Krit eria hodnocen informacn bezpecnosti, dodatek

Doplnek predna sky pro samostudium Kriteria hodnocen informacn bezpecnosti,

´ ˇ ´ sky 2 Nasleduj´ ıc´ı podklady jsou doplnkem pˇrednaˇ

dodatek

urˇceny´ pro rozˇs´ırˇ uj´ıc´ı samostudium

PV 017 Bezpecnost IT Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016 Jan Staudek, FI MU Brno

2

2 Evaluation assurance level 1 (EAL1) - functionally tested X EAL1 provides an evaluation of the TOE as made available to the customer, X including independent testing against a specification, and an examination of the guidance documentation provided. X It is intended that an EAL1 evaluation could be successfully conducted without assistance from the developer of the TOE, and for minimal outlay. X An evaluation at this level should provide evidence that the TOE functions in a manner consistent with its documentation.

2

2

|

PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti

1

pozaduje se zskan nezavisle vyslovene zaruky podporujc tvrzen, z e byla vynalozena patricna starost o ochranu napr. osobnch dat Duv era EAL1 se dosahuje X nezavisl ym testovan m shody hodnoceneho PP, ST nebo TOE

s jeho neformaln funkcn speci kac a

X zkouman m predlozenych prrucek pro uzivatele,

zda jim funkcnost TOE odpovda

2

pozaduje se spravn y (bezchybny) provoz TOE z adn e hrozby nejsou povazovane pro TOE za zava zne Jan Staudek, FI MU Brno


Charakteristiky EAL1, funkcne testovany TOE

EALs, Evaluation Assurance Levels, prehled

2

|

hodnocen

X je proveditelne bez spoluu casti a bez pomoci vyvoj a re X vyzaduje vynalozen minimaln ch naklad u X ma poskytnout dukazy o tom, z e TOE funguje v souladu s dokumentac

a poskytuje dobrou ochranu proti identi kovanym hrozbam

2

2

clova EAL pri zabezpecovan system u obsahujcch napr. pouze osobn udaje, evidenci DKP, . . . Jan Staudek, FI MU Brno

|


3

Charakteristiky EAL2, strukturaln e testovany TOE

EALs, Evaluation Assurance Levels, prehled 2

2 Evaluation assurance level 2 (EAL2) - structurally tested

vyzaduje spolupraci vyvoj a re, vyvoj a r mus dodat X funkcn speci kace X urcite informace o navrhu bezpecnostnch funkc

X EAL2 is applicable in those circumstances where developers or users require a low to moderate level of independently assured security in the absence of ready availability of the complete development record. X Such a situation may arise when securing legacy systems, or where access to the developer may be limited.

(na urovni globaln ho navrhu, high-level design) a X vysledky testovan provedene vyvoj a ren 2

vyvoj si nevyzaduje vce usil nezli je potrebne pro dodrzovan dobre komercn praxe X vhodna EAL pro prpady, kdy je vyvoj a r dostupny omezene

2 2

Jan Staudek, FI MU Brno

|


4

Charakteristiky EAL2, strukturaln e testovany TOE 2

2

2



5

X EAL3 is applicable in those circumstances where developers or users require a moderate level of independently assured security, and require a thorough investigation of the TOE and its development without substantial re-engineering. X EAL3 represents a meaningful increase in assurance from EAL2 by

requiring more complete testing coverage of the security functionality, mechanisms and/or procedures that provide some con dence that the TOE will not be tampered with during development

Pro TOE mus byt { sestaveny seznam kon gurace { vypracovany procedury pro bezpecnou instalaci, generovan a spusten clova EAL pri zabezpecovan system u typu podnikove u cetnictv |

|

2 Evaluation assurance level 3 (EAL3) methodically tested and checked

splnen podmnek stanovenych pro EAL1 proveden analyzy vyzadan e dokumentace over en vysledk u nekterych testu proveden analyzy sly funkc a proveden analyzy osetren obecne znam ych zranitelnost




Urove n zaruky za dosazen bezpecnosti EAL2 vyzaduje X X X X X

vyvoj nezpusobuje zvy sen naklad u EAL2 vyjadruje nzkou az stredn nezavisle over enou zaruku za dosazenou bezpecnost v prpade, z e nen dostupna kompletn informace z faze vyvoje

6


|


7

EAL3, metodicky testovany a kontrolovany TOE 2


maximaln e vysoka urove n zaruky dosazen bezpecnosti vyslovitelna na zaklad e zjisten, z e se pri navrhu prukazn e pouzilo bezpecnostn konstruovan , a to aniz by vyvoj a r musel podstatne menit sve dobre vyvojov e praktiky

2 Evaluation assurance level 4 (EAL4) methodically designed, tested, and reviewed X EAL4 is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs and X are prepared to incur additional security-specific engineering costs.

X vyzaduje se pro stredn urove n zaruky za dosazen bezpecnosti X EAL3 je oprena o dukladn e zkouman TOE (ST, PP) 2

Navc oproti EAL2 se vyzaduje rozsahlej s testovan , kontrola vyvojov eho prostred a zajisten spravy kon gurace X hodnot se dukazy testovan navrhu na vysoke (zdrojove) urovni

2

EAL3 je vhodna pro X podmnky, ve kterych vyvoj a ri nebo uzivatele pozaduj zskan

nezavisle vyslovene prum erne urovn e zaruky dosazen bezpecnosti a pritom nechtej provad et rozsahl y re-engineering X bankovn software pro styk se zakazn ky, software CA v PKI, . . . Jan Staudek, FI MU Brno

|


8

pozadavky EAL4 stale umoznuj se pohybovat v ramci dobre komercn vyvoj a rske praxe

2

a jine zdroje

2

2

EAL4 je nejvyss urove n zaruk, kterou lze dosahnout (za rozumne naklady) zpetne, tj. pro jiz existujc produkt poskytuje stredn az vysokou urove n zaruky nezavisle over ene zaruky za dosazen bezpecnosti pro bez nou komoditu produktu vyzaduje ze strany vyvoj a re nebo uzivatelu pripravenost k pokryt dodatecnych speci ckych naklad u spjatych s bezpecnostnm inzenyrstv m Jan Staudek, FI MU Brno

|



9

Navc oproti EAL3 se vyzaduje pro hodnocen dostupnost X detailnho navrhu (low-level design) TOE, X neformaln ho modelu bezpecnostn politiky TOE a X urcite podmnoziny implementace

X nevyzaduj se podstatne specializovane znalosti, dovednosti 2

|

EAL4, metodicky navrzeny, testovany a prezkoumany TOE

EAL4, metodicky navrzeny, testovany a prezkoumany TOE 2


10

(napr. c asti zdrojoveho kodu bezpecnostnch funkc)

2 2

Nezavisl a analyza zranitelnost mus demonstrovat odolnost vu ci pruniku uto cnku s nzkym potencialem pro utok Kontroly vyvojov eho prostred vyzaduj dostupnost X modelu z ivotnho cyklu, X stanoven pouzitych vyvojov ych nastroj u a X automatizovanou spravou kon gurace vyvojov eho prostred

2

Novell NetWare, SUSE Linux Enterprise Server 9, Windows 2000 Service Pack 3, Red Hat Enterprise Linux 5 Jan Staudek, FI MU Brno

|


11

EAL5, semiformaln e navrzeny a testovany TOE

EALs, Evaluation Assurance Levels, prehled 2

2 Evaluation assurance level 5 (EAL5) semiformally designed and tested

vyzaduje se prsne uplatnen dobre komercn vyvoj a rske praxe X aplikace specialn ch technik bezpecnostnho inzenyrstv

ve strednm rozsahu X Dany TOE byl/bude pravdepodobne jiz navrhovany a vyvjeny s clem dosazen urovn e zaruk EAL5 X Nepredpoklad a se nicmen e velke zvy sen naklad u oproti EAL4

X EAL5 is applicable in those circumstances where developers or users require a high level of independently assured security in a planned development and X require a rigorous development approach without incurring unreasonable costs attributable to specialist security engineering techniques.

2

EAL5 je vhodna kdyz se vyzaduje nezavisle over ena vysoka urove n zaruky dosazen bezpecnosti, aniz by naklady na specializovane techniky byly nerozumne vysoke X maximaln e vysoka urove n zaruky bezpecnosti vyslovitelna

na zaklad e zjisten prukazn eho pouzvaneho bezpecnostnho konstruovan , zalozeneho na dokonalych komercnch vyvojov ych praktikach podporovanych bez nou, nikoli extremn aplikac specialn ch bezpecnostnch technik


|


12

EAL5, semiformaln e navrzeny a testovany TOE 2

2

2 2 2

|


13


vhodna pro podmnky, ve kterych vyvoj a r nebo uzivatel nechtej hradit neoduvodn ene zvy sene naklady na pouzit specialn ch bezpecnostnch technik Navc oproti EAL4 je vyzadovano X X X X X


2 Evaluation assurance level 6 (EAL6) semiformally verified design and tested X EAL6 is applicable to the development of security TOEs for application in high risk situations X where the value of the protected assets justifies the additional costs.

dodan kompletn implementace TOE, formaln model bezpecnostn politiky TOE, poloformaln presentace funkcnch speci kac, poloformaln globaln navrh (high-level design) a poloformaln demonstrace korespondence implementace vu ci navrhu

Nezavisl a analyza zranitelnost mus demonstrovat odolnost vu ci pruniku uto cnku se strednm potencialem pro utok Vyzaduje se take analyza skrytych kanal u a modularita navrhu c ipove karty, nektere specializovane operacn systemy Jan Staudek, FI MU Brno

|


14


|


15

EAL6, semif. navrzeny se semif. ov. navrhem a testovany 2

EAL6, semif. navrzeny se semif. ov. navrhem a testovany

urove n zaruky dosazen bezpecnosti umoznuj c vytva ret zvla ste propracovane produkty nebo systemy IT pro ochranu aktiv s vysokou hodnotou provozovane ve vysoce rizikovych prostredch

2

X X X X

X vhodna pro vyvoj bezpecnych produktu nebo system u IT,

ktere se maj pouzvat ve vysoce rizikovych prostredch a kde hodnota chran enych aktiv ospravedlnuje dodatecne vyss naklady

2 2

vyzaduje aplikaci technik bezpecnostnho inzenyrstv do prsneho vyvojov eho prostred urcena pro vyvoj TOE slouzcho pro ochranu vysoce hodnotnych aktiv proti vyzna cnym rizikum, kdy lze oduvodnit dodatecne naklady Jan Staudek, FI MU Brno

|


Navc oproti EAL5 se vyzaduje

2 2 2

Nezavisl a analyza zranitelnost mus demonstrovat odolnost vu ci pruniku uto cnku s vysokym potencialem pro utok Analyza skrytych kanal u mus byt systematicka Vyss naroky jsou kladeny na spravu kon gurace a na kontrolu vyvojov eho prostred


16

2

2 Evaluation assurance level 7 (EAL7) formally verified design and tested X EAL7 is applicable to the development of security TOEs for application in extremely high risk situations and/or where the high value of the assets justifies the higher costs. X Practical application of EAL7 is currently limited to TOEs with tightly focused security functionality that is amenable to extensive formal analysis.

2

2



17

EAL7 je urcena pro vyvoj bezpecnych IT produktu nebo system u urcenych pro provozovan ve vysoce rizikovych prostredch, kdyz vysoka hodnota aktiv ospravedlnuje vynalozen vyss ch naklad u prakticka pouzitelnost je v soucasne dobe omezena na produkty nebo systemy IT s uzce zamer enou bezpecnostn funkcnost, kterou lze rozsahle analyzovat formaln e Vyzaduje se X X X X X

|

|

EAL7, form. navrzeny s form. ov. navrhem a testovany



poloformaln detailn navrh, rozsahlej s testovan , navrh TOE mus byt modularn a vrstvovy, implementace mus byt strukturovana

18

plna formalizace, formaln model bezpecnostn politiky, formaln presentace funkcnch speci kac a high-level navrhu, formaln detailn navrh, poloformaln demonstrace korespondence implementace Jan Staudek, FI MU Brno

|


19

Prklad rysu EAL { TOE s EAL 3

EAL7, form. navrzeny s form. ov. navrhem a testovany 2

2 2

Testovan se vyzaduje na urovni ble skrnky (white-box)

2

Cle urovn e zaruky EAL 3

X testy se de nuj se znalosti vnitrn struktury

X dosahuje se maximaln jistoty pomoc spravn e vedeneho

mus byt dosazeno upln eho nezavisl eho potvrzen vysledk u vsech predlozenych testu. Slozitost navrhu mus byt minimalizovana

X nezavisle vyslovena zaruka za bezpecnost ma stredn urove n X TOE a vyvoj TOE lze dukladn e prezkoumavat bez rozsahl eho,

bezpecnostnho inzenyrstv behem navrhu

dukladn eho reengineeringu

2

EAL3 poskytuje zaruku tm, z e X existuje plnohodnotny bezpecnostn cl, Security Target (ST) a X pro porozumen bezpecneho chovan byla provedena analyza

bezpecnostnch vlastnost (SFR) v bezpecnostnm cli pomoc { speci kac funkc a rozhran TOE { navod u k pouzit a provozovan TOE a { popisu architektury TOE


|


20

2

Analyza je podporena

Povinosti vyvoj a re z e bezpecnostn vlastnosti TFS nelze obejt

chranit pred nedovolenymi zasahy neduv eryhodnych aktivn subjektu X poskytnout popis bezpecnoostn architektury TSF 2

Popis bezpecnostn architektury mus X byt vypracovany na urovni podrobnosti srovnatelne

Zaruka je dale dana

X

X aplikac bezpecnostnch opatren ve vyvojov em prostred X dukazy bezpecnych dodavatelskych procedur

|


21

X TSF je navrzena a implementovana tak, z e je schopna sama sebe

speci kace TSF a navrhu TOE X selektivnm nezavisl ym potvrzenm vysledk u testu provedenych vyvoj a rem X analyzou zranitelnosti



X TOE je navrzeny a implementovany tak,

X nezavisl ym testovan m funkcnosti TOE (TSF, TOE Security Function) X dukazy testovan provedeneho vyvoj a rem na zaklad e

2

|

Prklad rysu EAL { EAL 3, Popis bezpecnostn architektury

Prklad rysu EAL { TOE s EAL 3 2


X X X

22

s popisem abstrakc SFR popsanych v dokumenetu navrhu TOE popsat bezpecnostn domeny udrzovane funkcemi TOE konzistentne s bezpecnostnmi vlastnostmi, SFR popsat bezpecnost inicializace funkc TOE demonstrovat, z e funkce TOE chran sama sebe pred narusenm demonstrovat, z e funkce TOE zamezuj obchazen bezpecnostnch vlastnosti Jan Staudek, FI MU Brno

|


23

Prklad rysu EAL { EAL 3, Funkcn speci kace

Prklad rysu EAL { EAL 3, Popis bezpecnostn architektury 2

Hodnotitel mus

2

Vyvoj a r mus

2

Funkcn speci kace mus

X potvrdit, z e vsechny poskytnute informace splnuj

vsechny pozadavky na obsah a formu dukazu

X vypracovat funkcn speci kaci X dokumentovat cestu od funkcn speci kace k bezp. vlastnostem

plne reprezentovat funkce TOE popsat u cel a metody pouzit vsech rozhran funkc TOE identi kovat a popsat vsechny parametry vsech rozhran funkc TOE popsat akce prosazujc bezpecnostn vlastnosti kazdeho rozhran funkc TOE X popsat chybove zpravy generovane u cinky prosazovan bezpecnosti a vyskytem vyjimek souvisejcch s vyvolav an m rozhran funkc TOE X strucne popsat c innosti rozhran funkc TOE nesouvisejcch s bezpecnost X demonstrovat, jak bezpecnostn vlastnosti souvis s rozhranm funkc TOE ve funkcn speci kaci X X X X


|


24



25

Prklad rysu EAL { EAL 3, Navrh architektury

Prklad rysu EAL { EAL 3, Funkcn speci kace 2

|

Hodnotitel mus

2

Vyvoj a r mus X Poskytnout navrh TOE X Poskytnout mapovan rozhran funkc TOE z funkcn speci kace na

X potvrdit, z e poskytnute informace splnuj vsechny pozadavky

na obsah a formu dukaz u X vydat rozhodnut, z e funkcn speci kace jsou presne a upln e instalace bezpecnostnch vlastnosti, SFR

nejnizs urove n dekompozice pouzite v navrhu TOE

2

Navrh mus X popisovat strukturu TOE v pojmech podsystem u X identi kovat vsechny podsystemy funkc TOE X popsat chovan kazde samostatneho subsystemu funkcnosti TOE,

ktery neinterferuje s bezpecnostnmi vlastnostmi dostatecne podrobne k urcen, z e bezpecnostn vlastnosti neovlivnuje X popsat chovan podporujc bezpecnostn vlastnosti subsystem u podporujcch bezpecnostn vlastnosti X strucne popsat chovan nepodporujc bezpecnostn vlastnosti subsystem u podporujcch bezpecnostn vlastnosti Jan Staudek, FI MU Brno

|


26


|


27

Prklad rysu EAL { EAL 3, Provozn dokumentace

Prklad rysu EAL { EAL 3, Navrh architektury X strucne popsat chovan subsystem u

2

podporujcch bezpecnostn vlastnosti X poskytnout popis interakc mezi vsemi podsystemy funkcnosti TOE X demonstrovat, z e vsechna chovan popsana v navrhu TOE jsou mapovana na rozhran funkc TOE, ktera je vyvolavaj 2

2

X popsat pro kazdou uzivatelskou roli, uzivatelum dostupnych funkc a

opravn en, ktere maj byt r zene v prostred bezpecneho provozovan , vcetne odpovdajcch varovan X popsat pro kazdou roli uzivatele jak se bezpecnym zpusobem pouzvaj dostupna rozhran poskytovane TOE X popsat pro kazdou roli uzivatele dostupne funkce a rozhran, zejmena vsechny bezpecnostn parametry zadavan e uzivatelem, vc. indikac vhodnych bezpecnych hodnot X pro kazdou uzivatelskou roli uzivatele jasne prezentovat kazdy typ bezpecnostn udalosti souvisejc s funkcemi dostupnymi uzivateli, ktere je treba provest, vcetne zmen bezpecnostnch charakteristik prvku ovladan ych funkcnost TOE

Hodnotitel mus X potvrdit, z e poskytnute informace splnuj vsechny pozadavky

na obsah a formu dukaz u

X vydat rozhodnut, z e navrh je

presnou a uplnou instalace bezpecnostnch vlastnosti, SFR


|


28


|


29

Prklad rysu EAL { EAL 3, Instalacn procedury

Prklad rysu EAL { EAL 3, Provozn dokumentace X identi kovat vsechny mozne rezimy provozovan TOE

2

(vcetne provozu po vypadku nebo provozn chybe), jejich dopady a dusledky pro zachovan bezpecneho provozu X pro kazdou uzivatelskou roli uzivatele popsat bezpecnostn opatren, ktera je treba dodrzovat, aby naplnily bezpecnostn cle pro provozn prostred popsane v bezpecnostnm cli, ST X byt srozumitelne napsana a primer ene rozsahl a 2

Vyvoj a r mus poskytnout provozn dokumentaci Provozn dokumentace mus

Vyvoj a r mus X poskytnou TOE vc. instalacnch procedur

2

Prpravne procedury mus X popsat vsechny kroky nezbytne pro bezpecne prevzet dodaneho TOE

v souladu s procedurami dodavky od vyvoj a re X popsat vsechny kroky nezbytne pro bezpecnou instalaci TOE a pro bezpecnou prpravu provoznho prostred v souladu s bezpecnostnmi cli pro provozn prostred popsan e v bezpecnostnm cli, ST

Hodnotitel mus X potvrdit, z e poskytnute informace splnuj vsechny pozadavky

na obsah a formu dukaz u

2

Hodnotiel mus X potvrdit, z e poskytnute informace splnuj vsechny pozadavky

na obsah a formu dukaz u X pouzt instalacn postupy aby potvrdil, z e TOE lze pripravit na provoz bezpecne Jan Staudek, FI MU Brno

|


30


|


31

Krit eria hodnocen informacn bezpecnosti, dodatek

Recommend Documents