300 likes | 448 Views
La valutazione della sicurezza dei sistemi IT (Common Criteria - ISO 15408). Ing. Piero Giagnoni Milano, 4 dicembre 2001. Catena evolutiva dello standard ISO. 1994- CC Canada Francia Germania Olanda Regno Unito USA. 1999- CC ISO/IEC 15408 Standard Internazionale. 1993-CTCPEC
E N D
La valutazione della sicurezza dei sistemi IT(Common Criteria - ISO 15408) Ing. Piero Giagnoni Milano, 4 dicembre 2001
Catena evolutiva dello standard ISO 1994- CC Canada Francia Germania Olanda Regno Unito USA 1999- CC ISO/IEC 15408 Standard Internazionale 1993-CTCPEC CANADA 1991-ITSEC 1.2 UNIONE EUROPEA (Francia-Germania Olanda- Regno Unito) 1980- TSEC USA
Scenario di riferimento della Sicurezza vogliono preservare i loro Titolari Beni
Scenario di riferimento della Sicurezza vogliono preservare i loro Titolari danno luogo a Agenti Malevoli Minacce Beni sui mirano a dar luogo ad abusi o danneggiamenti sui
Scenario di riferimento della Sicurezza vogliono preservare i loro Titolari Sono coscienti di Vulnerabilità che ingenerano i che sfruttano incorsi dai Pericoli che aumentano i danno luogo a Agenti Malevoli Minacce Beni sui mirano a dar luogo ad abusi o danneggiamenti sui
Scenario di riferimento della Sicurezza vogliono preservare i loro Titolari vogliono minimizzare i Sono coscienti di Vulnerabilità che ingenerano i che sfruttano incorsi dai Pericoli che aumentano i danno luogo a Agenti Malevoli Minacce Beni sui mirano a dar luogo ad abusi o danneggiamenti sui
Scenario di riferimento della Sicurezza vogliono preservare i loro Titolari vogliono minimizzare i realizzano Contromisure per ridurre i riducibili da Sono coscienti di Vulnerabilità che ingenerano i che sfruttano incorsi dai Pericoli che aumentano i danno luogo a Agenti Malevoli Minacce Beni sui mirano a dar luogo ad abusi o danneggiamenti sui
Scenario di riferimento della Sicurezza vogliono preservare i loro Titolari vogliono minimizzare i Le contromisure sono onerose realizzano Contromisure per ridurre i riducibili da Sono coscienti di Vulnerabilità che ingenerano i che sfruttano incorsi dai Pericoli che aumentano i danno luogo a Agenti Malevoli Minacce Beni sui mirano a dar luogo ad abusi o danneggiamenti sui
= Informazioni disseminate su supporti informatici = Infrastrutture informatiche finalizzate all’erogazione dei servizi = Accessi indebiti e corruzioni sulle informazioni accudite Pericoli = Perturbazioni sui servizi che s’intende erogare CC = Protezioni garantite: dai sistemi IT dallelogistiche di installazione dalleoperatività degli addetti Contromisure ISO 17799 CC Contesto della Sicurezza nell’IT TARGET OF EVALUATION ( TOE )
CC 2.1 Attori coinvolti nella sicurezza IT Fruitori dei servizi erogati dai TOE Consumatori Implementatori dei processi operativi Valutatori Sviluppatori dei sistemi
SISTEMI ANCORA DA REALIZZARE DI CUI SI DEFINISCONO I REQUISITI SISTEMI REALIZZATI DI CUI SI VALUTA LA CONFORMITA’ AI REQUISITI SPECIFICATI Protection ProfileeSecurity Target Documento di specifica rapportato ad un archetipo di TOE realizzabile in diverse maniere e visto in termini indipendenti dalle sue possibili implementazioni Protection Profile Security Target Documento di specifica rapportato ad uno specifico TOE, inclusivo della sua implementazione tecnologica
CC Esplicitano i requisiti di gestione sicura danno per scontate le procedure di gestione sicura e richiedono che siano esplicitate INTRINSECA COMPLEMENTARIETA’ ISO 17799 Esplicitano le procedure di gestione sicura da per scontati i requisiti di gestione sicura e richiede che siano esplicitati COMMON CRITERIA(ISO 15408) e ISO 17799
Classi delle funzioni di sicurezza FAU Audit della sicurezza FCO Comunicazioni FCS Supporti crittografici FDP Protezione dei dati utente FIA Identificazione ed autenticazione FTM Gestione della sicurezza FPR Privatezza FTP Protezione delle funzioni di sicurezza FRU Utilizzazione delle risorse FTA Accesso al TOE FTP Percorsi e canali accreditati
CLASSI FAU FCO FCS FDP FIA FTM FPR FTP FRU FTA FTP famiglie componenti I requisiti funzionali sono espressi facendo riferimento ad una tassonomia (elenco strutturato) di componenti funzionali viene pertanto “estratto” un insieme di componenti funzionali, operando una “personalizzazione” Componenti funzionali delle funzioni di sicurezza
FDP_ACC Access Control Policy 1 2 1 FDP_ACF Access Control Functions 1 2 FDP_DAU Data authentication 1 FDP_ETC Export to outside TSF control 2 1 2 FDP_IFC Information flow control policy 1 2 3 FDP_IFF Information flow control functions 4 5 1 6 FDP_ITC Import from outside TSF control 2 1 FDP_ITT Internal TOE trnsfer 2 FDP_RIP Residual information protection 1 2 FDP_ROL Rollback 1 2 FDP_SDI Stored data integrity 1 2 FDP_UCT Inter-TSF user data confidentiality transfer protection 1 1 FDP_UIT Inter-TSF user data integrity transfer protection 2 3 Componenti funzionali delle funzioni di sicurezza Class FDP User Data Protection
1 2 FDP_IFF Information flow control functions 3 4 5 6 1 SIMPLE SECURITY ATTRIBUTES 2 HIERARCHICAL SECURITY ATTRIBUTES 3 LIMIT ILLICIT INFORMATION FLOW 4 PARTIAL ELIMINATION ILLICIT INFORMATION FLOW 5 NO ILLICIT INFORMATION FLOW 6 ILLICIT INFORMATION FLOW MONITORING Componenti funzionali delle funzioni di sicurezza Class FDP User Data Protection
1 2 FDP_IFF Information flow control functions 3 4 5 6 Componenti funzionali delle funzioni di sicurezza Class FDP User Data Protection FDP_IFF.1 Simple security attributes FDP_IFF.1.1 The TSF shall enforce the [assignment: information flow control SFP] based on the following types of subject and information security attributes: [assignment: the minimum number and type of security attributes]. FDP_IFF.1.2 The TSF shall permit an information flow between a controlled subject and controlled information via a controlled operation if the following rules hold: [assignment: for each operation, the security attribute- based relationship that must hold between subject and information security attributes]. FDP_IFF.1.3 The TSF shall enforce the [assignment: additional information flow control SFP rules]. FDP_IFF.1.4 The TFS shall provide the following [assignment: list of additional SFP capabilities]. FDP_IFF.1.5 The TSF shall esplicitly authorise an information flow based on the following rules: [assignment: rules, based on security attributes, that esplicitly authorise information flows]. FDP_IFF.1.6 The TSF shall esplicitly deny an information flow based on the following rules: [assignment: rules, based on security attributes, that esplicitly deny information flows].
Classi di assicurazione ACM Gestione della configurazione ADO Rilascio ed esercizio ADV Sviluppo AGD Documenti guida ALC Supporti al ciclo di vita ATE Collaudi AVA Vulnerabilità
ACM (gestione della configurazione) CLASSI ad esempio ACM_CAP (capacità della gestione della configurazione) ACM ADO ADV AGD ALC ATE AVA famiglie componenti Componenti delle classi di assicurazione ACM_CAP-1 ACP_CAP-2 ACM_CAP-3 ACM_CAP-4 ACM_CAP-5 La classe ACM si occupa della GESTIONE DELLA CONFIGURAZIONE La famiglia ACM_CAP traccia la verosimiglianza di modifiche non autorizzate o accidentali nell’ambito della GESTIONE DELLA CONFIGURAZIONE
ACM_CAP.1 Numeri di versione · Ogni TOE è dotato di un suo riferimento, unico e differente per ciascuna sua versione · Il TOE è marcato con il suo codice riferimento. ACM_CAP.2 Elementi di configurazione · Per la gestione delle configurazioni del TOE si impiega un sistema di gestione della configurazione. · Ogni TOE è fornito della sua documentazione di gestione della configurazione che: - include la lista di configurazione degli elementi del TOE; - identifica in maniera univoca tutti gli elementi della configurazione; - esplicita i metodi usati per perseguire i due punti precedenti. Componenti della classe ACM_CAP
ACM_CAP.3 Controlli delle autorizzazioni · Il piano di gestione della configurazione, incluso nella documentazione, descrive come il sistema di gestione della configurazione è impiegato. · E’ fornita evidenza che il sistema di gestione della configurazione opera conformemente ai piani di gestione. · La documentazione della gestione della configurazione fornisce evidenza che tutti gli elementi delle configurazioni sono effettivamente mantenuti sotto controllo. · Il sistema di gestione della configurazione dà luogo solamente a modifiche autorizzate sugli elementi di configurazione. ACM_CAP.4 Supporti generali e procedure di accettazione · La documentazione include le procedure di accettazione degli elementi nuovi o modificati del TOE. · Il sistema di gestione della configurazione include le procedure di gestione del TOE. Componenti della classe ACM_CAP Continua...
ACM_CAP.5 Supporti avanzati · La gestione della configurazione include le procedure di integrazione del TOE. · Le procedure di integrazioni descrivono come il sistema di gestione della configurazione è impiegato nel processo di approntamento del TOE. · Il sistema di gestione della configurazione richiede che la persona responsabile della accettazione sotto configurazione di un elemento e chi ne ha curato lo sviluppo non coincidano. · Il sistema di gestione della configurazione identifica in maniera chiara gli elementi di un TOE che ne costituiscono le TSF. · Il sistema di gestione della configurazione supporta il tracciamento di tutte le modifiche del TOE, specificando, come minimo, nella sequenza di tracciamento, originatore, data ed ora. · Il sistema di gestione della configurazione identifica la copia madre del materiale usato per generare il TOE. Componenti della classe ACM_CAP Continua...
Componenti della classe ACM_CAP ACM_CAP.5 Supporti avanzati ...Continua · La documentazione dimostra che l’impiego del sistema di gestione della configurazione, assieme alle misure di sicurezza adottate per gli sviluppi, consentono su un TOE solamente modifiche autorizzate. · La documentazione del sistema di gestione della configurazione dimostra che l’impiego delle procedure di integrazione garantisce che il TOE è generato in maniera corretta nei modi autorizzati. · La documentazione dimostra che il sistema di gestione assicura che non ci sia frammistione tra le persone che accettano gli elementi sotto configurazione e quelle che li hanno sviluppati. · La documentazione evidenzia che le procedure di accettazione forniscono un’ adeguato controllo delle modifiche introdotte negli elementi che concorrono alla configurazione.
Livelli di assicurazione EAL1: Collaudato a livello funzionale EAL2: Collaudato a livello strutturale EAL3: Collaudato e verificato in maniera metodica EAL4: Progettato collaudato e revisionato in maniera metodica EAL5: Progettato e collaudato in maniera semiformale EAL6: Progetto semiformalizzato + collaudo EAL7: Progetto formalizzato + collaudo
Esempio di livello di assicurazione:EAL1 Gestione della configurazione Supporti per il ciclo di vita ACM_CAP.1 AGD_ADM .1 Documenti di guida Consegna ed esercizio AGD_USR .1 ADO_IGS.1 Prove e collaudi ADV_FSP.1 ATE_IND.1 Sviluppi Assunti di vulnerabilità ADV_RCR .1
ALC_DVS .1 Gestione della configurazione ACM_AUT .1 ACM_CAP .4 ALC_LCD .1 ACM_SCP .2 ALC_TAT . 1 Esempio di livello di assicurazione: EAL4 Supporti per il ciclo di vita AGD_ADM .1 Documenti di guida ADO_DEL .2 Consegna ed esercizio AGD_USR .1 ADO_IGS .1 ATE_COV.2 Prove e collaudi ADV_FSP.2 ATE_DPT .1 ADV_HLD.2 ATE_FUN .1 ADV_IMP.1 ATE_IND .2 Sviluppi ADV_LLD .1 AVA_MSU.2 Assunti di vulnerabilità ADV_RCR .1 AVA_SOF .1 ADV_SMP .1 AVA_VLA .2
ALC_DVS .2 Gestione della configurazione ACM_AUT .2 ACM_CAP .5 ALC_LCD .3 ACM_SCP .3 ALC_TAT .3 Esempio di livello di assicurazione:EAL7 Supporti per il ciclo di vita AGD_ADM .1 Documenti di guida ADO_DEL .3 Consegna ed esercizio AGD_USR .1 ADO_IGS .1 ATE_COV.3 Prove e collaudi ADV_FSP.4 ATE_DPT .3 ADV_HLD.5 ATE_FUN .2 ADV_IMP.3 ATE_IND .2 Sviluppi AVA_CCA.2 ADV_LLD .2 Assunti di vulnerabilità AVA_MSU.3 ADV_RCR .3 AVA_SOF .1 ADV_SMP .3 AVA_VLA .4
Conclusioni L’applicazione dello standard ISO 15408 ad un sistema IT consente di: • comparare i risultati di valutazioni di sicurezza indipendenti attraverso una rigida tassonomia dei REQUISITI DI SICUREZZA e una misurazione del livello di assicurazione della sicurezza di un sistema IT; • stabilire, attraverso un PROCESSO DI VALUTAZIONE, un livello di confidenza che le FUNZIONI DI SICUREZZA, e le MISURE DEL LIVELLO di sicurezza, di quel sistema IT soddisfino quei REQUISITI; • sviluppare le FUNZIONI DI SICUREZZA di sistemi IT complessi (che prendono il nome di TARGET OF EVALUATION (TOE) e includono ad es.: sistemi operativi, reti di computer, sistemi e applicazioni distribuite; • considerare non solo le FUNZIONI DI SICUREZZA fondamentali per la CONFIDENZIALITA’, INTEGRITA’ e DISPONIBILITA’ delle informazioni, ma anche tutte quelle che riguardano gli altri aspetti; L’ISO 15408 può essere impiegato con funzioni di sicurezza implementate indifferentemente in hadware, firmware o software