This presentation introduces to the basics of Common Criteria and was held in the frame of the subject "Development of information systems" for the students of Budapest University of Technology and Economics.

1. Common Criteria alapok Krasznay Csaba kancellár.hu Kft.

4. Miért kell a Common Criteria ? Biztonsági követelmény rendszer & Felülvizsgálati módszertan Főbb tényezők Nemzetközi IT piaci trendek Közös nemzetközi biztonsági követelmények Számtalan már létező módszertan felülvizsgálata IT biztonsági kihívások fokozódása

7. A történet European National & Regional Initiatives ‘ 89-’93 Canadian Initiatives ‘ 89-’93 Common Criteria Project ‘ 93-- ISO IS 15408 ‘ 99 CTCPEC 3 ‘ 93 NIST’s MSFR ‘ 90 ISO Initiatives ‘ 92-- ISO /IEC 15408 :2005 ‘ 05 US TCSEC ‘ 83, ‘85 Federal Criteria ‘ 92 Common Criteria 1.0 ‘ 96 Common Criteria 2.1 ‘ 99 ITSEC 1.2 ‘ 91 Common Criteria 2. 3 ‘ 05 Common Criteria 3.1 ’ 06

9. Tanúsítványok száma

13. Viszonya más biztonsági szabványokhoz Összetett IT rendszerek Egyszerű termékek Technikai megközelítés Szervezeti megközelítés FIPS 140 ITSEC/CC ISO/IEC 27001 IT Baseline Protection Manual ISO/IEC 13335 CobiT

22. Mi előzi meg a fejlesztést? Biztonsági cél: Szándéknyilatkozat azonosított fenyegetések elleni fellépésről és/vagy meghatározott szervezeti biztonsági szabályzatoknak és feltételezéseknek való megfelelésről. A biztonsági célok kialakítása Védendő vagyontárgyak A biztonsági környezet kialakítása Biztonsági célok TOE Fizikai környezet Feltétele-zések Fenyege-tések Szervezet-biztonsági Szabályok TOE célja

23. Mi előzi meg a fejlesztést? TOE összefoglaló specifikáció: A TOE ST-ben adott összefoglaló specifikációja meghatározza a TOE biztonsági követelményeinek megjelenését. Felsőszintű leírást ad azokról a biztonsági funkciókról, amelyekről kijelentik, hogy teljesítik a funkcionális követelményeket, és azokról a garanciális intézkedésekről, amelyeket a garanciális követelmények teljesítéséhez meg kell hozni.. A biztonsági követelményeken keresztül a TOE specifikációja CC Követelmény katalógus A biztonsági követelmények kialakítása TOE összefoglaló specifikáció Biztonsági célok Funkcionális követelmények Garanciális követelmények Környezeti követelmények

28. A fejlesztés szemléletmódja Forráskód / Hardver terv Funkcionális specifikáció Magas-szintű terv Biztonsági követelmények Megvalósítás A tervezés és implementálás finomítása Megfelelőségi ellenőrzés és integrációs tesztelés

29. A fejlesztéstől a minősítésig Ideiglenes értékelési eredmény Biztonsági követelm. (PP) TOE Megvaló-sítás TOE Fejlesztés TOE Értékelése Értékelési eredmények tanúsítása Tanúsított értékelési eredmény Értékelési Szempontok (CC) Biztonsági célok Biztonsági specifikáció (ST) (Termék)

31. A Védelmi Profil felépítése

32. Biztonsági Előirányzat

33. CC leírások Család k komponens komponens komponens Osztály b Család 1 komponens komponens komponens Család i komponens komponens komponens Család j komponens komponens komponens Osztály a Csomagok Funkcionális vagy garancia követelmények újrahasználható készlete Opcionális (nem CC) követelmények Védelmi profil Biztonsági rendszerterv

42. Hogyan olvassuk ki ezt a PP-ből?

43. Hogyan olvassuk ki ezt a PP-ből?

44. Hogyan olvassuk ki ezt a PP-ből?

45. Hogyan olvassuk ki ezt a PP-ből?

64. Értékelési garanciaszintek

66. Értékelési garanciaszintek EAL1

68. Értékelési garanciaszintek EAL2

70. Értékelési garanciaszintek EAL3

72. Értékelési garanciaszintek EAL4

74. Értékelési garanciaszintek EAL5

76. Értékelési garanciaszintek EAL6

78. Értékelési garanciaszintek EAL7

80. Értékelési garanciaszintek 875 Összesen 1 EAL7+ 1 EAL7 62 EAL5+ 7 EAL5 260 EAL4+ 84 EAL4 75 EAL3+ 105 EAL3 69 EAL2+ 161 EAL2 20 EAL1+ 30 EAL1 Összesen EAL