Aplikační bezpečnost
Ing. Vladimír Lazecký
vladimir.lazecky@viavis.cz
Common Criteria (ISO/IEC 15408) – zdroj informací
https://www.commoncriteriaportal.org/
Zdroj informací – zastaralé, ale stejné principy
https://www.cisa.gov/uscert/bsi/articles/best-practices/requirements-
engineering/the-common-criteria
Zdroje informací ČR, paradoxy normativů…
https://www.technicke-normy-csn.cz/csn-iso-iec-15408-3-369789-199760.html
− Ověření/validace že:
− Systém splňuje definované bezpečnostní požadavky
− CC jsou více zaměřeny na ověření/validaci
− CC jsou méně orientovány na způsob realizace bezpečnostních požadavků
− Inspirace pro způsob řízení a vedení vývoje
Cíle CC
− Tvoří rámec, ve kterém:
− Uživatelé specifikují požadavky
− Výrobci tyto požadavky implementují a prohlašují o výrobku, že je splňuje
− Testováním je vyhodnoceno, že produkt je takový, za jaký je prohlášen
− Common Criteria poskytují záruku, že proces specifikace, implementace a
evaluace ICT produktu byl proveden přesným a standardním postupem.
CC – ISO/IEC 15408
• ISO/IEC 15408 1-3
• Česká verze
– ČSN ISO/IEC15408-1 – Úvod a všeobecný model
– ČSN ISO/IEC15408-2 – Bezpečnostní funkční požadavky
– ČSN ISO/IEC15408-3 – Požadavky na záruky bezpečnosti
CC – ISO/IEC 15408
− Target of Evaluation TOE – předmět hodnocení
– IT produkt, systém nebo jejich část podléhající hodnocení
– Cílem hodnocení TOE je ověření, zda jsou splněny všechny požadavky,
specifikace bezpečnosti
– Prokázání shody s implementovaným vzorem
Základní pojmy CC
− PP - bezpečnostní profil:
− Definice implementačně nezávislé sady požadavků a cílů pro třídu produktů
nebo systémů, které odpovídají obdobným uživatelským potřebám informační
bezpečnosti s ohledem na hrozby existující ve specifickém prostředí
− PP byly vyvinuty pro různé produkty - databáze, firewally, čipové karty…
Základní pojmy – ProtecPon Profile
Pro inspiraci – Protection Profile
https://www.niap-ccevs.org/profile/Info.cfm?PPID=420&id=420
Pro inspiraci – Protection Profile
https://www.commoncriteriaportal.org/pps/
Pro inspiraci – ProtecPon Profile
https://www.commoncriteriaportal.org/files/ppfiles/pp00
62b_pdf.pdf
− ST - Security Target – bezpečnostní cíl:
− Specifikace a požadavky na informační bezpečnost pro konkrétní systém nebo
produkt
− Nad rámec PP obsahuje popis bezpečnostních funkcí TOE s vysvětlením
požadavků na záruky
− Je používán jako základ pro hodnocení TOE.
Základní pojmy – Security Target
− Hodnocení:
− Etalon hodnocení je ST (Security Target)
− Vstup je ST, množina důkazů ohledně TOE a vlastní TOE
− Výstup je potvrzení, že ST jsou naplněny prostřednictvím TOE
− Hodnocení je sada dokumentů
− Provoz – může vyvolat požadavek na opětovné hodnocení (unikátní prostředí)
Základní pojmy - hodnocení
General model
Figure 2 - Security concepts and relationships
195 Safeguarding assets of interest is the responsibility of owners who place
value on those assets. Actual or presumed threat agents may also place value
on the assets and seek to abuse assets in a manner contrary to the interests of
the owner. Examples of threat agents include hackers, malicious users, nonmalicious
users (who sometimes make errors), computer processes and
accidents.
Základní bezpečnostní koncept – zdroj CC
cases these catalogues will refer to the IT products that the TOEs are
derived from rather than the specific TOE. Therefore, the existence of
an IT product in a catalogue should not be construed as meaning that
the whole IT product has been evaluated; instead the actual extent of
the ST/TOE evaluation is defined by the ST.
Figure 4 - Evaluation results
STs may be based on packages, evaluated PPs or non-evaluated PPs however
this is not mandatory, as STs do not have to be based on anything at
all.
Principy hodnocení – zdroj CC
− ST – dohoda mezi uživateli, vývojáři a evaluačními autoritami – jakou bezpečnost
TOE nabízí, rozsah hodnocení..
− Struktura dokumentu ST
− Úvod
− Popis TOE
− Bezpečnostní prostředí TOE
− Bezpečnostní cíle
− Požadavky na bezpečnost IT
− Požadavky uplatňované v PP
− Shrnun specifikací TOE
− Zdůvodnění
Security Target
− TSP (TOE Security Policy) – bezpečnostní politika hodnoceného předmětu:
− Pravidla pro správu, ochranu a distribuci aktiv v rámci TOE
− TSF (TOE Security Functions) – bezpečnostní funkcionalita hodnoceného
předmětu:
− Všechny části (HW a SW) TOE, jejichž činnosti se vztahují k prosazení pravidel
TSP
Základní pojmy TSP, TSF
ü Uživatelé – základní informace a reference
ü Vývojáři - základní informace a reference pro vývoj požadavků a
formulace bezpečnostních specifikací pro TOE
ü Hodnotitelé - základní informace a reference. Popis struktury pro PP a
ST
ISO/IEC 15408 – 1 Část I. – Úvod a obecný model - určení
− Uživatelé – návod a reference pro formulaci vyjádření požadavků na
bezpečnostní funkce
− Vývojáři – reference pro interpretaci vyjádření funkčních požadavků a formulaci
funkčních specifikací TOE
− Hodnotitelé – závazné vyjádření evaluačních kritérií pro určení, zda TOE účinně
vyhovuje požadovaným bezpečnostním funkcím
ISO/IEC 15408 – 1 Část II. – Požadavky a bezpečnostní funkce
− Uživatelé - návod k určení požadovaných úrovní bezpečnostních záruk
− Vývojáři – reference pro interpretaci vyjádření požadavků na záruky a určení
přístupu TOE k bezpečnostním zárukám
− HodnoOtelé - závazné vyjádření evaluačních kritérií pro určení bezpečnostních
záruk
ISO/IEC 15408 – 1 Část III. – Požadavky na bezpečnostní záruky
− Zahrnuje:
− Bezpečnostní prostředí – zákony, bezpečnostní politika, hrozby v prostředí
− Bezpečnostní plány – záměry odolat identifikovaným hrozbám a/nebo naplnit
předpoklady a záměry bezpečnostní politiky
− Bezpečnostní požadavky TOE – rozpracování bezpečnostních plánů do sady
technických bezpečnostních požadavků na bezpečnostní funkce a záruky
− Bezpečnostní specifikace TOE – definice aktuálních nebo navrhnutých
implementací TOE
− Implementace TOE – realizace TOE v souladu s jeho specifikací
Bezpečnostní rámec
− FAU (Security Audit) – bezpečnostní audit
− FCO (Communication) - komunikace
− FCS (Cryptographic Support) - kryptografická podpora
− FDP (User Data Protection) - ochrana dat uživatelů
− FIA (Identification and Authentication) - identifikace a autentizace,
− FMT (Security Management) - management bezpečnosti
− FPR (Privacy) - soukromí
− FPT (Protection of TSF) - ochrana TSF
− FRU (Resource Utilisation) - použití zdrojů
− FTA (TOE Access) - přístup k TOE,
− FTP (Trusted Path/Channel) - bezpečný komunikační kanál
11 tříd požadavků na bezpečnostní funkce
Třída obecných požadavků na bezpečnostní záruky
− Třída ACM (Configuration Management) - správa konfigurace (udržování
integrity bezpečnostních parametrů TOE)
− Třída ADO (Delivery and Operation) - dodávka, instalace a provoz
− Třída ADV (Development) - vývoj TOE
− Třída AGD (Guidance Documents) - obsah bezpečnostní dokumentace
− Třída ALC (Life Cycle Support) - podpora životního cyklu TOE
− Třída ATE (Tests) - rozsah, hloubka a nezávislost testů TOE
− Třída AVA (Vulnerability Assessment) - zranitelnost TOE (analýza skrytých
kanálů a jiných zranitelných míst)
Katalog požadavků na bezpečnostní záruky
− Třída uchování záruk:
− Třída AMA (Maintenance of Assurance) - údržba záruk (zachování záruk po
možných změnách v provozním prostředí)
Katalog požadavků na bezpečnostní záruky
− Kritéria pro hodnocení PP a ST:
− Třída APE (Protection Profile Evaluation) - hodnocení profilu bezpečnosti (PP)
prokazuje jeho vhodnost a kvalitu
− Třída ASE (Security Target Evaluation) - hodnocení cílů bezpečnosti (ST)
vzhledem ke všem požadavkům spojeným s tímto cílem
Katalog požadavků na bezpečnostní záruky
− Speciální účelová sada – úrovně hodnocení záruk – množiny komponent z rodin
požadavků na bezpečnostní záruky:
− Rovnoměrné uspořádání požadavků směřující k vyváženému pohledu na míru
důvěry v korektnost TOE
− Úrovně záruk jsou určeny k zajištění pětné kompatibility se „zdrojovými“
kritérii
− Vnitřní konzistence účelových sad bezpečnostních záruk (assurance packages)
Katalog požadavků na bezpečnostní záruky
EAL1: Funkčně testováno - poskytuje jistou míru důvěry na základě
funkční specifikace, vymezení rozhraní a zpracování dokumentace
EAL2: Strukturovaně testováno - nezávislé testování. Vývoj rozšířen o
neformální popis architektury a popis ošetření běžných útoků
EAL3: Metodicky testováno a kontrolováno - maximální záruky na základě
osvědčeného svědomitého přístupu k vývojovému procesu (bez
navýšení náročnosti)
EAL4: Metodicky navrženo, testováno a kontrolováno - vyžaduje velmi
kvalitní vývojové praktiky, které ale nevyžadují speciální znalosti a
zdroje. Detailní popis návrhu s doložením odolnosti proti útoků s
omezenými zdroji. EAL4 je nejvyšší úrovní na komerční únosnosti.
Úrovně záruk EAL1 – EAL7
EAL5: Poloformálně navrženo a testováno – vyžaduje zapojení specializovaných
metod vývoje (formální model). Vyžaduje strukturovaný návrh a základní analýzu
skrytých kanálů
EAL6: Poloformálně ověřený a testovaný návrh - vychází z modulárního
vrstveného návrhu. Vývoj v max. řízeném prostředí. Vysoká odolnost pro| útokům
EAL7: Formálně ověřený a testovaný návrh - vychází z plně formálního návrhu.
Vývoj vyžaduje nesmírné náklady - prak|cky nepoužitelné
Úrovně záruk EAL 1 – EAL 7
− Navrhněme:
− TOE – Target of Evaluation
− SP – Security Profile
− Vše co možná nejvíce prakticky…
Tolik teorie, pojďme si to zkusit…
164 As far as the CC is concerned, the precise relation between the TOE and any
IT products is only important in one aspect: the evaluation of a TOE
containing only part of an IT product should not be misrepresented as the
evaluation of the entire IT product.
165 Examples of TOEs include:
A software application;
An operating system;
A software application in combination with an operating system;
A software application in combination with an operating system and
a workstation;
An operating system in combination with a workstation;
A smart card integrated circuit;
The cryptographic co-processor of a smart card integrated circuit;
A Local Area Network including all terminals, servers, network
equipment and software;
A database application excluding the remote client software normally
associated with that database application;
TOE - Target of Evaluation
− POZOR – nutná definice z pohledů:
− Uživatel
− Vývojář
− Hodnotitel
Target of Evaluation
− Analýza rizik pomůže
− Aktiva a jejich hodnota
− Zranitelnost
− Hrozba a její dopad
− Míra rizika
− Protiopatření – definice požadavku
Security Target – jak na něj ale prakPcky
Máte nějaké dotazy?
Děkuji za pozornost
Ing. Vladimír Lazecký