn bezpecnosti produktu a syst emu (implementovan eho a provozovan eho konglomer atu produkt u v konkr etnm kontextu) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 5 Cl predn asky { pozn an z asad a princip u ISO/IEC ISO/IEC 15408, Evaluation criteria for IT security ISO/IEC 15408, Evaluation Criteria for IT Security, standard p uvodne zvan y Common Criteria, CC Standard vydan y ISO/IEC/JTC1/SC 27/WG3 ISO/IEC : Part 1: Introduction and general model ISO/IEC : Part 2: Security functional requirements ISO/IEC : Part 3: Security assurance requirements vsechny 3 c asti byly publikovan e v r Jedn a se o hodnotc krit eria podporujc vysloven z aruky, ze byly veden e prsn ym a standardnm zp usobem procesy { specikace informacn bezpecnosti produktu/syst emu, { implementace informacn bezpecnosti produktu/syst emu a { a vlastnho hodnocen informacn bezpecnosti produktu/syst emu Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 7

3 Hodnotc krit eria = Hodnotc krit eria seznam podmnek, kter e vyvjen y/kupovan y produkt nebo syst em m a b yt schopn y (mus) splnit, resp. kter ym mus vyhovet Hodnotc krit eria metodologie hodnocen metodologie hodnocen = zp usob proveden hodnocen zda hodnocen y produkt/syst em vyhovuje stanoven ym krit erim metodologii obvykle urcuje autorita, kter a je v dan e oblasti (napr. EU, st at, koncern,... ) odpovedn a za dodrzov an konzistence hodnocen Common Criteria, CC (ISO/IEC 15408) Common Criteria for Information Technology Security Evaluation poskytuj prostred (framework), ve kter em m uze { uzivatel produktu/syst emu udat pozadavky na jeho inf. bezpecnost { v yrobce specikovat bezpecnostn vlastnosti jeho produktu/syst emu { hodnotitel hodnotit, zda produkt/syst em m a deklarovan e vlastnosti Kdo standard hodnotcch krit eri IT bezpecnosti vyuzv a? Z akaznk pri vypisov an v yberov eho rzen zad av a pozadavky na bezpecnostn vlastnosti pozadovan eho informacnho syst emu (produktu) { vyd av a prol ochran, kter e mus nabzen y produkt poskytovat V yvoj ar jako vodtko pl anovan ych vlastnost pri v yvoji zabezpecovan eho produktu resp. syst emu bezpecnostn vlastnosti vyvinut eho produktu deklaruje jako jeho bezpecnostn cl Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 9 Kdo standard hodnotcch krit eri IT bezpecnosti vyuzv a? Hodnotitel { jako programov y prol sv ych cinnost hodnocen se vesmes res jako zak azkov a cinnost, hodnotitel = rma fakt, ze hodnotitel pro hodnocen prokazatelne pouzv a spr avn a krit eria a spr avnou metodologii hodnocen potvrzuje relevantn akreditacn autorita mezi typick e cinnosti vykon avan e hodnotitelem patr: { potvrzen, ze dan y prol ochran odpovd a pozadavk um z akaznka { potvrzen, bezpecnostn vlastnosti produktu (syst emu) odpovdaj vlastnostem deklarovan ym v jeho bezpecnostnm cli { potvrzen,ze jist y bezpecnostn cl vyhovuje pozadavk um deklarovan ym dan ym prolem ochran Hodnotc krit eria a standardy krit eri v yvoje IT bezpecnosti Hodnotc krit eria standardy v yvoje produktu/syst emu spl nujcho pozadavky standard u rodiny ISO/IEC i kdyz lze standardy ISO/IEC a ISO/IEC pouzt pro hodnocen jak se zach az s informacemi, nen to jejich clem, { jsou prlis technicky orientovan e { jejich smyslem je denovat, jak bezpecne manipulovat s informacemi ani ISO/IEC ani ISO/IEC nepozaduj pouzit { hodnocen ych produkt u, resp. { produkt u s certik atem dosazen e urovne informacn bezpecnosti ISO/IEC i ISO/IEC pouze pozaduj, { aby produkt / syst em byl externe auditovateln y a { aby se pravidelne kontroloval soulad jeho bezpecnostnch vlastnost syst emu s vhodn ymi implementacnmi krit erii, kter ymi mohou b yt napr. hodnotc krit eria Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 11

4 Vysloven z aruky bezpecnosti informac v produktu/syst emu Cl hodnocen z pohledu bezpecnosti informac vysloven urovne z aruky, s jakou lze garantovat, ze produkt/syst em zajist'uje (deklarovanou) informacn bezpecnost Pouzit a hodnotc krit eria proto mus denovat mru z aruky Mra z aruky mus b yt vyj adren a vhodn ymi stupni ( urovnemi) { obecne, napr.: nzk a, stredn, vysok a,... { podle CC: EAL1, EAL2,..., EAL7, EAL { Evaluation Assurance Level, EALi = urove n z aruky za dosazenou kvalitu informacn bezpecnosti, POZOR: nikoli sly pouzit ych bezpecnostnch mechanism u, hodnot se kvalita specikace, implementace, dod avek,... EAL1 { nejnizs z aruka kvality informacn bezpecnosti... EAL7 { nejvyss z aruka kvality informacn bezpecnosti Vysloven z aruky bezpecnosti informac v produktu/syst emu Pro dosazen cle hodnocen { tj. pro vysloven z aruky za dosazenou kvalitu informacn bezpecnosti, se mus prok azat, ze zaveden a bezpecnostn opatren maj spr avnou funkcnost, poskytuj ochranu proti vsem relevantnm hrozb am jsou efektivn, ucinne zabra nuj hrozb am, kv uli kter ym byly zavedeny Hloubka a d ukladnost procedur overen obou techto deklarovan ych vlastnost jsou dan e udanou/pozadovanou urovn z aruky, pro EAL1 se overuj na z aklade uzivatelsk e dokumentace pro EAL7 se overuj na preciznch algebraicko-logick ych model u POZOR { nem uzeme si b yt nikdy jisti absolutn efektivitou a perfektn funkcnost prosazovan ych opatren Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 13 Predm et hodnocen { produkt, syst em Produkt, syst em, predm et hodnocen Predm etem hodnocen (PH), Target Of Evaluation (TOE) m uze b yt produkt { individu aln v yrobek syst em { jedinecn a kombinace produkt u plncch v prostred organizace urcitou roli Hodnocen produktu obtzne se posuzuje efektivnost bezpecnostnch rys u, { neb yv a zn am e prostred, ve kter em bude produkt provozovan y { nen jasn e, co bude konkr etn uzivatel od produktu pozadovat, pri n avrhu vlastnost produktu se mus br at do uvahy generick e pozadavky vetsiny uzivatel u je odpovednost hodnotitele, jak kontroluje funkcnost a efektivitu Hodnocen syst emu pozadavky na efektivnost bezpecnostnch rys u syst emu b yvaj zrejm e, { zn ame prostred, ve kter em bude syst em provozovan y { je jasn e, co konkr etn uzivatel od produktu pozaduje jejich vysloven je ale slozit y a technick y proces Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 15

5 Prnosy a probl emy hodnocen Prnosy hodnocen pro podnik an proveden hodnocen m uze produktu otevrt cestu na nov e trhy (napr. do oblasti st atn spr avy, zdravotnictv, arm ady,... ) hodnocen m uze odstranit starost, zda produkt m a sanci uspet na trhu v ysledek hodnocen obecne b yv a dobr y reklamn n astroj Probl emy s hodnocenm jak akoliv zmena PH (napr. z aplatou) hodnocen znehodnocuje az anuluje uzivatel, kter y nen expertem v (hodnocen) bezpecnosti { nemus plne rozumet z aruk am odvozen ym z v ysledk u hodnocen a { nemus b yt schopn y zadat pozadavky na hodnocen Kdo hrad hodnocen? N aklady hodnotiteli vzdy hrad sponzor hodnocen v yrobce produktu vlastnk syst emu Pri volbe clov e urovne z aruky hraje d ulezitou roli cena hodnocen Je-li PH produkt, n aklady na hodnocen lze rozpt ylit mezi velk y pocet z akaznk u Je-li PH syst em, vesker e n aklady hrad vlastnk syst emu Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 17 Metodologie hodnocen Hodnocen prov ad hodnotitel Hodnotitel m a b yt dozorovan y (kontrolovan y, prov erovan y) autoritou pro hodnocen informacn bezpecnosti pro sponzora hodnocen je hodnotitel d uv eryhodnou tret stranou Pouzit takov ych partner u mj. pozaduje i standard ISO/IEC Sponzor hodnocen uzavr a s hodnotitelem smluvn vztah Kazd a f aze hodnocen vyjmenovan a ve smlouve probh a podle denovan ych postup u vc. denovan eho harmonogramu Hodnotitel vypracov av a hodnotc zpr avu, ve kter e vyslovuje d ukazy podepren e z avery o kvalitativn urovni bezpecnostnch vlastnost PH Metodologie hodnocen Ve smlouve se vymezuje zda hodnotc zpr ava bude d ukazem pro vyd an certik atu dosazen e urovne z aruky za kvalitu informacn bezpecnosti Certik at dosazen e urovn e z aruky odvozen e pri hodnocen vyd av a uzn avan a certikacn autorita na z aklad e hodnotc zpr avy hodnotitele Certikacn autority b yvaj licencovan e komercn organizace licencovan e = akreditovan e u relevantn autority Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 19

6 Metodologie hodnocen Autoritou pro hodnocen informacn bezpecnosti IT m a b yt n arodn / mezin arodn instituce, kter a kontroluje, ze vsichni pod ni spadajc hodnotitel e spl nuj profesn vlastnosti pozadovan e od hodnotitel u vsechny pod ni spadajc certikacn autority spl nuj profesn vlastnosti pozadovan e po certikacnch autorit ach Hodnotitel e a certikacn autority se mus obvykle uch azet o akreditaci u takov e autority pro hodnocen bezpecnosti IT Investigace nebo audit? Metody hodnocen mohou b yt produktove/syst emove orientovan e, investigativn hodnocen { zkoum a se, testuje se, hotov y produkt/syst em a jeho vlastnosti { hodnocen je obtzne opakovateln e, je individu aln pro kazd y PH procesne orientovan e, auditn postup { hodnot se dokumentace a procesy n avrhu, v yvoje, porizov an a provozov an PH { levnejs a snadneji opakovateln e hodnocen, avsak pro koncov eho uzivatele m uze b yt m ene uzitecn e { presto uprednost novan a forma, uplatnen a i v ISO/IEC Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 21 Historie { The Orange Book, TCSEC Trusted Copmuter Security Evaluation Criteria (TCSEC) klasikace poctac u s operacnmi syst emy pro pouzit v arm adnch instalacch, 1985, US Department of Defence Hodnocen y poctacov y syst em pad a do jedn e ze { 7 trd (D, C1, C2, B1, B2, B3, A) ze { 4 rodin (D, C, B, A), pricemz { A je nejprsn ejs trda, D je trda syst em u nespl nujcch krit eria hodnocen Pro kazdou trdu C az A je d an seznam pozadavk u na bezpecnostn funkcnost a na zarucitelnost za bezpecnost s urovn bezpecnosti (s trdou) je sv az ana detailnost zkoum an syst em, kter y deklaruje dosazen nizs trdy nen testovan y stejne, jako syst em deklarujc dosazen vyss trdy The Orange Book, TCSEC, trdy D a C D { PH nesplnil pozadavky z adn e vyss trdy C { PH spl nuje pozadavky na volitelnou ochranu, Discretionary protection jsou k dispozici n astroje pro rzen prstupu a pro audit, kter e cin uzivatele odpovedn e za jejich akce { podtrda C1 { na skupinov e urovni { podtrda C2 { na individu aln urovni testuj se v yskyty obvykl ych chyb, testov an je produktove orientovan e C2 byla nejbeznejs komercn trda typick y reprezentant { univerz aln operacn syst em, ve kter em volitelnost ochran rd vlastnk objektu, prideluje ostatnm uzivatel um / proces um prstupov a pr ava (read, write, execute... ) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 23

7 The Orange Book, TCSEC, trda B B { PH spl nuje pozadavky na povinnou ochranu, Mandatory protection, zpracov avaj se klasikovan a data (tajn a, prsne tajn a,... ) s datov ymi objekty jsou vzdy sv azan a data indikujc klasikaci (security labels) procesy/uzivatek e jsou zarazeni na konkr etn urove n opr avnen prstup z urovn opr avnen k klasikovan ym dat um rd samostatne denovan a pravidla { politika rzen prstupu pozaduje se poskytnut d ukaz u pomoc form alnch model u bezpecnosti (napr. Bell-LaPadula Model) existuj tri trdy v rodine B { B1, B2 a B3 odlisujc se urovn hloubky zkoum an vlastnost souvisejcch s informacn bezpecnosti testuje se funkcnost produktu i jeho zdrojov y program The Orange Book, TCSEC, trda A A { PH spl nuje pozadavky na overenou ochranu, Verified Protection, jedin a trda funkcne ekvivalentn B3 pro PH navc proti B3 mus b yt vypracovan y form aln model a mus se poskytnout form aln d ukazy, ze produkt spl nuje n avrhovou specikaci Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 25 ITSEC Information Technology Security Evaluation Criteria, (ITSEC) Evropsk a hodnotc krit eria (vznik 1990, EU je prijala v 1995) V soucasnosti jsou nahrazen a kriterii Common Criteria, ISO/IEC 15408, nem a smysl se ITSEC zab yvat hloubeji, principy jsou vsak d ulezit e pro pochopen ISO/IEC Byla hojne prekl adan a do mnoha jazyk u, na skodu jednotn e interpretaci Prerusuj prmou vazbu mezi funkcnost a zarucitelnost obe krit eria lze zadat na sobe nez avisle Za urcen pozadavk u a hrozeb je odpovedn y sponzor PH je produkt nebo syst em nedenuj striktn e preddenovan e trdy PH obsahuj prklady trd, ty nejsou nutn e inkrement aln ITSEC Dosazen a urove n z aruky za kvalitu informacn bezpecnosti se hodnotila dosazenou d uv eryhodnost ve 4 pohledech V yvojov y proces forma specikace pozadavk u, n avrh architektury, detailn n avrh, implementace V yvojov e prostred Jak probhalo rzen projektu, pouzit e programovac jazyky, pouzit e kompil atory, aplikovan a bezpecnost pri v yvoji Provozn dokumentace dokumentace spr avce, dokumentace uzivatele Provozn prostred dod avka, distribuce, kongurace, spusten, provoz Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 27

8 E0 E1 E2 ITSEC, trdy zarucitelnosti bezpecnosti nedostatecn a zarucitelnost kvality bezpecnosti, hodnocen nelze prov est pro hodnocen mus b yt zad an bezpecnostn cl a neform aln popis hodnocen eho predmetu a testov an bezpecnostnch funkc mus indikovat, ze hodnocen y predmet spl nuje bezpecnostn cl navc proti E1 se pozaduje pro hodnocen dostupnost neform alnho popisu detailnho n avrhu PH a hodnotiteli se mus dodat d ukazy testov an; mus se prov adet spr ava kongurace a mus b yt zaveden proces dod avky PH E3 E4 E5 ITSEC, trdy zarucitelnosti bezpecnosti navc proti E2 se pozaduje pro hodnocen dostupnost detailnho n avrhu a zdrojov ych text u program u bezpecnostnch funkc navc proti E3 se pozaduje pro hodnocen vyj adren bezpecnostn politiky hodnocen eho predmetu form alnm modelem, semi-form aln popis architektury a detailnho n avrhu PH a proveden anal yzy zranitelnosti na t eto urovni navc proti E4 se mus se prok azat uzk a souvislost mezi detailnm n avrhem a implementac na urovni zdrojov ych text u program u Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 29 E6 ITSEC, trdy zarucitelnosti bezpecnosti navc proti E5 se pozaduje form aln popis bezpecnostn architektury PH konzistentn s form alnm modelem bezpecnostn politiky; mus b yt jednoznacne prokazateln a souvislost v ykonn ych (bin arnch) program u s jejich zdrojov ymi formami. Common Criteria, ISO/IEC Evaluation criteria for IT security ISO/IEC : Part 1: Introduction and general model ISO/IEC : Part 2: Security functional requirements ISO/IEC : Part 3: Security assurance requirements Predmetem hodnocen m uze b yt produkt nebo syst em (d ale nerozlisujeme) Pokud lze produkt/syst em lze pouzvat vce zp usoby pak predm etem hodnocen, Target of Evaluation, TOE, je konkr etn m od jeho pouzit (podle n avodu) Hodnocenm podle CC se ov eruje, zda TOE vykazuje deklarovan e bezpecnostn vlastnosti a to jak z funkcn skladby tak i z hlediska realizace Hodnocen stanovuje urove n z aruky za dosazenou bezpecnost Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 31

9 Specikacn dokument CC, Protection Prole prol ochran, Protection Profile, PP dokument typicky vytv aren y uzivatelem nebo nejakou uzivatelskou komunitou identikuje pozadavky na bezpecnost pro jist e prostred efektivne denuje trdu bezpecnostnch zarzen, napr. { pouzit cipov ych karet pro dosazen nepopiratelnosti (podpisov an) { st'ov e rewally (pro rzen prstupu),... v yrobce se m uze rozhodnout vyr abet zarzen vyhovujc konkr etnmu PP, v yrobek lze certikovat jako vyhovujc PP PP lze pouzt jako sablonu pro denici bezpecnostnho cle (specikaci bezpecnostnch vlastnost konkr etnho produktu/syst emu) z akaznk si m uze vybrat z produkt u, kter e deklaruj vyhoven jist emu PP, resp. kter e vlastn certik at vyhoven jist emu PP Specikacn dokument CC, Security Target bezpecnostn cl, Security Target, ST dokument denujc bezpecnostn vlastnosti produktu/syst emu, tzv. Security Functional Requirements (SFRs) { specikace bezpecnostnch funkc poskytovan ych produktem { souc ast CC je standardn katalog techto funkc { napr SFR m uze denovat, jak se m a konkr etn role autentizovat { CC nepredpisuj z adn e povinn e SFR v ST { nekter e SFR se mohou podmi novat { napr. schopnost omezovat prstup rolm vyzaduje nutnost mt moznost identikovat jednotliv e role produkt/syst em se obvykle hodnot jak spl nuje zadan y/deklarovan y ST, { je hodnocen y proti SFRs deklarovan ym v ST lze rovnez hodnotit ST, zda vyhovuje zadan emu PP ST je mnohdy reklamnm materi alem v yrobce Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 32 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 33 Specikacn dokument CC, Security Target ST obsahuje popisy bezpecnostnch probl em u resen ych pomoc TOE a provoznho prostred TOE TOE z akaznkovi vyhovuje, { pokud se shoduje z akaznk uv bezpecnostn probl em s probl emem, o kter em se v ST dan eho TOE rk a, ze je tmto TOE resen y, a { pokud se shoduje provozn prostred z akaznka s prostredm, ve kter em mus b yt TOE provozovan y TOE lze hodnotit proti ST, hodnot se jak TOE spl nuje ST ST m uze deklarovat, kter ym PP vyhovuje a TOE pak lze hodnotit i proti temto PP, zda jim provozn prostred TOE odpovd a Z akaznk m uze deklarovat, kter y PP charakterizuje jeho provozn prostred a jeho bezpecnostn probl emy Common Criteria, hodnocen produktu a PP Hodnocen produktu/syst emu (TOE) typicky sest av a ze 2 krok u hodnocen ST, o kter em TOE sdeluje, ze ho spl nuje, aby se zskala jistota, ze probl em resen y produktem je probl emem, kter y je potreba resit vlastn hodnocen TOE proti tomuto ST, aby se zskala jistota, ze TOE spl nuje bezpecnostn urove n denovanou v ST Hodnocen PP probh a pred form aln deklarac PP relevantn autoritou odpovednou za bezpecnost IT clem hodnocen je zsk an jistoty, ze PP spr avne identikuje pozadavky na bezpecnost Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 34 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 35

10 Jak CC pouzvaj... Jak CC pouzvaj... Zadavatel e v yvoje jako specikace bezpecnostnch pozadavk u na TOE stanovuj Proly ochran { dokumenty popisujc generick e pozadavky na bezpecnostn rysy trdy produkt u a prpadne i Bezpecnostn cl { pozadavky na bezpecnostn vlastnosti konkr etnch produkt u V yvoj ari specikuj pomoc CC bezpecnostn vlastnosti vyvjen eho TOE dokumentem Bezpecnostn cl, pokud ST nezdal zadavatel v yvoje Z akaznci (pri vyps an v yberov eho rzen,... ) z akaznk vyhled a/vypracuje Prol ochrany, kter y spl nuje jeho pozadavky a pouzije ho pri specikaci objedn avky, vyps an v yberov eho rzen,... Uzivatelsk a sdruzen, resorty (zdravotnictv, st atn spr ava, skolstv, bankovn sektor,... ) denuj pomoc CC Proly ochran, kter e specikuj spolecn e/generick e pozadavky na bezpecnost Hodnotitel e pouzvaj Proly ochran a Bezpecnostn cle jako mertko mry, zda / jak TOE vyhovuje pozadovan e bezpecnosti Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 36 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 37 Uvod Struktura ST/PP orientacn popis resen eho probl emu na vyjadrovac urovni bezn eho uzivatele Popis zarzen (TOE), prohl asen shody, (TOE DESCRIPTION) podrobn y popis ucelu, chov an, struktury,... vyhovujcho TOE popis jak ST/PP spl nuje Common Criteria a prp. kter e PP spl nuje ST Denice bezpecnostnho probl emu (TOE SECURITY ENVIRONMENT) popis predpokl adan ych podmnek/vlastnost provoznho prostred popis osetrovan ych hrozeb Struktura ST/PP Bezpecnostn cle (SECURITY OBJECTIVES) popis bezpecnostnch vlastnost TOE, v yvojov eho prostred a provoznho/organizacnho prostred Bezpecnostn pozadavky (IT Security Requirements) preklad bezpecnostnch cl u do technick ych pozadavk u, kter e mus b yt splneny napr. { pozaduje se, aby vesker y zdrojov y k od byl spravovan y spr avnm syst emem pro zmenov e rzen napr. { pozaduje se proveden upln eho otestov an funkcnosti TOE je hodnocen y proti t eto sekci hodnot se ST, aby se zskala jistota, ze tato sekce odpovd a cl um Od uvodn en bezpecnostnch cl u (RATIONALE) Pro ilustraci { prklady rozsah u typick ych PP PP rewallu 60 az 200 stran, PP PKI 150 az 200 stran sbrka sablon PP viz Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 38 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 39

11 Dv e kategorie pozadavk u na IT bezpecnost dosahovanou TOE Dv e kategorie pozadavk u na IT bezpecnost dosahovanou TOE funkcn pozadavky { cle z hlediska bezpecnosti informac Security Functional Requirements (SFRs) CO TOE D EL A? { pri hodnocen produktu/syst emu proti jeho ST, resp. CO TOE M A D ELAT? { pri hodnocen PP/ST denice bezpecn eho chov an TOE (identikace, autentizace, nepopiratelnost,... ) se provede v yctem pozadavk u na sk alu poskytovan ych bezpecnostnch funkc bezpecnostn funkce (opatren,... ) vznikaj implementac funkcnch pozadavk u pozadavky zarucitelnosti bezpecnosti Security Assurance Requirements JE TOE UD EL AN DOB RE A D EL A CO M A D ELAT? urceno pro stanoven velikosti d uvery v bezpecnostn funkce vytvoren e implementac funkcnch pozadavk u sla z aruky se odvozuje z d ukaz u zskan ych prok az anm spr avnosti n avrhu a implementace tj. ucinn eho splnen cl u, coz vyzaduje dostupnost specikace { sly (odolnosti, ucinnosti,... ) bezpecnostnch funkc { d ukaz u, kter e mus poskytnout v yvoj ar { d ukaz u, kter e mus vypracovat hodnotitel { rozsahu (hloubky, prsnosti,... ) hodnocen Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 40 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 41 Pozadavky na bezpecnostn funkcnost Security Functional Requirements (SFRs) Popis mozn ych pozadavk u na bezpecnostn funkcnost uv ad c ast II krit eri Popis mozn ych... = kter e bezpecnostn funkce lze poskytovat 44 pozadavk u na funkcnost seskupen ych do 6 trd mohou b yt zahrnuty mezi Bezpecnostn pozadavky v ST/PP Prklady User identication (FIA UID) Condentiality of imported data (FCO CID) Random number generation (FMI RND)... Pozadavky na z aruku dosazen bezpecnosti Security Assurance Requirements Popis, jak spolehliv e se maj SFR implementovat obsahuje c ast III krit eri v yctov e seznamy pro v yvoj are/hodnotitele, uv adej se v ST a v PP popisy opatren prijman ych behem v yvoje/hodnocen produktu s clem vyhoven/prok az an deklarovan e bezpecnostn funkcnosti napr. { pozaduje se, aby vesker y zdrojov y k od byl spravovan y spr avnm syst emem pro zmenov e rzen napr. { pozaduje se proveden upln eho otestov an funkcnosti urove n spln en pozadavk u na z aruku deteriminuje zarazen TOE na konkr etn urove n z aruky, Evaluation Assurance Level (EAL) { 1, 2,..., 7 tvrdost, prsnost splnen a hodnocen pozadavk u je d ano EAL zvysuje se a rozsiruje se se vr ustem csla EAL Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 42 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 43

12 Pozadavky na z aruku dosazen bezpecnosti Jedn a se o denice krit eri pro stanoven/hodnocen prol u ochrany (PP) a bezpecnostnch cl u (ST) z hledisek Conguration Management / Spr avy kongurace Guidance Documents / Pr uvodn dokumentace Vulnerability Assessment / Posouzen zranitelnosti Delivery and Operation / Dod an a provozu Life Cycle Support / Podpory zivotnho cyklu Assurance Maintenance / Zajist'ov an udrzby Development / V yvoje Tests / Testov an Urovn e z aruky dosazen bezpecnosti numerick e sk alov an podle dosazen eho plnen r uzne siln ych pozadavk u na bezpecnost sk ala { mnozina urovn z aruky EAL0 az EAL7 kazd e EAL odpovd a balk pozadavk u na z aruku bezpecnosti tento balk pokr yv a pozadavky na prsnost v yvoje, kvalitu dokumentace, zajist enost provozu,... TOE EAL0 { chybn y / nehodnotiteln y TOE EAL1 { funkcne spr avn y TOE, nevystaven y velk ym hrozb am... EAL4 { funkcne i struktur alne spr avn y TOE, vystaven y siln ym utok um... vyss urovne (velmi orientacne) odpovdaj trd am podle Oranzov e knihy, TCSEC (EAL2{C1, EAL3{C2,..., EAL7{A) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 44 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 45 Urovn e z aruky dosazen bezpecnosti Urovn e z aruky dosazen bezpecnosti vyss EAL obecn e neimplikuje,,vyss bezpec", vyss EAL pouze indikuje, ze dosazen deklarovan ych vlastnost z pohledu informacn bezpecnosti byly pecliv eji validovan e { tj. TOE s vyss EAL je d uveryhodnejs Balk pozadavk u na z aruku dosazen bezpecnosti d avan y do ST/PP se nevol ad hoc, obvykle se prebr a se z denice urcen e clov e EAL Prklad vztahu z aruky dosazen bezpecnosti a EAL: ALC DVS, Assurance Life cycle support, Development security rodina z aruk ALC DVS obsahuje 2 urovne z aruk: ALC DVS.1: ve v yvojov em prostred existuj dobr e spr avn procedury ALC DVS.2: plat ALC DVS.1 a existuje d ukaz, ze tyto proceduru pro ochranu TOE dostacuj TOE deklarujc v ST/PP urovn e z aruky EAL1 nebo EAL2 nemus demonstrovat splnen z adn e z aruky ALC DVS EAL3, EAL4 nebo EAL5 mus demonstrovat splnen z aruky ALC DVS.1 EAL6 nebo EAL7 mus demonstrovat splnen z aruky ALC DVS.2 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 46 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 47

13 Mezin arodn uzn av an Pro komercn zivotaschopnost hodnocen je nutn e, aby bylo uzn av ano v co nejsirsm obchodnm prostoru Hodnotc autority mus souhlasit s uzn av anm certik at u vydan ych hodnotcmi centry, kter a pod n e nespadaj 22 zem uzn av a Common criteria recognition arrangement (CCRA), kter e toto uzn av an garantuje Str anky vybran ych instituc opr avnen ych k vyd av an certik at u IT v r amci CCRA spl nujcch n arodn sch emata pro hodnocen a certikaci IT podle CC, : UK, USA, Nemecko, CZ, NBU { certik aty uzn av a, z adn a organizace v CZ je zatm nevyd av a Hodnocen v yvoj are posledn krok procesov e orientovan eho hodnocen, kter y posuzuje jak byl produkt vyvjen y, a to bez jak ychkoliv referenc na vlastn produkt hodnot se v yvoj ar, nehodnot se vyvjen y produkt organizace se stane certikovan ym producentem bezpecn ych produkt u (syst em u) nejedn a se o splnen pozadavk u ISO/IEC certik at ISO/IEC potvrzuje schopnost spolecnosti bezpecne manipulovat s informacemi certik at ISO/IEC nepotvrzuje schopnost spolecnosti vyr abet kvalitn n astroj pro bezpecnou manipulaci s informacemi Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 48 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 49 Hodnocen v yvoj are Existuj standardy, kter e tuto ideu podporuj s erie standard u ISO 9000 { standardizace manazersk ych praktik (analogie ISO/IEC 27001) { prosazov an kvality (podnikatelsk ych) proces u N ekter prodejci prohlasuj, ze registrace pod pecet kvality ISO 9000 je siln ejs prodejn argument nez certik at hodnocen v yvoj are podle Common Criteria Hodnocen v yvoj are podle CC skutecne negarantuje bezpecnost produktu, lze ho dobre vyuzt pro PR ale asi h ure pro zprstupnen nov ych trh u nen jasn e jak zach azet s prevzat ymi aplikacemi (nevyvjen ymi v rezimu rzen em kvalitou) nebo s aplikacemi zskan ymi z vnejsho zdroje EALs, Evaluation Assurance Levels, prehled urovn e z aruky za dosazen informacn bezpecnosti v TOE 7 denovan ych urovn z aruky za dosazen informacn bezpecnosti v TOE (priblizn y ekvivalent dle TCSEC) EAL1, funkcne testovan y TOE EAL2, struktur alne testovan y TOE ( TCSEC C1) EAL3, metodicky testovan y a kontrolovan y TOE ( TCSEC C2) EAL4, metodicky navrzen y, testovan y a prezkouman y TOE ( TCSEC B1) EAL5, semiform alne navrzen y a testovan y TOE ( TCSEC B2) EAL6, semiform alne navrzen y se semiform alne overen ym n avrhem a testovan y TOE ( TCSEC B3) EAL7, form alne navrzen y s form alne overen ym n avrhem a testovan y TOE ( TCSEC A1) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 50 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 51

14 Implikace z urovn z aruk Kter a EAL je vhodn a pro n as TOE? s r ustem csla EAL se zvysuje uplnost a prsnost hodnocen dosazen e kvality pln en pozadavk u na bezpecnost nic vce, nic m ene vys cslo EAL neznamen a dosazen vyssho bezpec, silnejs mechanismy apod. Standard CC neposkytuje metodologii, n avod, pro rozhodnut, kter a EAL je nejvhodnejs pro dan y TOE Relevantn mry jsou st ale predmetem v yvoje / v yzkumu Pozadovanou EAL m a urcit z akaznk, z akaznk vlastn aktiva, prodejce nem uze zn at hodnotu/rizika kritick ych aktiv z akaznka cenov e orientacn pohledy (USA, 2006) EAL2: { USD, 5 { 10 mesc u EAL3: { USD, 6 { 12 mesc u EAL4: { USD, 8 { 24 mesc u Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 52 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 53 Cm se lis EAL? Kter a EAL je vhodn a pro n as TOE? EAL1 EAL 7 rostou pozadavky na kvalitu v yvojov eho procesu TOE EAL1 EAL 7 rostou pozadavky na rozsah white-box testov an TOE EAL1 EAL 7 roste potenci al utoku na provoz TOE, v ys skod, silou utocnk u EAL1{EAL3: odolnost v uci slab ym utok um, nzk a az stredn v yse skod EAL4: odolnost v uci bezn ym utok um, stredn skody EAL5: odolnost v uci siln ym utok um, velk e skody EAL6 { EAL7: odolnost v uci extr emne siln ym utok um profesion al u D ulezitou roli hraje zbytkov a zranitelnost TOE, pr. EAL3: This TOE may not be resistant to MODERATE and HIGH level attack potential. This TOE may include vulnerability that will be exploitable by attackers who have MODERATE or HIGH level attack potential. Kter a EAL je vhodn a pro n as TOE? Prklad resen M ame chr anit aktiva v syst emu proti neautorizovan emu zprstupn en (C, confidentiality), neautorizovan e modikaci (I, integrity) a ztr at e dostupnosti (A, availability) aktiva Utoky na jednotliv a aktiva v syst emu mohou zp usobit skody sk alovan e do skodnch trd n asledovn e C: z adn a, nzk a, stredn, vysok a skoda (numericky 0, 1, 2, 3) I: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) A: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) Kriticnost aktiva lze ohodnotit souctem numerick ych ohodnocen skodnch trd, kter ym je aktivum vystaveno Potrebn a EAL produkt u pouzit ych pro ochranu aktiva necht' je funkc jeho kriticnosti a jeho nejvyss skodn trdy Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 54 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 55

15 Kter a EAL je vhodn a pro n as TOE? Prklad resen Kter a EAL je vhodn a pro n as TOE? Prklad resen Skodn trdy C: z adn a, nzk a, stredn, vysok a skoda (numericky 0, 1, 2, 3) I: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) A: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) Prklady kriticnost syst em u 2: nzk a skodn trda z hlediska integrity a dostupnosti 3: nzk a skodn trda z hlediska integrity, dostupnosti a d uvernosti 3: stredn skodn trda z hlediska integrity a nzk a skodn trda z hlediska dostupnosti 6: stredn skodn trda z hlediska integrity, dostupnosti a d uvernosti 9: vysok a skodn trda z hlediska integrity, dostupnosti a d uvernosti Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 56 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 57 Kter a EAL je vhodn a pro n as TOE? Prklad resen Co stoj a jak dlouho se res hodnocen ranku EAL2-EAL4? Pro ochranu administrativnch dat se sk alou skod CIA 0, 1, 1 tj. nzk a skodn trda z hlediska integrity a dostupnosti, je vhodn a EAL 2 Pro ochranu web serveru se sk alou skod CIA 0, 2, 2, tj. stredn skodn trda z hlediska integrity a dostupnosti, je vhodn a EAL 3 Pro ochranu klc u PKI se sk alou skod CIA 3, 3, 2, tj. vysok a skodn trda z hlediska integrity a d uvernosti a stredn skodn trda z hlediska dostupnosti, je vhodn a EAL 6 Zdroj: US Government Accountability Office, 2006 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 58 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 59