1 / 83

Διασφάλιση και Αξιολόγηση Ασφάλειας Συστημάτων και Προϊόντων

Διασφάλιση και Αξιολόγηση Ασφάλειας Συστημάτων και Προϊόντων. Σωκράτης Κάτσικας. Θέματα συζήτησης. Βασικά χαρακτηριστικά Διασφάλισης (assurance) και Αξιολόγησης (evaluation) Σκοπός, ζητήματα και μέθοδοι διασφάλισης Διασφάλιση έργου Στόχοι, σκοποί, μέθοδοι και κριτήρια αξιολόγησης

tanisha-wilkinson
Download Presentation

Διασφάλιση και Αξιολόγηση Ασφάλειας Συστημάτων και Προϊόντων

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Διασφάλιση και Αξιολόγηση Ασφάλειας Συστημάτων και Προϊόντων Σωκράτης Κάτσικας

  2. Θέματα συζήτησης • Βασικά χαρακτηριστικά Διασφάλισης (assurance) και Αξιολόγησης (evaluation) • Σκοπός, ζητήματα και μέθοδοι διασφάλισης • Διασφάλιση έργου • Στόχοι, σκοποί, μέθοδοι και κριτήρια αξιολόγησης • Καταγραφή των πιο αξιόλογων μεθοδολογιών αξιολόγησης

  3. Εισαγωγικές παρατηρήσεις Σε περιβάλλον όπου μελετάται η ασφάλεια ενός συστήματος ή ενός προϊόντος: • Η διασφάλιση πηγάζει από την ανάγκη διαβεβαίωσης ότι το σύστημα ή το προϊόν δεν περιλαμβάνει σφάλματα • Η αξιολόγηση με βάση ένα σύνολο αποδεκτών κανόνων, περιλαμβάνει την ύπαρξη μιας καλά ορισμένης διαδικασίας, η οποία μπορεί να οδηγήσει στο συμπέρασμα κατά πόσοτο σύστημα ή το προϊόν είναι πράγματι ασφαλές Είναι εμφανές ότι: • Αν η προσπάθεια διασφάλισης ενός συστήματος ή ενός προϊόντος αποτελεί μία δύσκολη διαδικασία, η αξιολόγηση είναι περισσότερο πολύπλοκη • Αφενός καμία μέθοδος διασφάλισης δεν μπορεί να παράγει ένα προϊόν που δε θα περιέχει σφάλματα, αφετέρου κανένα σύνολο κανόνων δεν μπορεί να αξιολογήσει και να αναδείξει ένα προϊόν ως απολύτως ασφαλές

  4. Διασφάλιση (assurance) «Διασφάλιση είναι η κατ’ αρχήν εκτίμησή μας για την πιθανότητα που έχει ένα σύστημα να μην αποτύχει με κάποιο συγκεκριμένο τρόπο» Η εκτίμηση αυτή μπορεί να βασίζεται σε διάφορους παράγοντες, όπως: • Στις διαδικασίες που ακολουθήθηκαν κατά την υλοποίηση του συστήματος • Στην τεχνογνωσία και τις δυνατότητες της ομάδας ανάπτυξης. • Στη χρήση αυστηρά τυποποιημένων μεθόδων κατά την ανάπτυξη του συστήματος • Στην αξιοποίηση συγκεκριμένων τεχνικών ελέγχου, αλλά και διαδικασιών της αποτελεσματικότητας των τεχνικών ελέγχων

  5. Σκοπός της Διασφάλισης «Σκοπός της διαδικασίας της διασφάλισης είναι να αποφευχθεί η ύπαρξη σφαλμάτων, με την ανίχνευσή τους είτε κατά τη φάση σχεδίασης, είτε κατά τη διαδικασία ελέγχου και οπωσδήποτε πριν τη διάθεση του συστήματος ή του προϊόντος στους τελικούς χρήστες» • Σφάλματα υλοποίησης • Εύκολη αντιμετώπιση • Απαίτηση επιπλέον, αλλά μικρού κόστους • Σχεδιαστικά σφάλματα • Επανασχεδιασμός του συστήματος ή του προϊόντος • Αλματώδης αύξηση του συνολικού κόστους ανάπτυξης • Ο σκοπός είναι: • Η εξάλειψη των σχεδιαστικών σφαλμάτων στα πρώτα στάδια σχεδίασης και πριν τη χρήση του συστήματος ή του προϊόντος • Ο περιορισμός κατά το δυνατόν των σφαλμάτων υλοποίησης, γνωρίζοντας εκ των προτέρων ότι κάποια από αυτά θα παραμείνουν στο σύστημα ή στο προϊόν το οποίο θα παραδοθεί σε χρήση

  6. Ζητήματα Διασφάλισης Βασικά χαρακτηριστικά συστημάτων και προϊόντων • Λειτουργικότητα (functionality) • Ισχύς των μηχανισμών (strength of mechanisms) • Υλοποίηση (implementation) • Ευχρηστία (usability)

  7. Ζητήματα Διασφάλισης: Λειτουργικότητα • Εξαιρετικά σημαντική παράμετρος • Δεν απολαμβάνει ανάλογης σημασίας • Ανάπτυξη δομών για προστασία εσφαλμένων πόρων • Ανάπτυξη δομών ορθών πόρων με εσφαλμένο τρόπο • Αξιοποίηση μοντέλου Bell-LaPadula • Ενδέχεται να οδηγηθούμε στη δημιουργία περισσοτέρων προβλημάτων από όσα στοχεύουμε να επιλύσουμε

  8. Ζητήματα Διασφάλισης: Ισχύς μηχανισμών • Αποτελεί το πιο γνωστό χαρακτηριστικό • Τυγχάνει ιδιαίτερης προβολής • Ανεξάρτητη από τη λειτουργικότητα, με κάποιες εξαιρέσεις όπου αλληλεπιδρά με αυτήν

  9. Ζητήματα Διασφάλισης: Υλοποίηση • Βασικός τομέας όπου εστιάζεται η προσπάθεια για διασφάλιση • Θεωρώντας ως δεδομένα: - Τη λειτουργικότητα του συστήματος - Την ισχύ των μηχανισμών • Η υλοποίηση του συστήματος ή του προϊόντος: - Είναι ορθή; - Έγινε με τρόπο που δε δημιουργεί προβλήματα; • Οι περισσότερες δυσλειτουργίες οφείλονται σε προγραμματιστικά σφάλματα • Τα σφάλματα υλοποίησης δεσμεύουν το μεγαλύτερο μέρος της προσπάθειας διασφάλισης συστημάτων και προϊόντων

  10. Ζητήματα Διασφάλισης: Ευχρηστία • Αποτελεί τον αδύναμο κρίκο • Σημαντική συνιστώσα αποτελεί η ανθρώπινη διεπαφή • Δε δίνεται η απαραίτητη προσοχή στις αδυναμίες που προκύπτουν από τον ανθρώπινο παράγοντα

  11. Διασφάλιση: Εταιρείες και Χρήστες – Δύο οπτικές • Η πλευρά του χρήστη: • Απλή λειτουργικότητα • Υψηλή ισχύς μηχανισμών • Μέσο επίπεδο διασφάλισης κατά την υλοποίηση • Υψηλό επίπεδο ευχρηστίας • Η πλευρά των εταιρειών: • Υψηλή λειτουργικότητα • Χαμηλή ισχύς μηχανισμών • Χαμηλό επίπεδο διασφάλισης κατά την υλοποίηση • Χαμηλό επίπεδο ευχρηστίας

  12. Μέθοδοι Διασφάλισης • Διασφάλιση έργου • Διασφάλιση διαδικασιών • Ενδεχόμενη δραστηριοποίηση σε ενέργειες συνεχιζόμενης διασφάλισης

  13. Διασφάλιση έργου • Έλεγχος Ασφάλειας(Security Testing) • Αυστηρά Τυποποιημένες Μέθοδοι(Formal Methods) • Έλεγχος των Ελέγχων

  14. Διασφάλιση έργου: Έλεγχος Ασφάλειας • Κλασική προσέγγιση στο θέμα διασφάλισης ενός έργου(project assurance) • Μελέτη της τεκμηρίωσης του συστήματος ή του προϊόντος • Επανεξέταση του κώδικα • Διενέργεια ενός συνόλου ελέγχων • Στάδια της διαδικασίας • Έλεγχος για αποκάλυψη «προφανών» σφαλμάτων • Μελέτη για την παρουσία κλασικών τύπων σφαλμάτων • Ύπαρξη λιγότερο συνηθισμένων προβλημάτων • Δομημένη διαδικασία με βάση τις απαιτήσεις ενός συγκεκριμένου περιβάλλοντος αξιολόγησης

  15. Διασφάλιση έργου: Αυστηρά Τυποποιημένες Μέθοδοι(Formal Methods) • Διδάσκονται λεπτομερώς σε ακαδημαϊκά περιβάλλοντα • Βελτίωση της ασφάλειας στον τομέα των κρυπτογραφικών πρωτοκόλλων • Απαραίτητες κυρίως σε στρατιωτικές εφαρμογές • Βοηθούν στον έλεγχο της αρτιότητας των αποτελεσμάτων σε σχετικά απλές συσκευές και προγράμματα

  16. Διασφάλιση έργου: Έλεγχος των Ελέγχων • Ύπαρξη σφαλμάτων από τους υπεύθυνους ελέγχου ή τους συντάκτες λιστών • Σκόπιμη εισαγωγή σφαλμάτων, με σκοπό τη μέτρηση του ποσοστού αυτών που θα ανιχνευθούν στη διαδικασία ελέγχου • Η ικανοποιητική προσέγγιση επιτυγχάνεται με την: • Εισαγωγή σφαλμάτων με προσοχή • Κατανομή των σφαλμάτων σε όλο το εύρος του συστήματος

  17. Διασφάλιση Διαδικασιών • Διαδικασία όπου δίνεται μεγαλύτερη έμφαση • Η παραγωγή κώδικα και λογισμικού από τους προγραμματιστές και τις εταιρείες, διαφοροποιούνται σε αριθμό σφαλμάτων και αξιοπιστίας, αντίστοιχα • Εξειδίκευση και αποδοτικότητα, μέσω του μοντέλου καταρράκτη (waterfall model) • Διόρθωση κώδικα από εκείνον που τον αναπτύσσει • Πλαίσιο κανόνων, με σκοπό τη διασφάλιση (CMM), που αποτελείται από πέντε επίπεδα: • Αρχικό(Initial) • Επαναλαμβανόμενο(Repeatable) • Καθορισμένο(Defined) • Ελεγχόμενο(Managed) • Βελτιστοποιούμενο(Optimizing)

  18. Ενέργειες Συνεχιζόμενης Διασφάλισης • Κοινά χαρακτηριστικά με τη συγγραφή κώδικα • Για την ανακάλυψη ενός σφάλματος σε ένα σύστημα, το μοντέλο αναπαράστασης είναι η κατανομή Poisson : p=e-Et, όπου pη πιθανότητα να μη βρεθεί σφάλμα μετά από tτυχαίους ελέγχους, ενώ το Eεξαρτάται από το ποσοστό των πιθανών εισόδων που επηρεάζει • Η πιθανότητα ο t-στος έλεγχος να αποτύχει είναι ανάλογη του k/t. Επομένως, ο MTBF είναι ανάλογος του t/k. • Κατά συνέπεια, το σύστημα πρέπει να ελέγχεται για χρόνο τουλάχιστον ίσο με τον MTBF.

  19. Αξιολόγηση «Αξιολόγηση θεωρείται η διαδικασία συλλογής αποδείξεων διασφάλισης, η ανάλυση, καθώς και η αντιπαραβολή τους με τεθέντα κριτήρια για την επίτευξη λειτουργικότητας και ασφάλειας» • Διεξάγεται από ανεξάρτητο φορέα • Έχουν προταθεί διαφορετικά σύνολα κανόνων • Βασικό πρότυπο TCSEC • Βασικά χαρακτηριστικά αξιολόγησης: • Στόχοι • Σκοποί και μέθοδοι • Δομή κριτηρίων αξιολόγησης • Συστήματα αξιολόγησης

  20. Στόχοι της Αξιολόγησης • Πριν μελετηθούν οι σκοποί και οι μέθοδοι της αξιολόγησης πρέπει αρχικά να καταγραφεί το αντικείμενο – στόχος της αξιολόγησης(target of the evaluation – TOE) • Προϊόντα(products), τα οποία μπορούν να αξιοποιηθούν σε ποικιλία εφαρμογών και γι’ αυτό πρέπει να ικανοποιούν γενικές απαιτήσεις ασφάλειας • Συστήματα(systems), τα οποία έχουν επιλεγεί για να ικανοποιήσουν ανάγκες ασφάλειας σε συγκεκριμένο περιβάλλον εφαρμογής

  21. Σκοποί και Μέθοδοι της Αξιολόγησης • Κατά τοTCSEC: • Αξιολόγηση (evaluation)θεωρείται η διαδικασία αποτίμησης κατά πόσο ένα αξιολογημένο προϊόν είναι κατάλληλο για μία συγκεκριμένη εφαρμογή • Διαπίστευση(certification) θεωρείται η διαδικασία λήψης απόφασης κατά πόσο ένα ήδη πιστοποιημένο προϊόν μπορεί να χρησιμοποιηθεί σε μία συγκεκριμένη εφαρμογή • Οι επιλεγείσες μέθοδοι αξιολόγησης, θα πρέπει να ικανοποιούν απαιτήσεις όπως: • Επαναληψιμότητα(repeatability) • Επαναπαραγωγής (reproducibility)

  22. Δομή Κριτηρίων Αξιολόγησης • Η αξιολόγηση της ασφάλειας αποσκοπεί στην παροχή της διαβεβαίωσηςότι ένα προϊόν ή σύστημα είναι ασφαλέςΣχετικές ιδιότητες είναι: • Λειτουργικότητα(functionality) • Αποδοτικότητα(effectiveness) • Διασφάλιση(assurance) • Οι τρεις παραπάνω ιδιότητες αντιμετωπίζονται διαφορετικά, ανάλογα με τα πρότυπα (TCSEC, ITSEC)

  23. Συστήματα Αξιολόγησης • Κυβερνητικές και στρατιωτικές υπηρεσίες των ΗΠΑ • Θέματα ασφάλειας υπολογιστικών συστημάτων • Πρώτες μεθοδολογίες αξιολόγησης ασφάλειας • Οι μεθοδολογίες αξιολόγησης έχουν απαιτήσεις: • Λειτουργικότητας(functionality requirements) • Διασφάλισης(assurance requirements) • Επίπεδα εμπιστοσύνης(levels of trust)

  24. TCSEC -Τrusted Computer System Evaluation Criteria - Orange Book • Γενικά για το TCSEC • Απαιτήσεις λειτουργικότητας • Απαιτήσεις διασφάλισης • Επίπεδα και κλάσεις αξιολόγησης • Διαδικασία αξιολόγησης • Περιορισμοί και προβλήματα του TCSEC

  25. Γενικά για το TCSEC • Αναπτύχθηκε το 1983 στις ΗΠΑ και ίσχυσε έως το τέλος του 1999 • Υπάρχουν έξι κλάσεις ασφάλειας(C1, C2, B1, B2, B3, A1), χωρισμένες σε τέσσερα επίπεδα (D, C, B, A) • Επηρεασμένο από το μοντέλο Bell-LaPadula • Δεν ασχολείται με ζητήματα διαθεσιμότητας

  26. TCSEC: Απαιτήσεις Λειτουργικότητας • Απαιτήσεις διακριτού ελέγχου προσπέλασης • Απαιτήσεις επαναχρησιμοποίησης αντικειμένων • Απαιτήσεις υποχρεωτικού ελέγχου προσπέλασης • Απαιτήσεις ετικετών • Απαιτήσεις ταυτοποίησης και αυθεντικοποίησης • Απαιτήσεις έμπιστης διαδρομής • Απαιτήσεις εποπτείας • Απαιτήσεις έμπιστης διαχείρισης ευκολιών • Απαιτήσεις έμπιστης διαδικασίας επαναφοράς • Απαιτήσεις ακεραιότητας του συστήματος

  27. TCSEC: Απαιτήσεις Διασφάλισης • Απαιτήσεις διαχείρισης διαμόρφωσης • Απαιτήσεις κατανομής εμπιστοσύνης • Απαιτήσεις αρχιτεκτονικής συστήματος • Απαιτήσεις προδιαγραφών σχεδίασης και επαλήθευσης • Απαιτήσεις ελέγχων • Απαιτήσεις τεκμηρίωσης προϊόντων

  28. TCSEC:Επίπεδα και Κλάσεις Αξιολόγησης 1(2) • D (καμία προστασία) Το προϊόν δεν κατάφερε να ανταποκριθεί στις απαιτήσεις κάποιας κλάσης • C1 (Discretionary Protection) Ελάχιστη προστασία, πληροί τις απαιτήσεις γιαDiscretionary Access Control και Identification and Authentication • C2 (Control Access Protection) Είναι η πιο συνηθισμένη κλάση για εμπορικά προϊόντα και περιλαμβάνει ότι και το C1 και επιπλέον Object Reuse και Auditing • B1 (Labeled Security Protection) Περιλαμβάνει ότι και το C2 και επιπλέονMandatory Access Control και Label για ένα περιορισμένο σύνολο αντικειμένων.Παράλληλα, υπάρχουν αυστηρότερες απαιτήσεις έλεγχου, ενώ απαιτείται και ανεπίσημη πολιτική ασφάλειας συνεπής ως προς τα αξιώματά της

  29. TCSEC:Επίπεδα και Κλάσεις Αξιολόγησης 2(2) • B2 (Structured Protection) Περιλαμβάνει ότι και το Β1 και επιπλέον πλήρη Mandatory Access Control και Label. Ως νέες απαιτήσεις περιλαμβάνονται τα Trusted path, η συνέπεια με την αρχή των ελαχίστων δικαιωμάτων, μίαπολιτική ασφάλειας που υπακούει σε αυστηρά τυποποιημένο μοντέλο που αποδεικνύει τη συνέπειά της καθώς και Descriptive Top Level Specification • B3 (Security Domains) Περιλαμβάνει ότι και το Β2 και επιπλέον απαιτεί περιορισμούς από τον πηγαίο κώδικα σχετικά με τη δομή, την πολυπλοκότητα και το μέγεθος. Επίσης το προϊόν πρέπει να υπόκειται σε πιο απαιτητικούς και αυστηρούς ελέγχους • A1 (Verified Protection) Από λειτουργικής άποψης είναι όμοια με την κλάση Β3, με σημαντική όμως διαφορά τη γενικότερη απαίτηση διασφάλισης με χρήση αυστηρά τυποποιημένων μεθόδων και τη συμμόρφωση με απαιτήσεις κατανομής εμπιστοσύνης, ελέγχων και τεκμηρίωσης προϊόντων

  30. TCSEC: Η Διαδικασία της Αξιολόγησης • Φάσεις αξιολόγησης • Αίτηση • Προκαταρκτική τεχνική επισκόπηση • Κυρίως αξιολόγηση • Διατήρηση των βαθμίδων που είχαν τα προϊόντα μετά την αξιολόγησή τους και στις επόμενες εκδόσεις τους, μέσω της ένταξης αυτών στο πρόγραμμα διατήρησης βαθμίδας (RMP)

  31. TCSEC:Περιορισμοί και Προβλήματα • Αποτελούσε μεθοδολογία αρχικά σχεδιασμένη για την αξιολόγηση λειτουργικών συστημάτων • Επικεντρωνόταν στις ανάγκες ασφάλειας των υπηρεσιών και του στρατού των ΗΠΑ • Δε λαμβάνει υπόψη του καθόλου θέματα ακεραιότητας ή διαθεσιμότητας • Σημαντικότερα προβλήματα: • Η βραδεία αλλά ουσιαστική τροποποίηση των κριτηρίων αξιολόγησης, προϊόντος του χρόνου. • Η καθυστέρηση που παρουσιαζόταν για την ολοκλήρωση της διαδικασίας αξιολόγησης

  32. TNI – Trusted Network Interpretation – Red Book • Γενικά για το TNI • TNI – Μέρος Ι • TNI – Μέρος ΙΙ • Επίπεδα και Κλάσεις Αξιολόγησης • Περιορισμοί και Προβλήματα του TNI

  33. Γενικά για το TNI • Αποτελεί ένα σύστημα αξιολόγησης ασφάλειας δικτύων • Αξιοποιεί και γενικεύει την προσέγγιση και την ορολογία του TCSEC • Διακρίνει τα δίκτυα σε: • Διαπιστευμένα συνδεδεμένα αυτοματοποιημένα πληροφοριακά συστήματα • Συστήματα μοναδικής εμπιστοσύνης • Για την αντιμετώπιση των προβλημάτων, χωρίζεται σε δύο μέρη: • Γενίκευση και ερμηνεία του TCSEC για περιβάλλον δικτύου • Λοιπές υπηρεσίες ασφάλειας

  34. ΤΝΙ – Μέρος Ι • Οντότητες που είναι υπεύθυνες να θέτουν και εφαρμόζουν την πολιτική ασφάλειας: • Χρήστες • Πάροχοι υπηρεσιών • Διαχειριστές συστημάτων • Οι πολιτικές ασφάλειας ασχολούνται με θέματα: • Μυστικότητας (secrecy) • Ακεραιότητας (integrity) • Discretionary Access Control (DAC) • Mandatory Access Control (MAC)

  35. ΤΝΙ – Μέρος ΙI • Υπηρεσίες ασφάλειας που δεν υπάρχουν στο TCSEC, αλλά κρίνονται απαραίτητες σε περιβάλλοντα δικτύων • Κριτήρια: • Λειτουργικότητα(functionality) • Ισχύς(strength) • Διασφάλιση(assurance) • Βαθμοί επάρκειας υπηρεσιών: • Καμία διασφάλιση (none) • Ελάχιστη διασφάλιση (minimum – κλάση C1) • Ικανοποιητική διασφάλιση (fair – κλάση C2) • Καλή διασφάλιση (good – κλάση B2) • Μη διαθέσιμη – παρούσα (not offered – present)

  36. TNI: Επίπεδα και Κλάσεις Αξιολόγησης • Οι κλάσεις του TNI καλύπτουν τυπικές απαιτήσεις ασφάλειας • Κλάση C • Καλύπτει περιβάλλοντα συνεργαζόμενων χρηστών • Δεν υπάρχουν σημαντικές απαιτήσεις ασφάλειας • Multi-level Security σύστημα • Ανάπτυξη σε περιβάλλοντα δικτύου • Αποτελείται από αυτοτελή συστατικά στοιχεία ενός επιπέδου • Δημιουργία μιας νέας κλάσης C2+όπου τα συστατικά στοιχεία θα πρέπει να παρέχουν DAC και υπηρεσία συναγερμού σε πραγματικό χρόνο (audit time alarm) και να μην παρέχουν MAC

  37. TNI:Περιορισμοί καιΠροβλήματα • Κλήθηκε να αντιμετωπίσει ζητήματα που δεν απαντώνται στο TCSEC, με συνέπεια τη δημιουργία του TNI – Μέρος ΙΙ • Προέκυψαν προβλήματα από τη διττή φύση του TNI • Εξετάζει την ασφάλεια μόνο σε ένα είδος δικτύων, που συναντάται ολοένα και λιγότερο • Προσπαθεί να ανταγωνιστεί σαφώς πληρέστερες μεθοδολογίες (ISO)

  38. CTCPEC – Canadian Trusted Computer Product Evaluation Criteria • Δημοσιεύτηκε το 1989 από την κυβέρνηση του Καναδά και βασιζόταν ιδιαίτερα στο TCSEC • Γίνεται διαχωρισμός μεταξύ λειτουργικώναπαιτήσεωνκαι απαιτήσεων διασφάλισης • Συνολικός κατάλογος απαιτήσεων διασφάλισης χωρισμένων σε κατηγορίες • Σχέδια προστασίας • Νέες απαιτήσεις λειτουργικότητας • Ακεραιότητα • Διαθεσιμότητα • Νέες απαιτήσεις διασφάλισης • Περιβάλλον ανάπτυξης

  39. ITSEC – Information Technology System Evaluation Criteria • Γενικά για το ITSEC • Απαιτήσεις Διασφάλισης • Διαφορές μεταξύ ITSEC και TCSEC • Επίπεδα και Κλάσεις Αξιολόγησης • Η Διαδικασία αξιολόγησης του ITSEC • Περιορισμοί και Προβλήματα του ITSEC

  40. Γενικά για το ITSEC • Δημοσιεύτηκε το 1991, μετά από προσπάθεια δημιουργίας ενός κοινού Ευρωπαϊκού προτύπου αξιολόγησης ασφάλειας συστημάτων και προϊόντων • Το 1995 έγινε αποδεκτό από την Ευρωπαϊκή Ένωση • Περιλαμβάνει 6+1 Επίπεδα Εμπιστοσύνης: (Ε1, Ε2, Ε3, Ε4, Ε5, Ε6, E0) • Πιστοποιημένο προϊόν ή σύστημα μετά τη λήψη σχετικής πιστοποίησης • Στόχος της Αξιολόγησης (Target of Evaluation – TOE) • Ορισμός και άλλων συγκεκριμένων κλάσεων λειτουργικότητας

  41. ITSEC: Απαιτήσεις Διασφάλισης • Απαιτήσεις παρόμοιες με αυτές του TCSEC • Προσέγγιση των θεμάτων διασφάλισης με βάση: • Την ορθότητα(correctness) • Την αποτελεσματικότητα(effectiveness) • Οι Απαιτήσεις αποτελεσματικότητας είναι έξι με σημαντικότερες τις: • Καταλληλότητα των απαιτήσεων(suitability of requirements) • Συσχετισμός των απαιτήσεων(binding of requirements)

  42. Διαφορές μεταξύ ITSEC και TCSEC • Κάποιες από τις απαιτήσεις συστήματος στο TCSEC, δεν περιλαμβάνονται στο ITSEC ως απαιτήσεις διασφάλισης • Το TCSEC απαιτούσε αυστηρά τυποποιημένες τεχνικές για τις προδιαγραφές σχεδίασης και την επαλήθευση στην κλάση Α1 • Το ITSEC απαιτούσε μόνο την αντιστοίχηση μεταξύ του υψηλότερου επιπέδου προδιαγραφών με τον κώδικα • Επιπλέον το ITSEC έθετε απαιτήσεις σε γλώσσες προγραμματισμού και μεταγλωττιστές • Οι απαιτήσεις αποτελεσματικότητας του ITSEC προέτρεπαν στη σύνταξη αρκετών αναλύσεων σημείων ευπάθειας: • Ανάλυση ευπαθειών σχεδιασμού • Ανάλυση ευχρηστίας • Ανάλυση γνωστών ευπαθειών • Απαίτηση για αποτελεσματικότητα της ισχύος των μηχανισμών

  43. ITSEC:Επίπεδα και Κλάσεις Αξιολόγησης • Επίπεδο Ε0: Περιλάμβανε ένα προϊόν ή ένα σύστημα το οποίο δεν πληρούσε τα κριτήρια ενός επιπέδου • Επίπεδο Ε1: Απαιτούσε ένα στόχο ασφάλειας έναντι του οποίου θα γινόταν η αξιολόγηση του προϊόντος ή του συστήματος • Επίπεδο Ε2: Απαιτούσε επιπλέον μία μη τυποποιημένη περιγραφή του λεπτομερούς σχεδιασμού του συστήματος ή προϊόντος, καθώς και έλεγχο διαμόρφωσης και διαδικασία ελέγχου διανομής • Επίπεδο Ε3: Είχε περισσότερο αυστηρές απαιτήσεις όσον αφορά την περιγραφή του λεπτομερούς σχεδιασμού του ΤΟΕ • Επίπεδο Ε4: Απαιτούσε ένα τυποποιημένο μοντέλο πολιτικής ασφάλειας, μία αυστηρότερη προσέγγιση της αρχιτεκτονικής του TOE και μία ανάλυση ευπαθειών στο επίπεδο σχεδιασμού • Επίπεδο Ε5: Αναφερόταν στην ανάγκη ύπαρξης αντιστοιχίας μεταξύ πηγαίου κώδικα και λεπτομερούς σχεδιασμού • Επίπεδο Ε6: Απαιτούσε την εκτεταμένη εφαρμογή αυστηρά τυποποιημένων μεθόδων

  44. Η Διαδικασία Αξιολόγησης ITSEC • Ξεχωριστές διαδικασίες για κάθε συμμετέχουσα χώρα • Όλες οι διαδικασίες ήταν παρόμοιες και ακολουθούσαν καλά ορισμένες οδηγίες • Διαδικασία αξιολόγησης για το Ηνωμένο Βασίλειο: • Πιστοποιημένα και εξουσιοδοτημένα ιδιωτικά εργαστήρια αξιολόγησης • Έναρξη αργά στον κύκλο ζωής του προϊόντος • Ολοκλήρωση αξιολόγησης σε μικρό χρονικό διάστημα • Πολύ καλά δομημένη • Έναρξη, με την αξιολόγηση του στόχου ασφάλειας • Αντιπαράθεση του ΤΟΕ με το στόχο ασφάλειας • Πιο αυστηρή απαίτηση τεκμηρίωσης, σε σχέση με το TCSEC • Πλαίσιο συντήρησης πιστοποίησης

  45. Περιορισμοί και Προβλήματα του ITSEC • Πιθανά λάθη κατά τον προσδιορισμό των λειτουργικών απαιτήσεων • Λιγότερο αυστηρή διαδικασία αξιολόγησης, σε σχέση με το TCSEC • Δεν αξιολογούσε αν ένας στόχος ασφάλειας ήταν χρήσιμος • Έλλειψη επιτροπής που θα έκρινε την απόφαση της ομάδας αξιολόγησης ή την ποιότητα της ίδιας της αξιολόγησης • Διμελείς ομάδες αξιολόγησης • Ανυπαρξία τεχνικού σώματος, αποτελούμενου από εξειδικευμένους επιστήμονες ευρείας αποδοχής • Δεν υπήρχε παραδοτέο της τελικής κρίσης

  46. CISR – Commercial International Security Requirements • Γενικά για το CISR • Απαιτήσεις του CISR • Επιπτώσεις του CISR στην αξιολόγηση Συστημάτων

  47. Γενικά για το CISR • Αναπτύχθηκε το 1991 από ιδιωτικούς φορείς των ΗΠΑ • Προσπάθεια για τη δημιουργία ενός συνόλου κανόνων, με σκοπό την αξιολόγηση συστημάτων, με έμφαση σε τομείς σημαντικούς για τις επιχειρήσεις • Πρωτοβουλία και ανάπτυξη του σχεδίου από την American Expressκαι την EDS - Electronic Data Systems • Συνδυασμός στοιχείων του TCSECκαι του Germany’s IT-Security Criteria • Ανάπτυξη μιας νέας κλάσης C2+ • Ικανοποιητικό επίπεδο ασφάλειας για τις επιχειρήσεις

  48. Απαιτήσεις του CISR • Απαιτήσεις διασφάλισης αντίστοιχες με εκείνες της κλάσης C2 • Εγχειρίδιο του διαχειριστή • Απαιτήσεις DAC • Απαιτήσεις ταυτοποίησης και αυθεντικοποίησης • Απαιτήσεις εποπτείας και ελέγχου

  49. Επιπτώσεις του CISR στην Αξιολόγηση Συστημάτων • Δεν αναδείχτηκε σε μία σημαντική μεθοδολογία αξιολόγησης • Σημαντική προσφορά στη ραγδαία αύξηση της προσπάθειας για ανάπτυξη νέων και πιο αποτελεσματικών και αξιόπιστων μεθοδολογιών στις αρχές του 1990 • Πίεση στην κυβέρνηση των ΗΠΑ • Επιρροή στα Federal Criteria

  50. FC – The Federal Criteria • Γενικά για τα Federal Criteria • Απαιτήσεις των Federal Criteria • Επιπτώσεις των Federal Criteria στην Αξιολόγηση Συστημάτων

More Related