Common Criteria Om Common Criteria CC CC och

Common Criteria Om Common Criteria, CC CC och system Tankar om NBF och CC Reg nr xxxxx 1

Common Criteria • Common Criteria (CC) – internationell generell metod för att evaluera system och produkter – Oberoende granskning och analys av ett system eller produkt ur säkerhetsperspektiv – togs fram gemensamt av ett flertal länder, däribland USA, Kanada, Frankrike, England och Tyskland Reg nr xxxxx 2

Common Criteria • Common Criteria ersätter/kompletterar befintliga standarder för evalueringar Common Criteria Implementation Board CTCPEC Common Criteria Editorial Board (Canada) TCSEC (U. S. A. ) FC (U. S. A. ) Version 2. 0 May 1998 CC V 1. 0 International Standard ISO/IEC 15408: 1999 June 1999 January 1996 ITSEC Version 2. 1 August 1999 (Europe) Common Criteria Interpretations Management Board Reg nr xxxxx 3

Common Criteria • Common Criteria allmänt: – tillåter jämförelse av oberoende evalueringar – hanterar • obehörig åtkomst (sekretess) • obehörig modifiering (integritet) • åsidosättande av funktion (tillgänglighet) • spårning (loggning) – både “praktisk” och “teoretisk” Reg nr xxxxx 4

Common Criteria - Roller Evaluation working plan (EWP) Final Evaluation report (ETR) Single Evaluation Reports (SER) ITSEF Reg nr xxxxx 5 Certification Body, FMVCB Certification Report (CR) (Certificate) Appointment Interpretations Problem Reports (OR) Evaluation deliverables Developer/ Sponsor

Common Criteria • Evaluering enligt Common Criteria innebär följande – Granskning av utvecklarens kvalitetssystem, konfigurations-hantering (CM) och utvecklingsmiljö – Granskning av hur systemet/produkten hanteras och identifieras under utveckling, leverans och uppdatering Reg nr xxxxx 6

Common Criteria – En objektiv analys (inkluderande sårbarhetsanalys) av de säkerhetsåtgärder som är implementerade och beskrivna – Oberoende test • funktionstest • penetrationstest – Granskning av mjuk- och hårdvara för säkerhetskritiska delkomponenter Reg nr xxxxx 7

Common Criteria • Common Criteria använder – – – Reg nr xxxxx 8 begreppet Protection Profile (PP) begreppet Security Target (ST) begreppet Target Of Evaluation (TOE) säkerhetsrelaterade IT krav assuranskrav indelade i sju assuransnivåer

Common Criteria • Protection Profile (PP) – En implementationsoberoende beskrivning av säkerhetsmål och krav för en kategori av produkter eller system – “Beskriver vad som behövs/krävs!”, inkluderande • Hotbild • Säkerhetsmål • Antaganden på omgivning och användning • Assuransnivå (EAL) och lägsta krävda nivå av skyddstyrka för mekanismer – Utgör en Säkerhetsmålsättning! – Tas vanligtvis fram av beställare, intresseorganisation, myndighet etc Reg nr xxxxx 9

Common Criteria • Security Target (ST) – Innehåller motsvarande information som en PP med några tillägg • Beskriver TOE konkret • Beskriver hur säkerhetsmålen uppfylls Säkerhetsfunktioner • Beskriver vilka PP som bemöts och eventuella avvikelser – måste inte vara kopplad mot en PP – “Beskriver vad som erbjuds!” – Är vanligtvis en utvecklares svar på en eller flera PP’s Reg nr xxxxx 10 – Krävs för att en produkt eller system skall kunna evalueras

Common Criteria • Target Of Evaluation (TOE) – Produkten/systemet som skall evalueras – Definieras i Security Target – Tydliga fysiska och logiska avgränsningar/gränssnitt mot omgivningen – Kan vara svår att definiera, framförallt för system Reg nr xxxxx 11

Common Criteria Assuranskrav beskriver • Vad utvecklaren skall göra • Vad som skall bevisas/beläggas och presenteras • Vad evalueraren skall kontrollera • Assuranskraven är indelade i sju paket/nivåer, EAL 1 -EAL 7 – Högre nivå kräver större bevisning och djupare granskning – Nivå definieras i PP eller ST Reg nr xxxxx 12

Common Criteria – EAL • EAL 1 – Functionally tested • EAL 2 – Structurally tested • EAL 3 – Methodically tested and checked • EAL 4 – Methodically designed, tested and reviewed • EAL 5 – Semi formally designed and tested • EAL 6 – Semi formally verified design and tested • EAL 7 – Formally verified design and tested Reg nr xxxxx 13

Common Criteria som process Skapa PP Evaluera PP Skapa ST Katalogisera PP Evaluera ST Evaluerad PP Evaluerad ST Skapa TOE Evaluera TOE Reg nr xxxxx 14 Evaluerad TOE Certifierad TOE

Common Criteria och system • Definition av produkt resp. system enligt CC – En produkt enligt CC är en teknisk lösning som ska kunna användas i en generell miljö. – Ett system är en teknisk lösning där en viss konfiguration, omgivande miljö, plattform etc är en förutsättning för att erhålla tänkt funktionalitet Reg nr xxxxx 15

Common Criteria - System • Definition av system enligt IEEE 610. 12 – ”A collection of components organized to accomplish a specific function or set of functions” • Exempel på olika typer av system – Operativsystem – Client-server lösningar – Ledningssystem, ex vis SLB • Möjligt/lämpligt att evaluera enligt CC – Ja. Detta främst beroende av funktionen är känd, se definition ovan. – Men det finns för framförallt komplexa system en hel del svårigheter… Reg nr xxxxx 16

Common Criteria - system Reg nr xxxxx 17

Common Criteria - System • De flesta CC evalueringar som är gjorda är för aktiva kort, brandväggar och operativsystem • Enbart England har genomfört certifierade evalueringar av större system Reg nr xxxxx 18

Common Criteria – System Några olika vägar att nå målet Reg nr xxxxx 19 – PP för hela systemet och alla komponenter – PP enbart för alla komponenter – ST för hela systemet och separata ST för kritiska komponenter – PP för hela systemet och ST för komponenterna – Annan metod för systemet och CC för komponenterna

Evaluering av system Reg nr xxxxx 20

Common Criteria – System av system • Svårt att använda CC, eftersom målbilden oftast är föränderlig och svårdefinierad • Genom att Common Criteria evaluera de enskilda systemen och komponenterna ges en tydlig bild av: – vilken hotbild som bemöts av dessa – krav på omgivning från dessa • För bedömning av hot/risk för ”system av system”, bör troligtvis en annan metod än CC användas, men bedömningen bör förenklas och bli bättre om underlaget är CC evaluerat Reg nr xxxxx 21

Tankar om NBF och CC System av system Reg nr xxxxx 22 Målsättning System Övergripande PP/ST Lägre EAL Komponenter PP/ST Evaluering Högre EAL

Klassificering av komponenter Reg nr xxxxx 23

Common Criteria - System • Sammanfattning – Bra för begränsade system, i andra fall bör komponenterna evalueras enskilt – Det underlättar/är en förutsättning för att bedöma hot-/riskbild för ”system av system” att delsystemen är evaluerade, däremot bör det undvikas att skapa Security Targets för ”system av system” – Evaluera nerifrån och upp! Reg nr xxxxx 24

Vad tillför då en CC evaluering? • Oberoende utvärdering • Möjlighet att värdera och jämföra IT-säkerhetslösningar • Ger assurans • Internationellt accepterad standard/metodik Reg nr xxxxx 25

Common Criteria • Frågor? magnus. svensson@aerotechtelub. se 0470 -42 738, 070 -345 45 95 Reg nr xxxxx 26