Krit eria hodnocen informacn bezpecnosti, dodatek

Dopln ek predn asky pro samostudium Krit eria hodnocen informacn bezpecnosti, dodatek Následující podklady jsou doplňkem přednášky určený pro rozšířující samostudium PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 1 Evaluation assurance level 1 (EAL1) - functionally tested EAL1 provides an evaluation of the TOE as made available to the customer, including independent testing against a specification, and an examination of the guidance documentation provided. It is intended that an EAL1 evaluation could be successfully conducted without assistance from the developer of the TOE, and for minimal outlay. An evaluation at this level should provide evidence that the TOE functions in a manner consistent with its documentation. pozaduje se spr avn y (bezchybn y) provoz TOE z adn e hrozby nejsou povazovan e pro TOE za z avazn e Charakteristiky EAL1, funkcn e testovan y TOE pozaduje se zsk an nez avisle vysloven e z aruky podporujc tvrzen, ze byla vynalozena patricn a starost o ochranu napr. osobnch dat D uvera EAL1 se dosahuje nez avisl ym testov anm shody hodnocen eho PP, ST nebo TOE s jeho neform aln funkcn specikac a zkoum anm predlozen ych prrucek pro uzivatele, zda jim funkcnost TOE odpovd a hodnocen je provediteln e bez spolu ucasti a bez pomoci v yvoj are vyzaduje vynalozen minim alnch n aklad u m a poskytnout d ukazy o tom, ze TOE funguje v souladu s dokumentac a poskytuje dobrou ochranu proti identikovan ym hrozb am clov a EAL pri zabezpecov an syst em u obsahujcch napr. pouze osobn udaje, evidenci DKP,... Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 3

Charakteristiky EAL2, struktur aln e testovan y TOE Evaluation assurance level 2 (EAL2) - structurally tested EAL2 is applicable in those circumstances where developers or users require a low to moderate level of independently assured security in the absence of ready availability of the complete development record. Such a situation may arise when securing legacy systems, or where access to the developer may be limited. vyzaduje spolupr aci v yvoj are, v yvoj ar mus dodat funkcn specikace urcit e informace o n avrhu bezpecnostnch funkc (na urovni glob alnho n avrhu, high-level design) a v ysledky testov an proveden e v yvoj aren v yvoj si nevyzaduje vce usil nezli je potrebn e pro dodrzov an dobr e komercn praxe vhodn a EAL pro prpady, kdy je v yvoj ar dostupn y omezene v yvoj nezp usobuje zv ysen n aklad u EAL2 vyjadruje nzkou az stredn nez avisle ov erenou z aruku za dosazenou bezpecnost v prpad e, ze nen dostupn a kompletn informace z f aze v yvoje Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 5 Charakteristiky EAL2, struktur aln e testovan y TOE Urove n z aruky za dosazen bezpecnosti EAL2 vyzaduje splnen podmnek stanoven ych pro EAL1 proveden anal yzy vyz adan e dokumentace overen v ysledk u nekter ych test u proveden anal yzy sly funkc a proveden anal yzy osetren obecne zn am ych zranitelnost Pro TOE mus b yt { sestaven y seznam kongurace { vypracov any procedury pro bezpecnou instalaci, generov an a spust en Evaluation assurance level 3 (EAL3) - methodically tested and checked EAL3 is applicable in those circumstances where developers or users require a moderate level of independently assured security, and require a thorough investigation of the TOE and its development without substantial re-engineering. EAL3 represents a meaningful increase in assurance from EAL2 by requiring more complete testing coverage of the security functionality, mechanisms and/or procedures that provide some condence that the TOE will not be tampered with during development clov a EAL pri zabezpecov an syst em u typu podnikov e ucetnictv Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 7

EAL3, metodicky testovan y a kontrolovan y TOE maxim aln e vysok a urove n z aruky dosazen bezpecnosti vysloviteln a na z aklade zjisten, ze se pri n avrhu pr ukazne pouzilo bezpecnostn konstruov an, a to aniz by v yvoj ar musel podstatne menit sv e dobr e v yvojov e praktiky vyzaduje se pro stredn urove n z aruky za dosazen bezpecnosti EAL3 je oprena o d ukladn e zkoum an TOE (ST, PP) Navc oproti EAL2 se vyzaduje rozs ahlejs testov an, kontrola v yvojov eho prostred a zajist en spr avy kongurace hodnot se d ukazy testov an n avrhu na vysok e (zdrojov e) urovni EAL3 je vhodn a pro podmnky, ve kter ych v yvoj ari nebo uzivatel e pozaduj zsk an nez avisle vysloven e pr umern e urovne z aruky dosazen bezpecnosti a pritom nechtej prov adet rozs ahl y re-engineering bankovn software pro styk se z akaznky, software CA v PKI,... Evaluation assurance level 4 (EAL4) - methodically designed, tested, and reviewed EAL4 is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs and are prepared to incur additional security-specific engineering costs. Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 9 EAL4, metodicky navrzen y, testovan y a prezkouman y TOE EAL4, metodicky navrzen y, testovan y a prezkouman y TOE pozadavky EAL4 st ale umoz nuj se pohybovat v r amci dobr e komercn v yvoj arsk e praxe nevyzaduj se podstatn e specializovan e znalosti, dovednosti a jin e zdroje EAL4 je nejvyss urove n z aruk, kterou lze dos ahnout (za rozumn e n aklady) zpetne, tj. pro jiz existujc produkt poskytuje stredn az vysokou urove n z aruky nez avisle ov eren e z aruky za dosazen bezpecnosti pro b eznou komoditu produkt u vyzaduje ze strany v yvoj are nebo uzivatel u pripravenost k pokryt dodatecn ych specick ych n aklad u spjat ych s bezpecnostnm inzen yrstvm Navc oproti EAL3 se vyzaduje pro hodnocen dostupnost detailnho n avrhu (low-level design) TOE, neform alnho modelu bezpecnostn politiky TOE a urcit e podmnoziny implementace (napr. c asti zdrojov eho k odu bezpecnostnch funkc) Nez avisl a anal yza zranitelnost mus demonstrovat odolnost v uci pr uniku utocnk u s nzk ym potenci alem pro utok Kontroly v yvojov eho prostred vyzaduj dostupnost modelu zivotnho cyklu, stanoven pouzit ych v yvojov ych n astroj u a automatizovanou spr avou kongurace v yvojov eho prostred Novell NetWare, SUSE Linux Enterprise Server 9, Windows 2000 Service Pack 3, Red Hat Enterprise Linux 5 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 11

EAL5, semiform alne navrzen y a testovan y TOE Evaluation assurance level 5 (EAL5) - semiformally designed and tested EAL5 is applicable in those circumstances where developers or users require a high level of independently assured security in a planned development and require a rigorous development approach without incurring unreasonable costs attributable to specialist security engineering techniques. vyzaduje se prsn e uplatn en dobr e komercn v yvoj arsk e praxe aplikace speci alnch technik bezpecnostnho inzen yrstv ve strednm rozsahu Dan y TOE byl/bude pravdepodobne jiz navrhovan y a vyvjen y s clem dosazen urovne z aruk EAL5 Nepredpokl ad a se nicm ene velk e zv ysen n aklad u oproti EAL4 EAL5 je vhodn a kdyz se vyzaduje nez avisle overen a vysok a urove n z aruky dosazen bezpecnosti, aniz by n aklady na specializovan e techniky byly nerozumn e vysok e maxim alne vysok a urove n z aruky bezpecnosti vysloviteln a na z aklade zjisten pr ukazn eho pouzvan eho bezpecnostnho konstruov an, zalozen eho na dokonal ych komercnch v yvojov ych praktik ach podporovan ych beznou, nikoli extr emn aplikac speci alnch bezpecnostnch technik Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 13 EAL5, semiform alne navrzen y a testovan y TOE vhodn a pro podmnky, ve kter ych v yvoj ar nebo uzivatel nechtej hradit neod uvodnene zv ysen e n aklady na pouzit speci alnch bezpecnostnch technik Navc oproti EAL4 je vyzadov ano dod an kompletn implementace TOE, form aln model bezpecnostn politiky TOE, poloform aln presentace funkcnch specikac, poloform aln glob aln n avrh (high-level design) a poloform aln demonstrace korespondence implementace v uci n avrhu Evaluation assurance level 6 (EAL6) - semiformally verified design and tested EAL6 is applicable to the development of security TOEs for application in high risk situations where the value of the protected assets justifies the additional costs. Nez avisl a anal yza zranitelnost mus demonstrovat odolnost v uci pr uniku utocnk u se strednm potenci alem pro utok Vyzaduje se tak e anal yza skryt ych kan al u a modularita n avrhu cipov e karty, n ekter e specializovan e operacn syst emy Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 15

EAL6, semif. navrzen y se semif. ov. n avrhem a testovan y EAL6, semif. navrzen y se semif. ov. n avrhem a testovan y urove n z aruky dosazen bezpecnosti umoz nujc vytv aret zvl aste propracovan e produkty nebo syst emy IT pro ochranu aktiv s vysokou hodnotou provozovan e ve vysoce rizikov ych prostredch vhodn a pro v yvoj bezpecn ych produkt u nebo syst em u IT, kter e se maj pouzvat ve vysoce rizikov ych prostredch a kde hodnota chr anen ych aktiv ospravedl nuje dodatecn e vyss n aklady vyzaduje aplikaci technik bezpecnostnho inzen yrstv do prsn eho v yvojov eho prostred urcena pro v yvoj TOE slouzcho pro ochranu vysoce hodnotn ych aktiv proti v yznacn ym rizik um, kdy lze od uvodnit dodatecn e n aklady Navc oproti EAL5 se vyzaduje poloform aln detailn n avrh, rozs ahlejs testov an, n avrh TOE mus b yt modul arn a vrstvov y, implementace mus b yt strukturovan a Nez avisl a anal yza zranitelnost mus demonstrovat odolnost v uci pr uniku utocnk u s vysok ym potenci alem pro utok Anal yza skryt ych kan al u mus b yt systematick a Vyss n aroky jsou kladeny na spr avu kongurace a na kontrolu v yvojov eho prostred Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 17 EAL7, form. navrzen y s form. ov. n avrhem a testovan y Evaluation assurance level 7 (EAL7) - formally verified design and tested EAL7 is applicable to the development of security TOEs for application in extremely high risk situations and/or where the high value of the assets justifies the higher costs. Practical application of EAL7 is currently limited to TOEs with tightly focused security functionality that is amenable to extensive formal analysis. EAL7 je urcen a pro v yvoj bezpecn ych IT produkt u nebo syst em u urcen ych pro provozov an ve vysoce rizikov ych prostredch, kdyz vysok a hodnota aktiv ospravedl nuje vynalozen vyssch n aklad u praktick a pouzitelnost je v soucasn e dob e omezena na produkty nebo syst emy IT s uzce zam erenou bezpecnostn funkcnost, kterou lze rozs ahle analyzovat form aln e Vyzaduje se pln a formalizace, form aln model bezpecnostn politiky, form aln presentace funkcnch specikac a high-level n avrhu, form aln detailn n avrh, poloform aln demonstrace korespondence implementace Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 19

EAL7, form. navrzen y s form. ov. n avrhem a testovan y Prklad rys u EAL { TOE s EAL 3 Testov an se vyzaduje na urovni bl e skr nky (white-box) testy se denuj se znalosti vnitrn struktury mus b yt dosazeno upln eho nez avisl eho potvrzen v ysledk u vsech predlozen ych test u. Slozitost n avrhu mus b yt minimalizov ana Cle urovne z aruky EAL 3 dosahuje se maxim aln jistoty pomoc spr avne veden eho bezpecnostnho inzen yrstv behem n avrhu nez avisle vysloven a z aruka za bezpecnost m a stredn urove n TOE a v yvoj TOE lze d ukladn e prezkoum avat bez rozs ahl eho, d ukladn eho reengineeringu EAL3 poskytuje z aruku tm, ze existuje plnohodnotn y bezpecnostn cl, Security Target (ST) a pro porozumen bezpecn eho chov an byla provedena anal yza bezpecnostnch vlastnost (SFR) v bezpecnostnm cli pomoc { specikac funkc a rozhran TOE { n avod u k pouzit a provozov an TOE a { popisu architektury TOE Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 21 Anal yza je podporena Prklad rys u EAL { TOE s EAL 3 nez avisl ym testov anm funkcnosti TOE (TSF, TOE Security Function) d ukazy testov an proveden eho v yvoj arem na z aklade specikace TSF a n avrhu TOE selektivnm nez avisl ym potvrzenm v ysledk u test u proveden ych v yvoj arem anal yzou zranitelnosti Z aruka je d ale dan a aplikac bezpecnostnch opatren ve v yvojov em prostred d ukazy bezpecn ych dodavatelsk ych procedur Prklad rys u EAL { EAL 3, Popis bezpecnostn architektury Povinosti v yvoj are TOE je navrzen y a implementovan y tak, ze bezpecnostn vlastnosti TFS nelze obejt TSF je navrzen a a implementovan a tak, ze je schopn a sama sebe chr anit pred nedovolen ymi z asahy ned uveryhodn ych aktivn subjekt u poskytnout popis bezpecnoostn architektury TSF Popis bezpecnostn architektury mus b yt vypracovan y na urovni podrobnosti srovnateln e s popisem abstrakc SFR popsan ych v dokumenetu n avrhu TOE popsat bezpecnostn dom eny udrzovan e funkcemi TOE konzistentne s bezpecnostnmi vlastnostmi, SFR popsat bezpecnost inicializace funkc TOE demonstrovat, ze funkce TOE chr an sama sebe pred narusenm demonstrovat, ze funkce TOE zamezuj obch azen bezpecnostnch vlastnosti Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 23

Prklad rys u EAL { EAL 3, Popis bezpecnostn architektury Hodnotitel mus potvrdit, ze vsechny poskytnut e informace spl nuj vsechny pozadavky na obsah a formu d ukazu Prklad rys u EAL { EAL 3, Funkcn specikace V yvoj ar mus vypracovat funkcn specikaci dokumentovat cestu od funkcn specikace k bezp. vlastnostem Funkcn specikace mus plne reprezentovat funkce TOE popsat ucel a metody pouzit vsech rozhran funkc TOE identikovat a popsat vsechny parametry vsech rozhran funkc TOE popsat akce prosazujc bezpecnostn vlastnosti kazd eho rozhran funkc TOE popsat chybov e zpr avy generovan e ucinky prosazov an bezpecnosti a v yskytem v yjimek souvisejcch s vyvol av anm rozhran funkc TOE strucne popsat cinnosti rozhran funkc TOE nesouvisejcch s bezpecnost demonstrovat, jak bezpecnostn vlastnosti souvis s rozhranm funkc TOE ve funkcn specikaci Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 25 Prklad rys u EAL { EAL 3, Funkcn specikace Prklad rys u EAL { EAL 3, N avrh architektury Hodnotitel mus potvrdit, ze poskytnut e informace spl nuj vsechny pozadavky na obsah a formu d ukaz u vydat rozhodnut, ze funkcn specikace jsou presn e a upln e instalace bezpecnostnch vlastnosti, SFR V yvoj ar mus Poskytnout n avrh TOE Poskytnout mapov an rozhran funkc TOE z funkcn specikace na nejnizs urove n dekompozice pouzit e v n avrhu TOE N avrh mus popisovat strukturu TOE v pojmech podsyst em u identikovat vsechny podsyst emy funkc TOE popsat chov an kazd e samostatn eho subsyst emu funkcnosti TOE, kter y neinterferuje s bezpecnostnmi vlastnostmi dostatecne podrobne k urcen, ze bezpecnostn vlastnosti neovliv nuje popsat chov an podporujc bezpecnostn vlastnosti subsyst em u podporujcch bezpecnostn vlastnosti strucne popsat chov an nepodporujc bezpecnostn vlastnosti subsyst em u podporujcch bezpecnostn vlastnosti Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 27

Prklad rys u EAL { EAL 3, N avrh architektury Prklad rys u EAL { EAL 3, Provozn dokumentace strucne popsat chov an subsyst em u podporujcch bezpecnostn vlastnosti poskytnout popis interakc mezi vsemi podsyst emy funkcnosti TOE demonstrovat, ze vsechna chov an popsan a v n avrhu TOE jsou mapov ana na rozhran funkc TOE, kter a je vyvol avaj Hodnotitel mus potvrdit, ze poskytnut e informace spl nuj vsechny pozadavky na obsah a formu d ukaz u vydat rozhodnut, ze n avrh je presnou a uplnou instalace bezpecnostnch vlastnosti, SFR V yvoj ar mus poskytnout provozn dokumentaci Provozn dokumentace mus popsat pro kazdou uzivatelskou roli, uzivatel um dostupn ych funkc a opr avnen, kter e maj b yt rzen e v prostred bezpecn eho provozov an, vcetne odpovdajcch varov an popsat pro kazdou roli uzivatele jak se bezpecn ym zp usobem pouzvaj dostupn a rozhran poskytovan e TOE popsat pro kazdou roli uzivatele dostupn e funkce a rozhran, zejm ena vsechny bezpecnostn parametry zad avan e uzivatelem, vc. indikac vhodn ych bezpecn ych hodnot pro kazdou uzivatelskou roli uzivatele jasne prezentovat kazd y typ bezpecnostn ud alosti souvisejc s funkcemi dostupn ymi uzivateli, kter e je treba prov est, vcetne zmen bezpecnostnch charakteristik prvk u ovl adan ych funkcnost TOE Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 29 Prklad rys u EAL { EAL 3, Provozn dokumentace Prklad rys u EAL { EAL 3, Instalacn procedury identikovat vsechny mozn e rezimy provozov an TOE (vcetne provozu po v ypadku nebo provozn chybe), jejich dopady a d usledky pro zachov an bezpecn eho provozu pro kazdou uzivatelskou roli uzivatele popsat bezpecnostn opatren, kter a je treba dodrzovat, aby naplnily bezpecnostn cle pro provozn prostred popsan e v bezpecnostnm cli, ST b yt srozumitelne napsan a a primerene rozs ahl a Hodnotitel mus potvrdit, ze poskytnut e informace spl nuj vsechny pozadavky na obsah a formu d ukaz u V yvoj ar mus poskytnou TOE vc. instalacnch procedur Prpravn e procedury mus popsat vsechny kroky nezbytn e pro bezpecn e prevzet dodan eho TOE v souladu s procedurami dod avky od v yvoj are popsat vsechny kroky nezbytn e pro bezpecnou instalaci TOE a pro bezpecnou prpravu provoznho prostred v souladu s bezpecnostnmi cli pro provozn prostred pops an e v bezpecnostnm cli, ST Hodnotiel mus potvrdit, ze poskytnut e informace spl nuj vsechny pozadavky na obsah a formu d ukaz u pouzt instalacn postupy aby potvrdil, ze TOE lze pripravit na provoz bezpecne Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 31