This presentation introduces to the basics of Common Criteria and was held in the frame of the subject "Development of information systems" for the students of Budapest University of Technology and Economics.
4. Miért kell a Common Criteria ? Biztonsági követelmény rendszer & Felülvizsgálati módszertan Főbb tényezők Nemzetközi IT piaci trendek Közös nemzetközi biztonsági követelmények Számtalan már létező módszertan felülvizsgálata IT biztonsági kihívások fokozódása
5.
6.
7. A történet European National & Regional Initiatives ‘ 89-’93 Canadian Initiatives ‘ 89-’93 Common Criteria Project ‘ 93-- ISO IS 15408 ‘ 99 CTCPEC 3 ‘ 93 NIST’s MSFR ‘ 90 ISO Initiatives ‘ 92-- ISO /IEC 15408 :2005 ‘ 05 US TCSEC ‘ 83, ‘85 Federal Criteria ‘ 92 Common Criteria 1.0 ‘ 96 Common Criteria 2.1 ‘ 99 ITSEC 1.2 ‘ 91 Common Criteria 2. 3 ‘ 05 Common Criteria 3.1 ’ 06
13. Viszonya más biztonsági szabványokhoz Összetett IT rendszerek Egyszerű termékek Technikai megközelítés Szervezeti megközelítés FIPS 140 ITSEC/CC ISO/IEC 27001 IT Baseline Protection Manual ISO/IEC 13335 CobiT
14.
15.
16.
17.
18.
19.
20.
21.
22. Mi előzi meg a fejlesztést? Biztonsági cél: Szándéknyilatkozat azonosított fenyegetések elleni fellépésről és/vagy meghatározott szervezeti biztonsági szabályzatoknak és feltételezéseknek való megfelelésről. A biztonsági célok kialakítása Védendő vagyontárgyak A biztonsági környezet kialakítása Biztonsági célok TOE Fizikai környezet Feltétele-zések Fenyege-tések Szervezet-biztonsági Szabályok TOE célja
23. Mi előzi meg a fejlesztést? TOE összefoglaló specifikáció: A TOE ST-ben adott összefoglaló specifikációja meghatározza a TOE biztonsági követelményeinek megjelenését. Felsőszintű leírást ad azokról a biztonsági funkciókról, amelyekről kijelentik, hogy teljesítik a funkcionális követelményeket, és azokról a garanciális intézkedésekről, amelyeket a garanciális követelmények teljesítéséhez meg kell hozni.. A biztonsági követelményeken keresztül a TOE specifikációja CC Követelmény katalógus A biztonsági követelmények kialakítása TOE összefoglaló specifikáció Biztonsági célok Funkcionális követelmények Garanciális követelmények Környezeti követelmények
24.
25.
26.
27.
28. A fejlesztés szemléletmódja Forráskód / Hardver terv Funkcionális specifikáció Magas-szintű terv Biztonsági követelmények Megvalósítás A tervezés és implementálás finomítása Megfelelőségi ellenőrzés és integrációs tesztelés
29. A fejlesztéstől a minősítésig Ideiglenes értékelési eredmény Biztonsági követelm. (PP) TOE Megvaló-sítás TOE Fejlesztés TOE Értékelése Értékelési eredmények tanúsítása Tanúsított értékelési eredmény Értékelési Szempontok (CC) Biztonsági célok Biztonsági specifikáció (ST) (Termék)
33. CC leírások Család k komponens komponens komponens Osztály b Család 1 komponens komponens komponens Család i komponens komponens komponens Család j komponens komponens komponens Osztály a Csomagok Funkcionális vagy garancia követelmények újrahasználható készlete Opcionális (nem CC) követelmények Védelmi profil Biztonsági rendszerterv