ISO15408, Common Criteria 2.x - Overview

Pós-Graduação 2009
ISO 15408 (CC)

Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
jairo.pereira@gmail.com

Índice ISO-15408

1. Timeline
2. Introdução
3. Níveis de Segurança
4. Preocupações
5. Passos para implementação
6. Especificação de Segurança
7. Ambiente de desenvolvimento
8. Trilha de Auditoria – Exemplo
9. Não implementação
10. Conclusão
11. Homework
12. Links
13. Dúvidas

36 CON – A3

Introdução

Linha do tempo...

DoD, Ware (RS)  1967  Security Control for
Computer System
CIA , Weissmann (OST)  67-68  ADEPT-50
USAF, Anderson (TR)  1972  Computer Security
Technology Planning Study
J.P.A., La Padula, Bell (SB)  72-73  Doctrine
ESD/USAF, R. Schell, (T&E)  1973  Security Kernel
DoD “Computer Sec Initiative”  1977  Security Classical Problems
DoD, Roger Schell via CSI  1978  Orange Book (TCSEC)
DoD & NCSC  83-95  The Rainbow Series
Fusão/Draft, CC 2.1 (SO 15408)  96,99  TCSEC, CTCPEC e ITSEC
Updates...  96-08  ISO 15408:2008

37 CON – A3

Introdução

 ISO 15408 (Commom Criteria)

• Part 1: Introduction and general model
Discute definições e metodologia

• Part 2: Security functional components
Lista requisitos de segurança

• Part 3: Security assurance components
Lista metodologias de avaliação

38 CON – A3

Introdução


• Especificar critérios de segurança para aplicações (D/T)
 Fornece conjunto de critérios fixos;
 Definir segurança da aplicação para o usuário-final;

• Comitê Internacional do Commom Criteria
 Criado para evitar diversos padrões divergentes;

• Estabelece escopo para Security Target (ST)
 Quais controles de segurança o TOE (produto) deve satisfazer;

• Estabeleve Protection Profile (PP)
 Uma versão do ST mais específica, aplicado para validar condições
de segurança em “perfis de dispositivos”
39 CON – A3

Níves de garantia


• Define 7 níveis de classificação de Segurança:

- Evaluation Assurance Level – EAL 1
Evaluation Assurance Level – EAL 2
} Reconhecidos pela ISO
e aplicáveis ao TOE.

+
} Extremamente rígidos!
Na prática, inviáveis.

40 CON – A3

Níves de garantia


• Define 7 níveis de classificação de Segurança:

- EAL 1 – Funcionalmente testado
EAL 2 – Estruturalmente testado
EAL 3 – Metodicamente testado e verificado
EAL 4 – Metodicamente projetado, testado e verificado

EAL 5 – Semi-formalmente projetado e testado
EAL 6 – Semi-formalmente projetado, testado e verificado
+ EAL 7 – Formalmente projetado, testado e verificado
41 CON – A3

Níves de garantia


• “Avaliações Técnicas” podem incluir:

1. analysis and checking of processes and procedures (applied?);
2. analysis of the correspondence between TOE design/requiments;
3. verification of proofs;
4. analysis of guidance documents;
5. analysis of functional tests developed and the results provided;
6. independent functional testing;
7. analysis for vulnerabilities (including flaw/error hypothesis);
8. penetration testing.

42 CON – A3

Níves de garantia


EAL-1

43 CON – A3

Níves de garantia


EAL-1

44 CON – A3

Níves de garantia


45 CON – A3

Níves de garantia

46 CON – A3

Preocupações


:: 3 preocupações básicas em desenvolvimento

1. Segurança do ambiente de desenvolvimento
Segurança código-fonte, controle, disponibilidade...

2. Segurança da aplicação desenvolvida
Código sem falhas, sem backdoors, documentado...

3. Garantia “conjunta” da aplicação desenvolvida
De acordo com especificado, testada, analisada...

47 CON – A3

Passos - Implementação


:: Avaliar TOE “novos” e “existentes”. Passos:

1. Especifique a Segurança da aplicação – Fase de Análise
- Gere documento de especificação da segurança;
- Utilize a 15408 como base e seus requisitos descritos;
- Utilize a mesma estrutura de análise do/para ambiente.

2. Mantenha ambientes de desenvolvimento/teste seguros
- Capaz de atender a 15408
- Utilize EAL-3. Considerado um bom começo!

48 CON – A3



:: Avaliar TOE “novos” e “existentes”. Passos:

3. Defina metas para “boas práticas de programação”
- Obedeça requisitos;
- Produza documentação decente;
- Utilize “crítica de dados”.

4. Submeta seu sistema a testes internos;
- Escolha um dos níveis de garantia;
- Gere evidências – valide sua aderência a especificação.

49 CON – A3



:: Se for “aplicações/sistemas” existentes...

1. Defina a especificação de Segurança para a aplicação
- Use a 15408 como base de análise  defina objetivo!

2. Defina quais os “requisitos de segurança” presentes
- Na aplicação e no ambiente de desenvolvimento
- Valide se os implementados atendem os requisitados

3. Defina um nível de Segurança (EAL-1  EAL-3)
- Considere limitações dos testes em aplicações prontas
50 CON – A3

Especificação de Segurança


:: Descubra porque o TOE “demanda” segurança

1. Aspectos Legais e/ou ameaças conhecidas do “negócio”
- Podem demandar controles adicionais

2. Após mapeamento dos requisitos legais e ameaças
- Consolide objetivos de Segurança
- Persiga esses “requisitos base” a serem atendidos
- Defina a estratégia para atingir os objetivos!

51 CON – A3

Especificação de Segurança


:: Mecanismos CC – Atendimento dos objetivos

 Dividido em “12 Famílias de Atributos”;
 Proteção de Dados dos Usuários;
 Criptografia;
 Gerenciamento de Segurança

 Exigências são baseadas no nível a ser avaliado;
 EAL

52 CON – A3

Ambiente Desenvolvimento – EAL3


• ACM_CAP3 Controle de versão autorizado;
• ACM_SCP.1 Abrangência da Gerência de Configuração;
• ADO_DEL.1 Procedimento de Entrega;
• AGD_USR.1 Documentação do usuário do sistema;
• ALC_DVS.1 Identificação de Medidas de Segurança;
• ATE_FUN.1 Teste Funcional;
• ATE_IND.2 Teste Independente por Amostragem;
• ATE_COV.2 Análise da Abrangência dos Testes;
• AVA_MSU.1 Análise do uso inapropriado;
• AVA_VLA.1 Análise de Vulnerabilidade;
• AVA_SOF.1 Avaliação de ataques por força bruta
...
53 CON – A3

Prevendo “trilhas auditoria”, FAU


$timestampToken = date("Y/m/d H:i:s");
query = “select id from LocalUserTable where loginName = ‘$loginName’ and
passCode = ‘$passCode’”;

$stmt = oci_parse( $conn, $query ); oci_exec( $stmt );

if (oci_fetchinto( $stmt, $result, OCI_ASSOC ) == FALSE)
{
syslog(LOG_WARNING, “$timestampToken Acesso negado: $loginName
$_SERVER[‘REMOTE_ADDR’] ($_SERVER [‘HTTP_USER_AGENT´])");
// Registrar autenticacao falha, reportar erro e retornar tela login
...
}
else
{
syslog(LOG_NOTICE, “$timestampToken Acesso OK: $loginName
$_SERVER[´REMOTE_ADDR´] ($_SERVER [‘HTTP_USER_AGENT’])");
setcookie("TestCookie", time()+3600);
// Registrar autenticacao OK + identidade em cookie e direcionar acesso
...
}

54 CON – A3

Quando não implementado!


• Priorização dos “Requisitos Funcionais”;
• Falta cultura/preparo da equipe desenvolvimento;
• Projeto e tempo precários;
• Falta de informação sobre existência;
• Limitações financeiras;
• Terceirizam segurança para outras camadas;
...
55 CON – A3

Conclusão


• Segurança de infra-estrutura torna-se inviável com
aplicações inseguras;
• 15408 é referência internacional para desenvolvimento,
avaliação e segurança em "sistemas e produtos";
• Provê definições (P1), requisitos (P2) e metodologias de
avaliação (P3)  Produto dentro do “esperado”
• Foco sistemas/aplicações ou produtos, não corporativo!

56 CON – A3

Cartoon

OOXML…

57 CON – A3

Homework

 ISO 15408  X  2700x.

?
58 CON – A3

Links

http://www.niap-ccevs.org/cc-scheme/dd_docs/
http://www.commoncriteriaportal.org
http://www.iso.org
http://ultimainstancia.uol.com.br
http://www.opiceblum.com.br
http://www.truzzi.com.br
http://legislacao.planalto.gov.br
http://www.stf.gov.br
http://www.aasp.org

59 CON – A3

Dúvidas ?

60 CON – A3

ISO15408, Common Criteria 2.x - Overview

Mais conteúdo relacionado

Destaque

Semelhante a ISO15408, Common Criteria 2.x - Overview

ISO15408, Common Criteria 2.x - Overview