ISO15408, Common Criteria 2.x - Overview

1.275 visualizações

Publicada em

ISO15408, Common Criteria 2.x - An overview about the timeline, scope and classification level.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.275
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
25
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

ISO15408, Common Criteria 2.x - Overview

  1. 1. Pós-Graduação 2009 ISO 15408 (CC) Jairo Willian PereiraSec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  2. 2. Índice ISO-154081. Timeline2. Introdução3. Níveis de Segurança4. Preocupações5. Passos para implementação6. Especificação de Segurança7. Ambiente de desenvolvimento8. Trilha de Auditoria – Exemplo9. Não implementação10. Conclusão11. Homework12. Links13. Dúvidas 36 CON – A3
  3. 3. Introdução Linha do tempo...DoD, Ware (RS)  1967  Security Control for Computer SystemCIA , Weissmann (OST)  67-68  ADEPT-50USAF, Anderson (TR)  1972  Computer Security Technology Planning StudyJ.P.A., La Padula, Bell (SB)  72-73  DoctrineESD/USAF, R. Schell, (T&E)  1973  Security KernelDoD “Computer Sec Initiative”  1977  Security Classical ProblemsDoD, Roger Schell via CSI  1978  Orange Book (TCSEC)DoD & NCSC  83-95  The Rainbow SeriesFusão/Draft, CC 2.1 (SO 15408)  96,99  TCSEC, CTCPEC e ITSECUpdates...  96-08  ISO 15408:2008 37 CON – A3
  4. 4. Introdução ISO 15408 (Commom Criteria)• Part 1: Introduction and general model Discute definições e metodologia• Part 2: Security functional components Lista requisitos de segurança• Part 3: Security assurance components Lista metodologias de avaliação 38 CON – A3
  5. 5. Introdução ISO 15408 (Commom Criteria)• Especificar critérios de segurança para aplicações (D/T)  Fornece conjunto de critérios fixos;  Definir segurança da aplicação para o usuário-final;• Comitê Internacional do Commom Criteria  Criado para evitar diversos padrões divergentes;• Estabelece escopo para Security Target (ST)  Quais controles de segurança o TOE (produto) deve satisfazer;• Estabeleve Protection Profile (PP)  Uma versão do ST mais específica, aplicado para validar condições de segurança em “perfis de dispositivos” 39 CON – A3
  6. 6. Níves de garantia ISO 15408 (Commom Criteria)• Define 7 níveis de classificação de Segurança:- Evaluation Assurance Level – EAL 1 Evaluation Assurance Level – EAL 2 Evaluation Assurance Level – EAL 3 Evaluation Assurance Level – EAL 4 } Reconhecidos pela ISO e aplicáveis ao TOE.+ Evaluation Assurance Level – EAL 5 Evaluation Assurance Level – EAL 6 Evaluation Assurance Level – EAL 7 } Extremamente rígidos! Na prática, inviáveis. 40 CON – A3
  7. 7. Níves de garantia ISO 15408 (Commom Criteria)• Define 7 níveis de classificação de Segurança:- EAL 1 – Funcionalmente testado EAL 2 – Estruturalmente testado EAL 3 – Metodicamente testado e verificado EAL 4 – Metodicamente projetado, testado e verificado EAL 5 – Semi-formalmente projetado e testado EAL 6 – Semi-formalmente projetado, testado e verificado+ EAL 7 – Formalmente projetado, testado e verificado 41 CON – A3
  8. 8. Níves de garantia ISO 15408 (Commom Criteria)• “Avaliações Técnicas” podem incluir: 1. analysis and checking of processes and procedures (applied?); 2. analysis of the correspondence between TOE design/requiments; 3. verification of proofs; 4. analysis of guidance documents; 5. analysis of functional tests developed and the results provided; 6. independent functional testing; 7. analysis for vulnerabilities (including flaw/error hypothesis); 8. penetration testing. 42 CON – A3
  9. 9. Níves de garantia ISO 15408 (Commom Criteria)EAL-1 43 CON – A3
  10. 10. Níves de garantia ISO 15408 (Commom Criteria)EAL-1 44 CON – A3
  11. 11. Níves de garantia ISO 15408 (Commom Criteria) 45 CON – A3
  12. 12. Níves de garantia46 CON – A3
  13. 13. Preocupações ISO 15408 (Commom Criteria):: 3 preocupações básicas em desenvolvimento 1. Segurança do ambiente de desenvolvimento Segurança código-fonte, controle, disponibilidade... 2. Segurança da aplicação desenvolvida Código sem falhas, sem backdoors, documentado... 3. Garantia “conjunta” da aplicação desenvolvida De acordo com especificado, testada, analisada... 47 CON – A3
  14. 14. Passos - Implementação ISO 15408 (Commom Criteria):: Avaliar TOE “novos” e “existentes”. Passos: 1. Especifique a Segurança da aplicação – Fase de Análise - Gere documento de especificação da segurança; - Utilize a 15408 como base e seus requisitos descritos; - Utilize a mesma estrutura de análise do/para ambiente. 2. Mantenha ambientes de desenvolvimento/teste seguros - Capaz de atender a 15408 - Utilize EAL-3. Considerado um bom começo! 48 CON – A3
  15. 15. Passos - Implementação ISO 15408 (Commom Criteria):: Avaliar TOE “novos” e “existentes”. Passos: 3. Defina metas para “boas práticas de programação” - Obedeça requisitos; - Produza documentação decente; - Utilize “crítica de dados”. 4. Submeta seu sistema a testes internos; - Escolha um dos níveis de garantia; - Gere evidências – valide sua aderência a especificação. 49 CON – A3
  16. 16. Passos - Implementação ISO 15408 (Commom Criteria):: Se for “aplicações/sistemas” existentes... 1. Defina a especificação de Segurança para a aplicação - Use a 15408 como base de análise  defina objetivo! 2. Defina quais os “requisitos de segurança” presentes - Na aplicação e no ambiente de desenvolvimento - Valide se os implementados atendem os requisitados 3. Defina um nível de Segurança (EAL-1  EAL-3) - Considere limitações dos testes em aplicações prontas 50 CON – A3
  17. 17. Especificação de Segurança ISO 15408 (Commom Criteria):: Descubra porque o TOE “demanda” segurança 1. Aspectos Legais e/ou ameaças conhecidas do “negócio” - Podem demandar controles adicionais 2. Após mapeamento dos requisitos legais e ameaças - Consolide objetivos de Segurança - Persiga esses “requisitos base” a serem atendidos - Defina a estratégia para atingir os objetivos! 51 CON – A3
  18. 18. Especificação de Segurança ISO 15408 (Commom Criteria):: Mecanismos CC – Atendimento dos objetivos  Dividido em “12 Famílias de Atributos”;  Proteção de Dados dos Usuários;  Criptografia;  Gerenciamento de Segurança  Exigências são baseadas no nível a ser avaliado;  EAL 52 CON – A3
  19. 19. Ambiente Desenvolvimento – EAL3 ISO 15408 (Commom Criteria)• ACM_CAP3 Controle de versão autorizado;• ACM_SCP.1 Abrangência da Gerência de Configuração;• ADO_DEL.1 Procedimento de Entrega;• AGD_USR.1 Documentação do usuário do sistema;• ALC_DVS.1 Identificação de Medidas de Segurança;• ATE_FUN.1 Teste Funcional;• ATE_IND.2 Teste Independente por Amostragem;• ATE_COV.2 Análise da Abrangência dos Testes;• AVA_MSU.1 Análise do uso inapropriado;• AVA_VLA.1 Análise de Vulnerabilidade;• AVA_SOF.1 Avaliação de ataques por força bruta ... 53 CON – A3
  20. 20. Prevendo “trilhas auditoria”, FAU ISO 15408 (Commom Criteria)$timestampToken = date("Y/m/d H:i:s");query = “select id from LocalUserTable where loginName = ‘$loginName’ and passCode = ‘$passCode’”;$stmt = oci_parse( $conn, $query ); oci_exec( $stmt );if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE) { syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName $_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])"); // Registrar autenticacao falha, reportar erro e retornar tela login ... }else { syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName $_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])"); setcookie("TestCookie", time()+3600); // Registrar autenticacao OK + identidade em cookie e direcionar acesso ... } 54 CON – A3
  21. 21. Quando não implementado! ISO 15408 (Commom Criteria)• Priorização dos “Requisitos Funcionais”;• Falta cultura/preparo da equipe desenvolvimento;• Projeto e tempo precários;• Falta de informação sobre existência;• Limitações financeiras;• Terceirizam segurança para outras camadas; ... 55 CON – A3
  22. 22. Conclusão ISO 15408 (Commom Criteria)• Segurança de infra-estrutura torna-se inviável com aplicações inseguras;• 15408 é referência internacional para desenvolvimento, avaliação e segurança em "sistemas e produtos";• Provê definições (P1), requisitos (P2) e metodologias de avaliação (P3)  Produto dentro do “esperado”• Foco sistemas/aplicações ou produtos, não corporativo! 56 CON – A3
  23. 23. CartoonOOXML… 57 CON – A3
  24. 24. Homework ISO 15408  X  2700x. ? 58 CON – A3
  25. 25. Linkshttp://www.niap-ccevs.org/cc-scheme/dd_docs/http://www.commoncriteriaportal.orghttp://www.iso.orghttp://ultimainstancia.uol.com.brhttp://www.opiceblum.com.brhttp://www.truzzi.com.brhttp://legislacao.planalto.gov.brhttp://www.stf.gov.brhttp://www.aasp.org 59 CON – A3
  26. 26. Dúvidas ?60 CON – A3
  27. 27. Fim61 CON – A1

×