ISO15408, Common Criteria 2.x - Overview
-
Upload
jairo-willian-pereira -
Category
Technology
-
view
578 -
download
0
description
Transcript of ISO15408, Common Criteria 2.x - Overview
Pós-Graduação 2009
ISO 15408 (CC)
Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
CON – A3 36
Índice ISO-15408
1. Timeline
2. Introdução
3. Níveis de Segurança
4. Preocupações
5. Passos para implementação
6. Especificação de Segurança
7. Ambiente de desenvolvimento
8. Trilha de Auditoria – Exemplo
9. Não implementação
10. Conclusão
11. Homework
12. Links
13. Dúvidas
CON – A3 37
Introdução
DoD, Ware (RS) 1967 Security Control for Computer System
CIA , Weissmann (OST) 67-68 ADEPT-50 USAF, Anderson (TR) 1972 Computer Security
Technology Planning Study J.P.A., La Padula, Bell (SB) 72-73 Doctrine ESD/USAF, R. Schell, (T&E) 1973 Security Kernel DoD “Computer Sec Initiative” 1977 Security Classical Problems DoD, Roger Schell via CSI 1978 Orange Book (TCSEC) DoD & NCSC 83-95 The Rainbow Series Fusão/Draft, CC 2.1 (SO 15408) 96,99 TCSEC, CTCPEC e ITSEC Updates... 96-08 ISO 15408:2008
Linha do tempo...
CON – A3 38
Introdução
ISO 15408 (Commom Criteria)
• Part 1: Introduction and general model
Discute definições e metodologia
• Part 2: Security functional components
Lista requisitos de segurança
• Part 3: Security assurance components
Lista metodologias de avaliação
CON – A3 39
Introdução
ISO 15408 (Commom Criteria)
• Especificar critérios de segurança para aplicações (D/T)
Fornece conjunto de critérios fixos;
Definir segurança da aplicação para o usuário-final;
• Comitê Internacional do Commom Criteria
Criado para evitar diversos padrões divergentes;
• Estabelece escopo para Security Target (ST)
Quais controles de segurança o TOE (produto) deve satisfazer;
• Estabeleve Protection Profile (PP)
Uma versão do ST mais específica, aplicado para validar condições de segurança em “perfis de dispositivos”
CON – A3 40
Níves de garantia
ISO 15408 (Commom Criteria)
• Define 7 níveis de classificação de Segurança:
Evaluation Assurance Level – EAL 1
Evaluation Assurance Level – EAL 2
Evaluation Assurance Level – EAL 3
Evaluation Assurance Level – EAL 4
Evaluation Assurance Level – EAL 5
Evaluation Assurance Level – EAL 6
Evaluation Assurance Level – EAL 7 }
} Extremamente rígidos!
Na prática, inviáveis.
Reconhecidos pela ISO
e aplicáveis ao TOE.
-
+
CON – A3 41
Níves de garantia
ISO 15408 (Commom Criteria)
• Define 7 níveis de classificação de Segurança:
EAL 1 – Funcionalmente testado
EAL 2 – Estruturalmente testado
EAL 3 – Metodicamente testado e verificado
EAL 4 – Metodicamente projetado, testado e verificado
EAL 5 – Semi-formalmente projetado e testado
EAL 6 – Semi-formalmente projetado, testado e verificado
EAL 7 – Formalmente projetado, testado e verificado
-
+
CON – A3 42
Níves de garantia
ISO 15408 (Commom Criteria)
• “Avaliações Técnicas” podem incluir:
1. analysis and checking of processes and procedures (applied?);
2. analysis of the correspondence between TOE design/requiments;
3. verification of proofs;
4. analysis of guidance documents;
5. analysis of functional tests developed and the results provided;
6. independent functional testing;
7. analysis for vulnerabilities (including flaw/error hypothesis);
8. penetration testing.
CON – A3 43
Níves de garantia
ISO 15408 (Commom Criteria)
EAL-1
CON – A3 44
Níves de garantia
ISO 15408 (Commom Criteria)
EAL-1
CON – A3 45
Níves de garantia
ISO 15408 (Commom Criteria)
CON – A3 46
Níves de garantia
CON – A3 47
Preocupações
ISO 15408 (Commom Criteria)
:: 3 preocupações básicas em desenvolvimento
1. Segurança do ambiente de desenvolvimento
Segurança código-fonte, controle, disponibilidade...
2. Segurança da aplicação desenvolvida
Código sem falhas, sem backdoors, documentado...
3. Garantia “conjunta” da aplicação desenvolvida
De acordo com especificado, testada, analisada...
CON – A3 48
Passos - Implementação
ISO 15408 (Commom Criteria)
:: Avaliar TOE “novos” e “existentes”. Passos:
1. Especifique a Segurança da aplicação – Fase de Análise
- Gere documento de especificação da segurança; - Utilize a 15408 como base e seus requisitos descritos; - Utilize a mesma estrutura de análise do/para ambiente.
2. Mantenha ambientes de desenvolvimento/teste seguros
- Capaz de atender a 15408 - Utilize EAL-3. Considerado um bom começo!
CON – A3 49
Passos - Implementação
ISO 15408 (Commom Criteria)
:: Avaliar TOE “novos” e “existentes”. Passos:
3. Defina metas para “boas práticas de programação”
- Obedeça requisitos; - Produza documentação decente; - Utilize “crítica de dados”.
4. Submeta seu sistema a testes internos;
- Escolha um dos níveis de garantia; - Gere evidências – valide sua aderência a especificação.
CON – A3 50
Passos - Implementação
ISO 15408 (Commom Criteria)
:: Se for “aplicações/sistemas” existentes...
1. Defina a especificação de Segurança para a aplicação
- Use a 15408 como base de análise defina objetivo!
2. Defina quais os “requisitos de segurança” presentes
- Na aplicação e no ambiente de desenvolvimento - Valide se os implementados atendem os requisitados
3. Defina um nível de Segurança (EAL-1 EAL-3)
- Considere limitações dos testes em aplicações prontas
CON – A3 51
Especificação de Segurança
ISO 15408 (Commom Criteria)
:: Descubra porque o TOE “demanda” segurança
1. Aspectos Legais e/ou ameaças conhecidas do “negócio”
- Podem demandar controles adicionais
2. Após mapeamento dos requisitos legais e ameaças
- Consolide objetivos de Segurança - Persiga esses “requisitos base” a serem atendidos - Defina a estratégia para atingir os objetivos!
CON – A3 52
Especificação de Segurança
ISO 15408 (Commom Criteria)
:: Mecanismos CC – Atendimento dos objetivos
Dividido em “12 Famílias de Atributos”; Proteção de Dados dos Usuários;
Criptografia;
Gerenciamento de Segurança
Exigências são baseadas no nível a ser avaliado; EAL
CON – A3 53
Ambiente Desenvolvimento – EAL3
ISO 15408 (Commom Criteria)
• ACM_CAP3 Controle de versão autorizado;
• ACM_SCP.1 Abrangência da Gerência de Configuração;
• ADO_DEL.1 Procedimento de Entrega;
• AGD_USR.1 Documentação do usuário do sistema;
• ALC_DVS.1 Identificação de Medidas de Segurança;
• ATE_FUN.1 Teste Funcional;
• ATE_IND.2 Teste Independente por Amostragem;
• ATE_COV.2 Análise da Abrangência dos Testes;
• AVA_MSU.1 Análise do uso inapropriado;
• AVA_VLA.1 Análise de Vulnerabilidade;
• AVA_SOF.1 Avaliação de ataques por força bruta ...
CON – A3 54
Prevendo “trilhas auditoria”, FAU
ISO 15408 (Commom Criteria)
$timestampToken = date("Y/m/d H:i:s"); query = “select id from LocalUserTable where loginName = ‘$loginName’ and
passCode = ‘$passCode’”; $stmt = oci_parse( $conn, $query ); oci_exec( $stmt ); if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE) { syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName
$_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])"); // Registrar autenticacao falha, reportar erro e retornar tela login ... } else { syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName
$_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])"); setcookie("TestCookie", time()+3600); // Registrar autenticacao OK + identidade em cookie e direcionar acesso ... }
CON – A3 55
Quando não implementado!
ISO 15408 (Commom Criteria)
• Priorização dos “Requisitos Funcionais”;
• Falta cultura/preparo da equipe desenvolvimento;
• Projeto e tempo precários;
• Falta de informação sobre existência;
• Limitações financeiras;
• Terceirizam segurança para outras camadas;
...
CON – A3 56
Conclusão
ISO 15408 (Commom Criteria)
• Segurança de infra-estrutura torna-se inviável com
aplicações inseguras;
• 15408 é referência internacional para desenvolvimento,
avaliação e segurança em "sistemas e produtos";
• Provê definições (P1), requisitos (P2) e metodologias de
avaliação (P3) Produto dentro do “esperado”
• Foco sistemas/aplicações ou produtos, não corporativo!
CON – A3 57
Cartoon
OOXML…
CON – A3 58
Homework
?
ISO 15408 X 2700x.
CON – A3 59
Links
http://www.niap-ccevs.org/cc-scheme/dd_docs/
http://www.commoncriteriaportal.org
http://www.iso.org
http://ultimainstancia.uol.com.br
http://www.opiceblum.com.br
http://www.truzzi.com.br
http://legislacao.planalto.gov.br
http://www.stf.gov.br
http://www.aasp.org
CON – A3 60
Dúvidas ?