Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
UNIÃO EDUCACIONAL DE MINAS GERAISEspecialização em Segurança da Informação
Segurança em Aplicações
Ada Andersen, Cleitom Ribeiro Amaral, Hebert Douglas Pereira, Leonardo B. F. Vinhandel, Michele Prado
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
ISO/IEC 15408
Common Criteria
Como surgiu
Norma ISO/IEC 15408
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Três níveis:
Definições e metodologia
Requisitos de segurança
Metodologias de avaliação
Norma ISO/IEC 15408
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Definição
Target of Evaluation (TOE)
Protect Profile (PP): Análise do Perfil do Produto
Norma ISO/IEC 15408
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Functional Requirements (SFR)Especificações dos Requisitos funcionais de segurança.
Dividida em Classes:
Classe FAU: Auditorias
Classe FCS: Suporte a Criptografia
Classe FCO: Comunicação
Classe FDP: Proteção de dados do usuários
Classe FIA: Identificação e Autenticação
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Functional Requirements SFR Cont.
Classe FMT: Gerenciamento de Segurança
Classe FPR: Privacidade
Classe FPT: Funções de segurança e proteção do TOE
Classe FRU: Recursos de utilização
Classe FTA: Acesso do TOE
Classe de FTP: Caminhos ou Canais confiáveis
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Tabela de dependências da Classe FAU - Auditoria de Segurança
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Tabela de dependências da Classe FCS – Suporte Criptografia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Tabela de dependências da Classe FMT – Gerenciamento de segurança
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
É uma propriedade de segurança de cada elemento do TOE, avaliado
contra os SFR (Security Functional Requirements).
Security Objectives: Baseado na política de segurança, identifica as
ameaças que o sistema possa suportar
Descriçoes do TOE: Descreve o contexto para a avaliação e também
ajuda no entendimento dos requisitos de segurança
Requerimentos de Segurança em TI: Indentifica os requisitos de
segurança do TOE
Security Target (ST)
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Resumo das especificações do TOE: Prevê um alto nível de definição
das funções de segurança e requerimentos funcionais de segurança
Ambiente de Segurança no TOE: Verifica as ameaças que o sistema
possa sofrer no ambiente de trabalho
Exigências do PP: Verifica quais são as exigências de um ou mais PPs
Security Target (ST) Cont.
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Assurance Requirements (SAR)
Identifica quais os requisitos a serem adotados no desenvolvimento do sistema ou produto em TI e na avaliação para garantir que o mesmo será seguro incluindo os níveis de segurança EAL.
Dividida em várias classes
Classe ACM: Configuração de Gerenciamento
Classe ADO:distribuição e operação
Classe ADV: Desenvolvimento
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Security Assurance Requirements (SAR) Cont.
Classe ALC: Ciclo de vida suportado
Classe APE: Avaliação de Protection Profile
Classe ASE: Avaliação das Security Target
Classe ATE: Testes
Classe AVA: Taxação das Vulnerabilidades
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Classes de Familias das SARs
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Classe da Família ASE: Avaliação dos STs
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Requisitos Necessários
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Relação das famílias com os níveis de segurança
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Exemplo de requisitos de segurança para um software específico
Identificação Descrição
ACM_CAP.2 Documento de gestão de configuração do sistema
ADO_DEL.1 Documento de operação e distribuição do sistema
ADO_ICS.1 Guia de instalação
ADO_IGS.1 Procedimentos de instalação, geração e iniciação
ADV_FSP.1 Especificação Funcional Informal
ADV_HLD.1 Descritivo de alto-nível do projeto de desenvolvimento
ADV_RCR.1 Demonstração de correspondência (projeto e produto) informal
AGD_ADM.1 Guia do administrador
AGD_USR.1 Guia do usuário
ATE_COV.1 Evidências de testes de cobertura
ATE_FUN.1 Evidência de execução de testes funcionais
ATE_IND.2 Exemplos de testes independentes (não o desenvolvedor)
AVA_SOF.1 Avaliação da força das funções de segurança do software
AVA_VLA.1 Análise de vulnerabilidade do desenvolvedor
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
É uma avaliação numérica atribuída ao produto.
A maioria destas avaliações envolvem a documentação do projeto, a
análise do projeto, testar funcionalmente, ou testar a penetração.
Cada nível corresponde a um pacote de exigências que cubra o
desenvolvimento completo de um produto.
São sete níveis, o Nível 1 que é o mais básico (e conseqüentemente
mais barato de executar e avaliar) e o Nível 7 que é o mais exigente (e
mais caro).
Níveis mais elevados de garantia de segurança não implicam
necessariamente na melhor segurança, eles significam que a garantia
reivindicada de segurança esteve validada .
Evaluation Assurance Level (EAL) Avaliação do nível de garantia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL1: Testado funcionalmente
As funcionalidades de segurança são testadas no produto pronto e sem
acesso maior ao desenvolvedor ou ao código fonte.
EAL2: Testado funcionalmente e estruturalmente
Requerem um baixo nível de segurança.
Busca no desenvolvimento do produto vulnerabilidades óbvias.
EAL3: Testado e verificado metodicamente O desenvolvedor deve mostrar mais sobre o processo de desenvolvimento,
gerenciamento de configuração, e alguns dos resultados de testes do
desenvolvedor devem ser verificados independentemente.
Níveis de Garantia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL4: Projetado, testado e revisto metodicamente
Detalhes da estrutura do programa estarão todos disponíveis, testes são verificados independentemente, desenvolvedor deve mostrar o uso de boas praticas de segurança no desenvolvimento do sistema.
EAL4 é o mais elevado nível em que é provável ser economicamente praticável adaptar a uma linha de produto existente.
EAL4 é aplicável naquelas circunstâncias onde os colaboradores ou os usuários requerem um nível médio a elevado de segurança.
O teste é feito em busca de vulnerabilidades óbvias.
Produtos que tem esse Certificado:
Novell NetWare;
SuSE Linux Enterprise Server 9;
Windows 2000 Service Pack 3;
Red Hat Enterprise Linux 5.
Níveis de Garantia
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL5: Projetado e testado semi-formal
Baseada nas rigorosas práticas comerciais do desenvolvimento
Tal produto provavelmente será projetado e desenvolvido com a intenção de
conseguir a garantia EAL5.
Aplicável onde requer uma elevação em nível da segurança.
Níveis de Garantia
Dispositivos smartcards;
Tenix Interactive Link;
XTS-400 (STOP 6);
IBM z/OS operating system;
LPAR on System ZSeries .
Produtos que tem esse Certificado:
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL6: Projetado e testado de forma verificada e semi-formal
Permite aos desenvolvedores ganhar a garantia elevada da aplicação com
técnicas da engenharia de segurança a um ambiente rigoroso do
desenvolvimento. Proteger recursos elevados do valor de encontro aos riscos significativos.
É aplicável onde o valor dos recursos protegidos justifica os custos de
proteção.
Níveis de Garantia
A busca por vulnerabilidades deve assegurar a resistência elevada ao ataque
de penetração.
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
EAL7: Projeto formalmente verificado e testado ( mais CARO)
Situações de risco elevado ou
Ou onde o valor elevado dos recursos justifica os custos mais elevados.
Níveis de Garantia
Níveis mais elevados de garantia de segurança
NÃO significam 100% segurança ! ! !
The Tenix Interactive Link Data Diode Device has been evaluated at EAL7
Produtos que tem esse Certificado:
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Costs
Uniminas - Especialização em Segurança da Informação Segurança em Aplicações - Common Criteria
Surgiu para unificar os padrões de segurança europeu e norte
americano
Garante a segurança do software satisfazendo os princípios da
segurança da informação,
Utilizado tanto em desenvolvimento com em análise de aplicações
prontas,
Tornou-se importante devido à crescente necessidade das empresas
em investir na segurança de suas informações.
Conclusão
Top Related