1 / 21

Hodnotenie bezpečnosti IT

Hodnotenie bezpečnosti IT. Doc. Ing. Ladislav Hudec, CSc. 1. Dôveryhodnosť FPB. Fenomén, ktorý sám o sebe nebýva chápaný ako FPB Nevyhnutný rys FPB umožňujúci delegáciu zodpovednosti za bezpečnosť na a medzi FPB Ako dosiahnutú dôveryhodnosť merať?

nieve
Download Presentation

Hodnotenie bezpečnosti IT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Hodnotenie bezpečnosti IT Doc. Ing. Ladislav Hudec, CSc. 1

  2. Dôveryhodnosť FPB • Fenomén, ktorý sám o sebe nebýva chápaný ako FPB • Nevyhnutný rys FPB umožňujúci delegáciu zodpovednosti za bezpečnosť na a medzi FPB • Ako dosiahnutú dôveryhodnosť merať? • Definícia dôvery podľa ISO 10181-1 „Prvok X dôveruje prvku Y z hľadiska istej triedy akcií v kontexte danej bezpečnostnej politiky vtedy a len vtedy, keď prvok X verí, že prvok Y sa bude chovať definovaným spôsobom tak, že neporuší danú bezpečnostnú politiku“ • Miera dôvery • Typicky výsledky hodnotenia vykonávaného podľa dopredu stanovenej normy • Zatiaľ najosvedčenejšou mierou sú výsledky hodnotenia napríklad podľa kritérií ITSEC metodikou ITSEM prípadne ISO/IEC 15408 2

  3. Dôveryhodnosť FPB – podľa ITSEC • Dosiahnutá úroveň bezpečnosti sa hodnotí dosiahnutou dôveryhodnosti v 4 pohľadoch • Vývojový proces (forma špecifikácie požiadaviek, návrh architektúry, detailný návrh, implementácia) • Vývojové prostredie (ako prebiehalo riadenie projektu, použité programovacie jazyky, použité kompilátory, aplikovaná bezpečnosť pri vývoji) • Prevádzková dokumentácia (dokumentácia správcu, dokumentácia používateľa) • Prevádzkové prostredie (dodávka, distribúcia, konfigurácia, spustenie, prevádzka) • Výsledkom váženého hodnotenia podľa ITSEC je • Označenie dosiahnutej bezpečnosti, ktorá je škálovaná do šiestich úrovní E1 až E6 • V závislosti na spôsobu špecifikácie vlastností (formálna, polo-formálna, neformálna) a spôsobu preukazovania vlastností FPB (testovanie funkcie, testovanie i mechanizmov) • Atď. 3

  4. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Trusted Computer System Evaluation Criteria, súčasť Rainbow series, začiatky v roku 1967 • Hodnotiace triedy (TCSEC) sú navrhnuté tak, aby zahrňovali typické vzorky bezpečnostných požiadaviek. Z toho dôvodu požiadavky na špecifické bezpečnostné črty a požiadavky na záruky sú v definícii hodnotiacich tried kombinované. • Hlavné kritériá v opisoch hodnotiacich tried sú • Bezpečnostná politika – MAC a DAC vyjadrená v termínoch subjektov a objektov • Označovanie objektov – označenie objektov špecifikujúce ich citlivosť • Identifikácia subjektov – jednotlivý subjekt musí byť identifikovaný a autentifikovaný • Účtovateľnosť – musia sa vykonávať auditné logy bezpečnostne relevantných udalostí • Záruka – prevádzková záruka odpovedá najmä bezpečnostnej architektúre, záruka životného cyklu odpovedá záležitostiam ako je metodológia návrhu, testovanie a manažment konfigurácie • Dokumentácia – manažéri a používatelia systému požadujú od bezpečného systému návod ako správne inštalovať a používať bezpečnostné črty, hodnotitelia potrebujú dokumentáciu testovania a návrhu • Kontinuálna ochrana – s bezpečnostnými mechanizmami nemôže byť manipulované • Týmito kritériami sú definované štyri bezpečnostné skupiny a sedem bezpečnostných tried. Produkt vyššej bezpečnostnej triedy poskytuje viac bezpečnostných mechanizmov a vyššiu záruku prostredníctvom presnejšej analýzy. 4

  5. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostné skupiny podľa TCSEC • D – minimálna ochrana • C – voliteľná ochrana (princíp need to know) • B – povinná ochrana (založená na označení) • A – verifikovaná ochrana • Bezpečnostné triedy sú definované inkrementálne. Všetky požiadavky jednej triedy sú automaticky zahrnuté do požiadaviek všetkých vyšších tried. • Bezpečnostná trieda D – minimálna ochrana • Do tejto triedy sú zahrnuté produkty, ktoré boli predložené na hodnotenie, ale nesplnili požiadavky na žiadnu bezpečnostnú triedu 5

  6. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostná trieda C1 – voliteľná bezpečnostná ochrana • Táto trieda je určená pre prostredie, kde kooperujúci používatelia spracovávajú údaje rovnakej úrovne integrity • Politika DAC umožňuje používateľom zdieľať prístup k objektom kontrolovaným spôsobom • Používatelia sa musia navzájom identifikovať a musia byť autentifikovaný • Bezpečnostná trieda C2 – ochrana riadeným prístupom • Používatelia sú individuálne účtovateľný za svoje akcie • Politika DAC je presadzovaná s granularitou individuálneho používateľa • Propagácia prístupových práv je kontrolovaná • Subjekt nesmie získať prístup spravovaný TCB, ktorý obsahuje informáciu vytvorenú predchádzajúcim subjektom (znovupoužitie objektu) • Auditné záznamy sa musia vykonávať • Testovanie a dokumentácia musia pokrývať novo zavedené bezpečnostné črty, ale záruka je jednoduchá. Testovanie zisťuje iba zrejmé chyby • Bezpečnostná trieda B1 – označená bezpečnostná ochrana • Skupina B je určená pre produkty, ktoré narábajú s klasifikovanými údajmi a presadzujú povinnú politiku MAC • Pre subjekty a objekty existujú označenia • Musí byť zaistená ochrana integrity označení • Identifikácia a autentifikácia prispieva na určenie bezpečnostného označenia subjektu 6

  7. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostná trieda B1 – označená bezpečnostná ochrana • Na zaistenie vyššej úrovni záruk sa požaduje neformálny a formálny model bezpečnostnej politiky • Testovanie a dokumentácia je v tejto triede dôkladnejšia. Musí byť analyzovaná dokumentácia návrhu , zdrojový a cieľový kód. Všetky chyby zistené pri testovaní musia byť odstránené • Bezpečnostná trieda B2 – štruktúrovaná ochrana • Zvyšuje záruky pridávaním požiadaviek na návrh systému • Aplikuje politiku MAC tiež pri prístupe k fyzickým zariadeniam • Používatelia musia byť vyrozumení o zmenách ich bezpečnostných úrovní • Musí existovať dôveryhodná cesta pre login a iniciálnu autentifikáciu • Požaduje sa formálny model bezpečnostnej politiky a opisná vysokoúrovňová špecifikácia systému • Modularizácia je dôležitou črtou návrhu architektúry systému • TCB zabezpečuje odlišné adresové priestory na izoláciu procesov • Musí byť vykonaná analýza skrytých kanálov • Bezpečnostné testovanie musí preukázať, že TCB je relatívne odolná proti penetrácii. 7

  8. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostná trieda B3 – bezpečnostné domény • Požaduje sa vysoká odolnosť proti penetrácii • Veľa nových elementov musí byť bezpečnostne manažovaných. Vyžaduje sa bezpečnostný správca. • Auditné mechanizmy monitorujú výskyt alebo akumuláciu bezpečnostne relevantných udalostí a poskytujú automatické varovanie. • V prípade zlyhania systému musí byť zabezpečené dôveryhodné zotavenie • Musí byť minimalizovaná zložitosť TCB a z TCB vylúčené moduly, ktoré nie sú bezpečnostne relevantné • Musia byť predložené presvedčivé argumenty na potvrdenie súladu medzi formálnym modelom bezpečnostnej politiky a neformálnou opisnou vysokoúrovňovou špecifikáciou • Bezpečnostná trieda A1 – verifikovaný návrh • Požaduje formálny model bezpečnostnej politiky • Požaduje formálnu vysokoúrovňovú špecifikáciu, vrátane abstraktnej definície funkcií TCB • Požaduje dôkaz konzistentnosti medzi modelom a formálnou vysokoúrovňovou špecifikáciou • Požaduje, aby implementácia TCB bola neformálne preukázaná ako konzistentná s formálnou vysokoúrovňovou špecifikáciou • Požaduje formálnu analýzu skrytých kanálov (neformálnu pre časové skryté kanály) • Prísnejší manažment konfigurácií a riadenie distribúcie (akceptačné testovanie bezpečnosti na mieste dodávky), aby sa zaistilo, že inštalovaná verzia je rovnaká ako ohodnotená master kópia. 8

  9. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • Hodnotí bezpečnostnú úroveň systému alebo produktu IT • Úrovne záruk hodnotenia (Evaluation Assurance Level – EAL) • Identifikuje sedem úrovní záruk hodnotenia od EAL1 (najnižšia) až po EAL7 (najvyššia) • Trieda záruk - Systém alebo produkt IT je posudzovaný z pohľadu • Manažment konfigurácie (komponenty záruk označené ACM) • Dodávka a prevádzka (komponenty záruk označené ADO) • Vývoj (komponenty záruk označené ADV) • Sprievodná dokumentácia (komponenty záruk označené AGD) • Podpora životného cyklu (komponenty záruk označené ALC) • Testy (komponenty záruk označené ATE) • Nasleduje sumár úrovní záruk hodnotenia pre úrovne EAL1 až EAL7 a ich stručná charakteristika. Tieto podmienky je nevyhnutné splniť, aby bol produkt IT pripravený na hodnotenie úrovne informačnej bezpečnosti podľa štandardu ISO 15 408. • Komponent záruk (rodina záruk) uvedený boldom (napr. ACM_AUT.1) znamená, že komponent záruk je v danej úrovni záruk hodnotenia požadovaný prvý raz. Obyčajný komponent záruk (napr. ACM_AUT.1) znamená, že tento komponent sa preberá z nižšej úrovni záruk hodnotenia. 9

  10. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 1. úroveň záruk hodnotenia (EAL1) – funkčne testovaný • Poskytuje základnú úroveň záruk ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa použitím funkčnej špecifikácie, špecifikácie medzistyku a sprievodnej dokumentácie sa porozumie bezpečnostnému správaniu systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií hodnoteného systému alebo produktu IT. • Táto úroveň poskytuje významné zvýšenie záruk oproti nehodnotenému systému alebo produktu IT. • Jednotlivé komponenty záruk predstavujú požiadavky na • ACM_CAP.1 – čísla verzií • ADO_IGS.1 – procedúry na inštaláciu, generáciu a štartovanie • ADV_FSP.1 – neformálnu funkčnú špecifikáciu • ADV_RCR.1 – neformálna demonštrácia korešpodencie • AGD_ADM.1 – návod pre administrátora • AGD_USR.1 – návod pre používateľa • ATE_IND.1 – nezávislé testovanie - potvrdenie 10

  11. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 2. úroveň záruk hodnotenia (EAL2) – štrukturálne testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa použitím funkčnej špecifikácie a špecifikácie medzistyku, sprievodnej dokumentácie a vysokoúrovňového návrhuhodnoteného systému alebo produktu IT. • Analýza systému alebo produktu IT je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy a výsledkom prehľadávania vývojára po zrejmých slabinách (uvedené v public domain). • Táto úroveň poskytuje záruku prostredníctvom konfiguračnéhozoznamu systému alebo produktu IT a potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL1 tým, že požaduje testovanie u vývojára, analýzu slabín a nezávislé testovanie založené na detailnejších špecifikáciách hodnotenému systému alebo produktu IT. • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_CAP.2 – položky konfigurácie • ADO_DEL.1 – procedúry dodávky • ADV_HLD.1 – opisný návrh na vysokej úrovni • ATE_COV.1 – dôkaz o pokrytí, ATE_FUN.1 – funkčné testovanie • ATE_IND.2 – vzorka nezávislého testovania • AVA_SOF.1 – hodnotenie sily bezpečnostných funkcií hodnoteného systému alebo produktu • AVA_VLA.1 – analýza slabín vývojárom 11

  12. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 3. úroveň záruk hodnotenia (EAL3) – metodicky testovaný a kontrolovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa použitím funkčnej špecifikácie a špecifikácie medzistyku, sprievodnej dokumentácie a vysokoúrovňového návrhu testovaného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii a návrhu vyššej úrovne, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy a výsledkom prehľadávania vývojára po zrejmých slabinách (uvedené v public domain). • Táto úroveň poskytuje záruku prostredníctvom použitia ochrán v prostredí vývoja, správu konfigurácie systému alebo produktu IT a potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL2 tým, že požaduje úplnejšie pokrytie testovania bezpečnostných funkcií a mechanizmov a/alebo procedúr, ktoré poskytujú istú dôveru hodnotenému systému alebo produktu IT, že nebude bezpečnostne poškodený počas vývoja. 12

  13. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 3. úroveň záruk hodnotenia (EAL3) – metodicky testovaný a kontrolovaný • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_CAP.3 – ochrany autorizáciou • ACM_SCP.1 – pokrytie riadenia konfigurácie hodnoteného systému alebo produktu • ADV_HLD.2 – vysokoúrovňový návrh presadzujúci bezpečnosť • ALC_DVS.1 – identifikácia bezpečnostných opatrení • ATE_COV.2 – analýza pokrytia • ATE_DPT.1 – testovanie: vysokoúrovňový návrh • AVA_MSU.1 – preverenie návodov 13

  14. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 4. úroveň záruk hodnotenia (EAL4) – metodicky navrhnutý, testovaný a recenzovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT Vykonáva sa použitím funkčnej špecifikácie aúplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňovým a nízkoúrovňovým návrhom hodnoteného systému alebo produktu IT a časti implementácie. Záruka je dodatočne získaná prostredníctvom neformálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii a vysokoúrovňového návrhu, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky s nízkym potenciálom prienikára. • Táto úroveň poskytuje záruku pre použitie ochrán v prostredí vývoja, dodatočnú správu konfigurácie systému alebo produktu IT vrátane automatizácie až po potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL3 tým, že požaduje väčší opis návrhu, časti implementácie a zdokonalené mechanizmy a/alebo procedúry, ktoré zabezpečia dôveru hodnotenému systému alebo produktu IT, že nebol bezpečnostne poškodený počas vývoja alebo dodávky. 14

  15. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 4. úroveň záruk hodnotenia (EAL4) – metodicky navrhnutý, testovaný a recenzovaný • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_AUT.1 – čiastočná automatizácia riadenia konfigurácie • ACM_CAP.4 – podpora generovania a akceptačné procedúry • ACM_SCP.2 – pokrytie problému sledovania pri riadení konfigurácie • ADO_DEL.2 – detekcia modifikácie • ADV_FSP.2 – plne definovaný vonkajší medzistyk • ADV_IMP.1 – implementácia podmnožiny bezpečnostných funkcií hodnoteného systému alebo produktu • ADV_LLD.1 – opisný návrh na nízkej úrovni • ADV_SPM.1 – neformálny model bezpečnostnej politiky hodnoteného systému alebo produktu • ALC_LCD.1 – model životného cyklu definovaný vývojárom • ALC_TAT.1 – dobre definované vývojové nástroje • AVA_MSU.2 – validácia analýzy • AVA_VLA.2 – nezávislá analýza slabín. 15

  16. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 5. úroveň záruk hodnotenia (EAL5) – poloformálne navrhnutý a testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa na základe funkčnej špecifikácie a úplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňového a nízkoúrovňového návrhu hodnoteného systému alebo produktu IT a celej implementácie. Záruka je dodatočne získaná prostredníctvom formálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT, poloformálnej prezentácie funkčnej špecifikácie a vysokoúrovňového návrhu a poloformálnej demonštrácie ich korešpodencie. Tiež sa požaduje modulárny návrh hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii,vysokoúrovňového návrhu a nízkoúrovňového návrhu, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky sostredným potenciálom prienikára.Analýza tiež zahrňuje potvrdenie analýzy vývojára na skryté kanály. • Táto úroveň poskytuje záruku pre použitie ochrán v prostredí vývoja, úplnúsprávu konfigurácie systému alebo produktu IT vrátane automatizácie až po potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL4 tým, že požaduje poloformálny opis návrhu, celú implementácie a štruktúrovanejšiu (a tým analyzovateľnejšiu) architektúru, analýzu skrytých kanálov, zdokonalené mechanizmy a/alebo procedúry, ktoré zabezpečia dôveru hodnotenému systému alebo produktu IT, že nebol bezpečnostne poškodený počas vývoja. 16

  17. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 5. úroveň záruk hodnotenia (EAL5) – poloformálne navrhnutý a testovaný • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_SCP.3 – vývojové nástroje na pokrytie riadenia konfigurácie • ADV_FSP.3– poloformálna funkčná špecifikácia • ADV_HLD.3– poloformálny vysokoúrovňový návrh • ADV_IMP.2 – implementácia bezpečnostných funkcií hodnoteného systému alebo produktu • ADV_INT.1 – modulárnosť • ADV_RCR.2– poloformálna demonštrácia korešpodencie • ADV_SPM.3 – formálny model bezpečnostnej politiky hodnoteného systému alebo produktu • ALC_LCD.2 – štandardizovaný model životného cyklu • ALC_TAT.2 – súlad s implementačnými štandardami • ATE_DPT.2– testovanie: nízkoúrovňový návrh • AVA_CCA.1 – analýza skrytých kanálov • AVA_VLA.3 – stredne odolný. 17

  18. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 6. úroveň záruk hodnotenia (EAL6) – poloformálne verifikovaný návrh a testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa na základe funkčnej špecifikácie a úplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňového a nízkoúrovňového návrhu hodnoteného systému alebo produktu IT a štruktúrovanej prezentácii implementácie. Záruka je dodatočne získaná prostredníctvom formálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT, poloformálnej prezentácie funkčnej špecifikácie,vysokoúrovňového a nízkoúrovňového návrhu a poloformálnej demonštrácie ich korešpodencie.Tiež sa požaduje modulárny a vrstvený návrh hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii,vysokoúrovňového a nízkoúrovňového návrhu, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky s vysokým potenciálom prienikára. Analýza tiež zahrňuje potvrdenie systematickej analýzy vývojára na skryté kanály. • Táto úroveň poskytuje záruku pre použitieštruktúrovaného vývojového procesu,ochrán v prostredí vývoja, úplnúsprávu konfigurácie systému alebo produktu IT vrátane úplnej automatizácie až po potvrdenie existencie bezpečnostných procedúr. 18

  19. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL5 tým, že požaduje komplexnejšiu analýzu, štruktúrovanú reprezentáciu implementácie, viac architektonickejšiu štruktúru (vrstvenie), úplnejšiu nezávislú analýzu slabín, systematickú identifikáciu skrytých kanálov a zdokonalený manažment konfigurácií a ochrany prostredia vývoja. • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_AUT.2 – úplná automatizácia riadenia konfigurácie • ACM_CAP.5 – pokročilá podpora • ADV_FSP.3 – poloformálna funkčná špecifikácia • ADV_HLD.4– poloformálny vysokoúrovňový výklad • ADV_IMP.3 – štruktúrovaná implementácia bezpečnostných funkcií hodnoteného systému alebo produktu • ADV_INT.2 – redukcia zložitosti • ADV_LLD.2 – poloformálny nízkoúrovňový návrh • ALC_DVS.2 – dostatočnosť bezpečnostných opatrení • ALC_TAT.3 – zhoda s implementačnými štandardmi – všetky časti • ATE_COV.3 – rigorózna analýza pokrytie • ATE_FUN.2 – usporiadané funkčné testovanie • AVA_CCA.2 – systematická analýza skrytých kanálov • AVA_MSU.3 – analýza a testovanie nebezpečných stavov • AVA_VLA.4 – vysoko odolne. 19

  20. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 7. úroveň záruk hodnotenia (EAL7) – formálne verifikovaný návrh a testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa na základe funkčnej špecifikácie a úplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňového a nízkoúrovňového návrhu hodnoteného systému alebo produktu IT a štruktúrovanej prezentácii implementácie. Záruka je dodatočne získaná prostredníctvom formálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT, formálnej prezentácie funkčnej špecifikácie a vysokoúrovňového návrhu,poloformálnej prezentácie nízkoúrovňového návrhua odpovedajúcejformálnej a poloformálnej demonštrácie ich korešpodencie.Tiež sa požaduje modulárny, vrstvený a jednoduchý návrh hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii vysokoúrovňového návrhu, nízkoúrovňového návrhu a implementačnou reprezentáciou, úplným nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky svysokým potenciálom prienikára. Analýza tiež zahrňuje potvrdenie systematickej analýzy vývojára na skryté kanály. • Táto úroveň poskytuje záruku pre použitieštruktúrovaného vývojového procesu, ochrán v prostredí vývoja, úplnúsprávu konfigurácie systému alebo produktu IT vrátane úplnejautomatizácie až po potvrdenie existencie bezpečnostných procedúr. 20

  21. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL6 tým, že požaduje komplexnejšiu analýzu použitím formálnej reprezentácie a formálnej korešpodencie a úplného testovania. • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ADO_DEL.3 – zabránenie modifikácii • ADV_FSP.4 – formálna funkčná špecifikácia • ADV_HLD.5– formálny vysokoúrovňový návrh • ADV_INT.3 – minimalizácia komplexnosti • ADV_RCR.3 – formálna demonštrácia korešpodencie • ALC_LCD.3 – merateľný model životného cyklu • ATE_DPT.3 – testovanie: implementačná reprezentácia • ATE_IND.3 – nezávislé testovanie - úplné. 21

More Related