資安產品驗證作業

1. 資安產品驗證作業 報告人：許英明 國家通訊傳播委員會 97年11月24日

2. Contents • 我國資安產品驗證體系 • 資通安全產品及保護剖繪審驗作業要點 • CCRA介紹

3. 我國資安產品驗證體系

5. 資通安全產品及保護剖繪審驗作業要點

6. 資通安全產品及保護剖繪審驗作業要點 • 依據 • 「國家通訊傳播委員會組織法」 • 第三條第八款規定 • 本會掌理資通安全之技術規範及管制 • 法律位階 • 本會法令 • 行政規則 • 作業規定類 • 「資通安全產品及保護剖繪審驗作業要點 」 • 96.6.13公布實施

7. 作業要點用詞定義 (1/4) • 資通安全產品 • 指具備資通技術安全防護措施或功能之硬體、韌體、軟體或三者之任一組合。 • 如：交換器、路由器、 門禁管制系統、防毒系統、防火牆、入侵偵測系統、入侵防禦系統等。 • 保護剖繪(Protection Profile, PP) • 指為滿足資通安全產品評估標的製作之安全基本需求文件。 • 如：銀行公會PP文件內容：IT Security Requirements （TOE Security Functional Requirements 、TOE Security Assurance Requirements 等） • 資訊技術安全評估共同準則(Common Criteria for Information Technology Security Evaluation, CC) • 指資通安全產品及保護剖繪之安全功能及安全保證之國際共同規範，即國際標準組織之ISO/IEC 15408(第2.1版,1996.06)規範。(CNS15408 93.01.09） • 資訊技術安全評估共同方法論(Common Methodology for Information Technology Security Evaluation, CEM) • 指依共同準則評估及驗證資通安全產品及保護剖繪之安全功能及安全保證等級時，應遵循之方法及程序，即國際標準組織之ISO/IEC 18405 (第2.1版,1996.06)規範。

8. 作業要點用詞定義 (2/4) • 申請者 • 指申請資通安全產品或保護剖繪之評估及驗證者。 • 如：銀行公會的PP申請及全宏公司的安全晶片申請。 • 評估標的(Target of Evaluation, TOE) • 指申請評估及驗證之資通安全產品及其相關使用手冊。 • 如：銀行公會的數位簽章產生器、全宏公司的安全晶片。 • 安全標的(Security Target, ST) • 指為資通安全產品能符合保護剖繪或特定安全需求製作之規格文件。 • 如：銀行公會的數位簽章產生器，其ST內容包括PP introduction、TOE Description 、TOE Security Environment 、 Security Objectives、IT Security Requirements 、Rationale 、Appendix等。 • 評估保證等級（Evaluation Assurance Level, EAL） • 指依共同準則及共同方法論評估及驗證資通安全產品或保護剖繪，獲得之安全保證等級。 • 如：EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7共7級。 • 驗證機關（Certification Body, CB） • 指執行審驗之機關。 • 如：NCC(台灣) 、CSE(加拿大)、IPA(日本)、CSEC(瑞典)、ITSCC(韓國)、BSI(德國)。

9. 作業要點用詞定義 (3/4) • 評估實驗室（Evaluation Laboratory, EL） • 指對資通安全產品或保護剖繪具有評估資格及能力之實驗室。 • 如：TTC(台灣)、CSC(澳紐)、Oppida(法國) 、BT(英國)等 • 審驗 • 指對資通安全產品或保護剖繪以符合特定安全需求，由驗證機關出具書面證明之程序。 • 如：審核ETR、OR、SER等資料→共同準則審驗證明。 • 觀察報告（Observation Report, OR） • 指評估實驗室評估資通安全產品或保護剖繪時，對待澄清事項或有爭議問題提出之觀察文件。 • 如：銀行公會觀察報告。 • 評估技術報告(Evaluation Technical Report, ETR) • 指評估實驗室為評估資通安全產品或保護剖繪撰寫之技術報告，提供驗證機關作為驗證報告之依據。 • 如：銀行公會評估技術報告。

10. 作業要點用詞定義 (4/4) • 驗證報告（Certification Report, CR） • 指驗證機關依評估實驗室提供之評估技術報告，確認其遵循共同準則、共同方法論及評估程序撰寫之報告。 • 如：銀行公會驗證報告、全宏公司驗證報告。 • 驗證產品清單 • 指經審驗合格之資通安全產品或保護剖繪相關資訊，包括申請者、產品或保護剖繪名稱、評估保證等級、審驗日期等。

11. 評估及驗證規範 • 共同準則→ISO/IEC 15408 • 共同方法論→ISO/IEC 18405 • 其他由本會訂定公告之技術規範 • 中華民國國家標準（CNS 15408） • 國際標準組織所訂標準 • 區域標準組織所訂標準

12. 評估及驗證類別 (1/2) • 存取控制裝置與系統（Access Control Devices and Systems） • 界限保護裝置與系統（Boundary Protection Devices and Systems） • 資料庫（Databases） • 資料保護（Data Protection） • 偵測裝置與系統（Detection Devices and Systems） • 數位簽章裝置與系統（Digital Signature Devices and Systems）

13. 評估及驗證類別 (2/2) • 積體電路、智慧卡及智慧卡相關裝置與系統（Integrated Circuits, Smart Cards and Smart Card related Devices and Systems） • 金鑰管理系統（Key Management Systems） • 網路及網路相關裝置與系統（Network and Network related Devices and Systems） • 作業系統（Operating Systems） • 其他裝置與系統（Other Devices and Systems）

14. 審驗作業程序 (1/5) • 初步評估 • 申請者申請驗證時，應先向評估實驗室申請評估，由評估實驗室就申請驗證之資通安全產品或保護剖繪進行初步評估，經評估為可行案件時出具評估工作計畫（其項目及內容請參考「資通安全產品及保護剖繪審驗作業要點」之附件二），作為申請驗證之依據。 • 正式評估及驗證之前置作業 • 驗證機關先行核對申請者檢附之文件，認已齊全者，應召開啟動會議，並通知申請者及評估實驗室參與說明，決定是否受理該驗證申請案 。

15. 審驗作業程序 (2/5) • 初步評估 • 申請者申請驗證時，應先向評估實驗室申請評估，由評估實驗室就申請驗證之資通安全產品或保護剖繪進行初步評估，經評估為可行案件時出具評估工作計畫（其項目及內容請參考「資通安全產品及保護剖繪審驗作業要點」之附件二，如下），作為申請驗證之依據。

16. 審驗作業程序 (3/5) • 正式評估及驗證之前置作業 • 驗證機關先行核對申請者檢附之文件，認已齊全者，應召開啟動會議，並通知申請者及評估實驗室參與說明，決定是否受理該驗證申請案。 • 如：銀行公會啟動會議紀錄

17. 審驗作業程序 (4/5) • 正式評估作業 • 驗證機關判定得受理驗證後，由評估實驗室依第三點所定技術規範進行評估，驗證機關得視需要派員督導。 • 評估實驗室發現待澄清事項，應向申請者提出觀察報告，並副知驗證機關，由申請者提出說明；遇有爭議問題時，評估實驗室應向驗證機關提出爭議問題提案處理單（請參考「資通安全產品及保護剖繪審驗作業要點」之附件三）及檢附相關觀察報告並由驗證機關處理之。

18. 審驗作業程序 (5/5) • 驗證作業 • 評估實驗室完成評估後，應將資通安全產品或保護剖繪之評估結果，製作資通安全產品或保護剖繪評估技術報告（請參考「資通安全產品及保護剖繪審驗作業要點」之附件四、附件五）並提報驗證機關。 • 驗證機關依評估實驗室之評估技術報告及相關申請文件初步做成驗證報告後，應召開結案會議並通知評估實驗室及申請者參與。驗證報告經討論無誤，並經驗證機關審議核可後，由驗證機關核發共同準則審驗證明（請參考「資通安全產品及保護剖繪審驗作業要點」之附件六、附件七）。該資通安全產品或保護剖繪之驗證產品清單應公布於本會網站。申請者未取得共同準則審驗證明前，不得對媒體發表任何評估及驗證結果之不當聲明或促銷資訊。 • 資通安全產品或保護剖繪之驗證報告，經驗證機關審議認未合格者，不予核發共同準則審驗證明，並列舉不符合事項，以書面通知申請者於三個月內改善；申請者得向驗證機關重新申請複審；申請複審仍未合格者，應將結果通知申請者。

19. 評估之檢附文件 • 申請資通安全產品評估所需文件 • 資通安全產品安全標的 • 其他經評估實驗室指定之文件 • 申請保護剖繪評估所需文件 • 保護剖繪 • 其他經評估實驗室指定之文件

20. 驗證之檢附文件 (1/2) • 申請資通安全產品驗證，應填具申請書（請參考「資通安全產品及保護剖繪審驗作業要點」之附件八）並檢附下列文件 • 申請者身分證明文件 • 資通安全產品驗證同意書（請參考「資通安全產品及保護剖繪審驗作業要點」之附件九） • 評估工作計畫 • 資通安全產品安全標的 • 其他經驗證機關指定之資料 • 儲存上述文件電子檔之光碟片一份

21. 驗證之檢附文件 (2/2) • 申請保護剖繪驗證，應填具申請書（請參考「資通安全產品及保護剖繪審驗作業要點」之附件十）並檢附下列文件 • 申請者身分證明文件 • 保護剖繪驗證同意書 （請參考「資通安全產品及保護剖繪審驗作業要點」之附件十一） • 評估工作計畫 • 保護剖繪 • 其他經驗證機關指定之資料 • 儲存上述文件電子檔之光碟片一份

22. 注意事項 • 資通安全產品取得共同準則審驗證明後，其名稱、型號、版本或安全功能變更者，原申請者得就變更部分重新申請驗證。保護剖繪有相同情形者，亦同。 • 申請者取得共同準則審驗證明後，經發現其檢附資料偽造或虛偽不實者，該證明失其效力。 • 共同準則審驗證明失其效力者，應由本會通知原申請者，自接獲通知之日起三個月內，不得就相同名稱、型號、版本或安全功能重新申請驗證。但情形特殊，且經本會核准者，不在此限。 • 前項情形者，本會應將其事由公告於本會全球資訊網，並將其產品資料自驗證產品清單中移除。

23. CCRA介紹

24. CCRA • 1998年美國、英國、德國、法國與加拿大等五國提議簽署資安產品共同準則驗證證明書相互承認協議(Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security，CCRA) • CCRA條款於2000年定案，其內容共包括了以下二十個項目：協定的目的、協定的精神、會員資格、範圍、例外、定義、承認條件、自願性的定期性評鑑、出版品、資訊的分享、新的參與者、協定的管理、爭議、承包商的採用、協定的費用、修訂、期效、參與的自願性終止、協定之起始日及協定的效力等。 • CCRA會員身分可以是 • 授與證書會員（Certificate Authorizing Participant, CAP） • 授與證書會員有權指派運作於其國內符合CCRA條款第一條規定之驗證機構出具資訊技術產品及保護剖繪的驗證證明書者。 • 接受證書會員（Certificate Consuming Participant, CCP） • 接受證書會員，因不具備資訊技術產品安全評估的能力，但表示接受授與證書會員之驗證機構所出具的資訊技術產品及保護剖繪的安全評估及驗證報告。

25. Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate Certificate CCRA Members Consumers India (授與證書會員） (接受證書會員） Finland Producers Greece Japan Spain Korea Canada Netherlands Norway France Germany USA UK Australia New Zealand Italy Hungary Czech Validation/ Certification Israel Accreditation Evaluation Sweden CCRA Austria Denmark Market Market Market Market Market Market Market Market Turkey • 24 Countries on CCRA as of 2006 • 12 CAP and 12 CCP Singapore

26. CAP(授與證書會員國)*12 2006.3 挪威 荷蘭 1999.10 澳洲 紐西蘭 2000.5 芬蘭 希腊 義大利 西班牙 挪威 荷蘭 2006.8 西班牙 2006.5.9 韓國 2003.11 日本 2002.2 瑞典 2005.3 新加坡 1998.10 加拿大 法國 德國 英國 美國 2004.9 捷克 2002.11奧地利 2005.4 印度 2006.6.7丹麥 2000.10 以色列 2003.9 匈牙利 土耳其 CCP(接受證書會員國)*12 CCRA Members 加入歷程

27. NSS KECS NSCIB UKITSEC JISEC GECS CCECCS CCEVS AISEP FECS SECS CAP會員國現有體制分佈圖

28. 簡報完畢 敬請指教