ISO15408, Common Criteria 2.x - Overview

27
Pós-Graduação 2009 ISO 15408 (CC) Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified [email protected]

description

ISO15408, Common Criteria 2.x - An overview about the timeline, scope and classification level.

Transcript of ISO15408, Common Criteria 2.x - Overview

Page 1: ISO15408, Common Criteria 2.x - Overview

Pós-Graduação 2009

ISO 15408 (CC)

Jairo Willian Pereira

Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified

[email protected]

Page 2: ISO15408, Common Criteria 2.x - Overview

CON – A3 36

Índice ISO-15408

1. Timeline

2. Introdução

3. Níveis de Segurança

4. Preocupações

5. Passos para implementação

6. Especificação de Segurança

7. Ambiente de desenvolvimento

8. Trilha de Auditoria – Exemplo

9. Não implementação

10. Conclusão

11. Homework

12. Links

13. Dúvidas

Page 3: ISO15408, Common Criteria 2.x - Overview

CON – A3 37

Introdução

DoD, Ware (RS) 1967 Security Control for Computer System

CIA , Weissmann (OST) 67-68 ADEPT-50 USAF, Anderson (TR) 1972 Computer Security

Technology Planning Study J.P.A., La Padula, Bell (SB) 72-73 Doctrine ESD/USAF, R. Schell, (T&E) 1973 Security Kernel DoD “Computer Sec Initiative” 1977 Security Classical Problems DoD, Roger Schell via CSI 1978 Orange Book (TCSEC) DoD & NCSC 83-95 The Rainbow Series Fusão/Draft, CC 2.1 (SO 15408) 96,99 TCSEC, CTCPEC e ITSEC Updates... 96-08 ISO 15408:2008

Linha do tempo...

Page 4: ISO15408, Common Criteria 2.x - Overview

CON – A3 38

Introdução

ISO 15408 (Commom Criteria)

• Part 1: Introduction and general model

Discute definições e metodologia

• Part 2: Security functional components

Lista requisitos de segurança

• Part 3: Security assurance components

Lista metodologias de avaliação

Page 5: ISO15408, Common Criteria 2.x - Overview

CON – A3 39

Introdução

ISO 15408 (Commom Criteria)

• Especificar critérios de segurança para aplicações (D/T)

Fornece conjunto de critérios fixos;

Definir segurança da aplicação para o usuário-final;

• Comitê Internacional do Commom Criteria

Criado para evitar diversos padrões divergentes;

• Estabelece escopo para Security Target (ST)

Quais controles de segurança o TOE (produto) deve satisfazer;

• Estabeleve Protection Profile (PP)

Uma versão do ST mais específica, aplicado para validar condições de segurança em “perfis de dispositivos”

Page 6: ISO15408, Common Criteria 2.x - Overview

CON – A3 40

Níves de garantia

ISO 15408 (Commom Criteria)

• Define 7 níveis de classificação de Segurança:

Evaluation Assurance Level – EAL 1

Evaluation Assurance Level – EAL 2

Evaluation Assurance Level – EAL 3

Evaluation Assurance Level – EAL 4

Evaluation Assurance Level – EAL 5

Evaluation Assurance Level – EAL 6

Evaluation Assurance Level – EAL 7 }

} Extremamente rígidos!

Na prática, inviáveis.

Reconhecidos pela ISO

e aplicáveis ao TOE.

-

+

Page 7: ISO15408, Common Criteria 2.x - Overview

CON – A3 41

Níves de garantia

ISO 15408 (Commom Criteria)

• Define 7 níveis de classificação de Segurança:

EAL 1 – Funcionalmente testado

EAL 2 – Estruturalmente testado

EAL 3 – Metodicamente testado e verificado

EAL 4 – Metodicamente projetado, testado e verificado

EAL 5 – Semi-formalmente projetado e testado

EAL 6 – Semi-formalmente projetado, testado e verificado

EAL 7 – Formalmente projetado, testado e verificado

-

+

Page 8: ISO15408, Common Criteria 2.x - Overview

CON – A3 42

Níves de garantia

ISO 15408 (Commom Criteria)

• “Avaliações Técnicas” podem incluir:

1. analysis and checking of processes and procedures (applied?);

2. analysis of the correspondence between TOE design/requiments;

3. verification of proofs;

4. analysis of guidance documents;

5. analysis of functional tests developed and the results provided;

6. independent functional testing;

7. analysis for vulnerabilities (including flaw/error hypothesis);

8. penetration testing.

Page 9: ISO15408, Common Criteria 2.x - Overview

CON – A3 43

Níves de garantia

ISO 15408 (Commom Criteria)

EAL-1

Page 10: ISO15408, Common Criteria 2.x - Overview

CON – A3 44

Níves de garantia

ISO 15408 (Commom Criteria)

EAL-1

Page 11: ISO15408, Common Criteria 2.x - Overview

CON – A3 45

Níves de garantia

ISO 15408 (Commom Criteria)

Page 13: ISO15408, Common Criteria 2.x - Overview

CON – A3 47

Preocupações

ISO 15408 (Commom Criteria)

:: 3 preocupações básicas em desenvolvimento

1. Segurança do ambiente de desenvolvimento

Segurança código-fonte, controle, disponibilidade...

2. Segurança da aplicação desenvolvida

Código sem falhas, sem backdoors, documentado...

3. Garantia “conjunta” da aplicação desenvolvida

De acordo com especificado, testada, analisada...

Page 14: ISO15408, Common Criteria 2.x - Overview

CON – A3 48

Passos - Implementação

ISO 15408 (Commom Criteria)

:: Avaliar TOE “novos” e “existentes”. Passos:

1. Especifique a Segurança da aplicação – Fase de Análise

- Gere documento de especificação da segurança; - Utilize a 15408 como base e seus requisitos descritos; - Utilize a mesma estrutura de análise do/para ambiente.

2. Mantenha ambientes de desenvolvimento/teste seguros

- Capaz de atender a 15408 - Utilize EAL-3. Considerado um bom começo!

Page 15: ISO15408, Common Criteria 2.x - Overview

CON – A3 49

Passos - Implementação

ISO 15408 (Commom Criteria)

:: Avaliar TOE “novos” e “existentes”. Passos:

3. Defina metas para “boas práticas de programação”

- Obedeça requisitos; - Produza documentação decente; - Utilize “crítica de dados”.

4. Submeta seu sistema a testes internos;

- Escolha um dos níveis de garantia; - Gere evidências – valide sua aderência a especificação.

Page 16: ISO15408, Common Criteria 2.x - Overview

CON – A3 50

Passos - Implementação

ISO 15408 (Commom Criteria)

:: Se for “aplicações/sistemas” existentes...

1. Defina a especificação de Segurança para a aplicação

- Use a 15408 como base de análise defina objetivo!

2. Defina quais os “requisitos de segurança” presentes

- Na aplicação e no ambiente de desenvolvimento - Valide se os implementados atendem os requisitados

3. Defina um nível de Segurança (EAL-1 EAL-3)

- Considere limitações dos testes em aplicações prontas

Page 17: ISO15408, Common Criteria 2.x - Overview

CON – A3 51

Especificação de Segurança

ISO 15408 (Commom Criteria)

:: Descubra porque o TOE “demanda” segurança

1. Aspectos Legais e/ou ameaças conhecidas do “negócio”

- Podem demandar controles adicionais

2. Após mapeamento dos requisitos legais e ameaças

- Consolide objetivos de Segurança - Persiga esses “requisitos base” a serem atendidos - Defina a estratégia para atingir os objetivos!

Page 18: ISO15408, Common Criteria 2.x - Overview

CON – A3 52

Especificação de Segurança

ISO 15408 (Commom Criteria)

:: Mecanismos CC – Atendimento dos objetivos

Dividido em “12 Famílias de Atributos”; Proteção de Dados dos Usuários;

Criptografia;

Gerenciamento de Segurança

Exigências são baseadas no nível a ser avaliado; EAL

Page 19: ISO15408, Common Criteria 2.x - Overview

CON – A3 53

Ambiente Desenvolvimento – EAL3

ISO 15408 (Commom Criteria)

• ACM_CAP3 Controle de versão autorizado;

• ACM_SCP.1 Abrangência da Gerência de Configuração;

• ADO_DEL.1 Procedimento de Entrega;

• AGD_USR.1 Documentação do usuário do sistema;

• ALC_DVS.1 Identificação de Medidas de Segurança;

• ATE_FUN.1 Teste Funcional;

• ATE_IND.2 Teste Independente por Amostragem;

• ATE_COV.2 Análise da Abrangência dos Testes;

• AVA_MSU.1 Análise do uso inapropriado;

• AVA_VLA.1 Análise de Vulnerabilidade;

• AVA_SOF.1 Avaliação de ataques por força bruta ...

Page 20: ISO15408, Common Criteria 2.x - Overview

CON – A3 54

Prevendo “trilhas auditoria”, FAU

ISO 15408 (Commom Criteria)

$timestampToken = date("Y/m/d H:i:s"); query = “select id from LocalUserTable where loginName = ‘$loginName’ and

passCode = ‘$passCode’”; $stmt = oci_parse( $conn, $query ); oci_exec( $stmt ); if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE) { syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName

$_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])"); // Registrar autenticacao falha, reportar erro e retornar tela login ... } else { syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName

$_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])"); setcookie("TestCookie", time()+3600); // Registrar autenticacao OK + identidade em cookie e direcionar acesso ... }

Page 21: ISO15408, Common Criteria 2.x - Overview

CON – A3 55

Quando não implementado!

ISO 15408 (Commom Criteria)

• Priorização dos “Requisitos Funcionais”;

• Falta cultura/preparo da equipe desenvolvimento;

• Projeto e tempo precários;

• Falta de informação sobre existência;

• Limitações financeiras;

• Terceirizam segurança para outras camadas;

...

Page 22: ISO15408, Common Criteria 2.x - Overview

CON – A3 56

Conclusão

ISO 15408 (Commom Criteria)

• Segurança de infra-estrutura torna-se inviável com

aplicações inseguras;

• 15408 é referência internacional para desenvolvimento,

avaliação e segurança em "sistemas e produtos";

• Provê definições (P1), requisitos (P2) e metodologias de

avaliação (P3) Produto dentro do “esperado”

• Foco sistemas/aplicações ou produtos, não corporativo!

Page 25: ISO15408, Common Criteria 2.x - Overview

CON – A3 59

Links

http://www.niap-ccevs.org/cc-scheme/dd_docs/

http://www.commoncriteriaportal.org

http://www.iso.org

http://ultimainstancia.uol.com.br

http://www.opiceblum.com.br

http://www.truzzi.com.br

http://legislacao.planalto.gov.br

http://www.stf.gov.br

http://www.aasp.org