View
385
Download
3
Category
Preview:
DESCRIPTION
The presentation gives some information about Common Critera and talks about the possibilities of Hungarian IT developers if they want to get the certification for their products.
Citation preview
Common Criteria szerinti értékelések
lehetőségei Magyarországon
Krasznay Csaba
Tartalom
• Mi az a Common Criteria?
• Miért jó a gyártónak és a vevőnek?
• Lehetőségek Magyarországon
Napjaink kihívásai
• A vásárlók egyre több, IT biztonsághoz szükséges eszközhöz férnek hozzá, melyek különböző képességekkel rendelkeznek.
• A vásárlóknak dönteniük kell, hogy milyen eszközök alkalmasak informatikai rendszerük kielégítő védelmére.
• Hatás: a termékek kiválasztása befolyásolja az egész informatikai rendszer biztonságát.
Alapok
A biztonságos rendszerek építése tehát függ a következőktől:
• Jól meghatározott IT biztonsági követelmények és specifikációk– Tulajdonképpen milyen biztonsági funkciókat is
akarunk?
• Minőségi biztonsági mérőszámot és megfelelő tesztelést, értékelést, felmérést kell alkalmazni– Biztosítékot akarunk arra, hogy amit kapunk, az
tényleg az, amit kértünk.
Mi a CC?
• Nemzetközileg elfogadott keretrendszer az IT biztonság területén– Közös struktúra és nyelv a termékek/rendszerek IT
biztonsági követelményeinek kifejezésére– Szabványos IT biztonsági követelmény összetevők és
csomagok gyűjteménye
• Nemzetközileg elfogadott értékelési módszertan, besorolási rendszer
• ISO szabvány (ISO/IEC 15408)
Mit fed le a CC?
• Olyan IT rendszerek és termékek biztonsági tulajdonságainak a specifikációja, melyek a következőket valósítják meg:– confidentiality: bizalmasság,– integrity: sértetlenség,– availability: rendelkezésre állás.
• Független értékelések eredményeinek az összehasonlíthatósága
• Hardverben, szoftverben és förmverben implementált védelmi intézkedésekre vonatkoztatható– technológia-független– a fejlesztő által kívánt kombinációk határozhatók meg
Mit nem fed le a Common Criteria?• A személyi és fizikai biztonsági
intézkedések implementációjának vizsgálatát
• Szervezeti biztonsági intézkedések vizsgálatát
• A CC felhasználását– adminisztratív, jogi, eljárásbeli szabályok– tanúsítási és akkreditálási eljárások– kölcsönös elfogadási megállapodások
• Kriptográfiai algoritmusok leírását
Viszonya más biztonsági szabványokhoz
Összetett IT rendszerek
Egyszerű termékek
Technikai megközelítés
Szervezeti megközelítés
FIPS 140
ITSEC/CC
ISO/IEC 27001
IT Baseline Protection Manual
ISO/IEC 13335
CobiT
Minősített terméktípusok
• Hozzáférés-vezérlő eszközök és rendszerek (pl. SSO)
• Határvédelmi eszközök és rendszerek (pl. tűzfalak)
• Adatbázis-kezelők• Adatvédelmi eszközök (pl. kriptográfiai titkosító
rendszerek)• Észlelő eszközök és rendszerek (pl. IDS)• IC-k, intelligens kártyák, és ezekhez kapcsolódó
rendszerek
Minősített terméktípusok
• Kulcsmenedzsment rendszerek (pl. PKI rendszerek)
• Hálózati és hálózathoz kapcsolódó eszközök és rendszerek (pl. VPN rendszerek)
• Operációs rendszerek
• Elektronikus aláíró termékek
• Egyéb eszközök és rendszerek
CC-t egyezményesen elfogadó államok• Ausztrália• Kanada• Franciaország• Németország• Japán• Koreai Köztársaság• Hollandia• Norvégia• Spanyolország• USA• UK• Új-Zéland
• Ausztria
• Csehország
• Dánia
• Finnország
• Görögország
• Magyarország
• India
• Izrael
• Olaszország
• Szingapúr
• Svédország
• Törökország
Jelenlegi állapot
• Jelenlegi verzió:– CC version 2.3, 2005. augusztustól– Készül a CC 3.0, mely jelentős változásokat fog
tartalmazni– Szabványként elfogadva a CC v. 2.3:
• ISO/IEC 15408:2005, 2005. szeptember• Jövő:
– 2006. szeptemberében 413 tanúsított termék volt, csak az USA-ban 139 termék állt tanúsítás alatt egyre nagyobb a vásárlói igény a biztonságos termékekre, ezért egyre több termék pályázik a CC minősítésre
Tanúsítványok számaKiadott tanúsítványok száma
0
20
40
60
80
100
120
140
160
1997 1998 1999 2000 2001 2002 2003 2004 2005
A CC minősítés előnyei• A gyártónak
– Piaci előny a versenytársakhoz képest– Megkövetelt biztonságos és jól tervezett fejlesztési
eljárások, megoldások– Az ITBN-t támogató cégek döntő többségének van
CC minősített terméke
• A vásárlóknak– Tanúsított biztonság– Egyértelmű leírás arról, hogy ez milyen
peremfeltételek mellett teljesül
Egyértelmű leírás?
• Általában a garanciális szinteket ismerik– EAL 1-7– Ez a fejlesztés biztonságára vonatkozik, pl. volt
megfelelő dokumentáció, verziókövetés, tesztelés stb.
– Általában EAL 3 és 4 az elfogadható szint• Emellett fontos elolvasni a Biztonsági
Előirányzatot (Security Target – ST) is– Ebben van részletesen leírva, hogy a termék milyen
környezetben, milyen feltételezések mellett tekinthető biztonságosnak
– És milyen biztonsági funkcióit vizsgálták meg
CC minősítések gyakorlati haszna• 100%-os biztonság nincs, a tanúsítás mégis
egyfajta garancia arra, hogy a terméket megfelelően– tervezték,– kivitelezték,– tesztelték.
• Egyértelmű leírás arról, hogy milyen körülmények között biztonságos a termék
• Ezáltal nagy segítséget nyújt ahhoz, hogy a célnak megfelelő megoldást válassza ki a megrendelő, így közelíthessen a teljes biztonság elérése felé
A CC előnyei a hazai vállalkozásoknak• A CC minősítés a fejlett informatikai kultúrájú
országokban banki és kormányzati intézményeknél alapfeltétel
• Több hazai vállalkozás visszajelzéséből tudjuk, hogy a termékbeszerzési döntésnél fontos szempont a tanúsítvány megléte
• A termék marketingértékét is növeli a CC tanúsítvány megszerzése
• Növekedne az IT biztonsági kultúra Magyarországon• Az elektronikus közszolgáltatások biztonságos
megvalósításában kulcsszerepet játszhat a CC, melyben a BME IT2 az egyik megkerülhetetlen szakmai műhellyé kíván válni.
A tanúsítás megszerzése
Ideiglenesértékelésieredmény
Biztonságikövetelm.
(PP)
TOEMegvaló-sítás
TOEFejlesztés
TOEÉrtékelése
Értékelésieredményektanúsítása
Tanúsítottértékelésieredmény
ÉrtékelésiSzempontok
(CC)
Biztonságicélok
Biztonságispecifikáció
(ST)(Termék)
A tanúsítás megszerzése• Az IT biztonsági termékek kiértékelését a CC keretei
között egy minősítési séma (közmegegyezésen alapuló) szerint akkreditált laboratóriumok végzik.
• A laboratóriumi kiértékelő munka a Minősítő Hatóság felügyeletével történik.
• A Minősítő Hatóság a kiértékelés sikeres befejezésekor adja ki a tanúsítványt.
• Az USA-ban a sémát „NIAP”-nak – National Information Assurance Partnership – nevezik.
• NIAP jóváhagyva az MRA –Mutual Recognition Arrangement- által
A tanúsítás megszerzése
• Sokszor mondják, hogy a CC tanúsítvány megszerzése lassú és drága
• Jelenleg legalább 1 év és néhányszor tízmillió forint nagyságrendű összeg szükséges hozzá
• Ezt felismerték a szabványosítók
• A CC 3.0-ás változata lehetővé teszi a gyorsabb és olcsóbb értékeléseket
Lehetőségek Magyarországon• Magyarország tanúsítvány elfogadó ország, nincs saját
sémája és belátható időn belül nem is lesz• A hazai cégek külföldi séma alatt tudják megszerezni a
tanúsítványt• Középtávon létrejöhetnek magyar értékelő
laboratóriumok, melyek külföldi séma alá tartoznak• A BME-n a Nemzeti Kutatási és Technológiai Hivatal
támogatásával létrejött IT biztonsági laboratórium célja, hogy segítse a hazai vállalkozásokat a tanúsítvány megszerzésében
• Középtávon bejegyzett értékelő laboratóriummá kívánunk válni
Lehetőségek Magyarországon• Jelenleg nincs CC tanúsított magyar
termék• A BME IT2 biztonsági laborjának jelenlegi
CC-vel kapcsolatos projektjei:– Navayo Technologies Zrt. SecBox
felkészítése CC tanúsításra (elkészült a Biztonsági Előirányzat)
– BalaBit IT Security Kft. Zorp tűzfal felkészítése CC tanúsításra (a projekt októberben indul)
Összefoglalva
• Mindenképpen érdemes a gyártóknak CC minősítésen gondolkodnia
• Bizonyíték erre az, hogy a kiállítók túlnyomó többsége is forgalmaz CC minősített terméket
• A vásárlóknak pedig nagy segítség lehet a tervezési és beszerzési döntések meghozatalában a tanúsított biztonság
Köszönöm figyelmüket!Krasznay Csaba
krasznay@ik.bme.hu
BME Információtechnológiai Innovációs és Tudásközpont
www.it2.bme.hu
+36-1-4631064
Recommended