Zertifizierte IT-Sicherheitnach Common Criteria - ISO/IEC 15408Dr. Jens Oberender| SRC security research & consulting GmbH...
Agenda• Sicherheits-Zertifikate und Anerkennung• Vom Problem zum IT-Sicherheits-Produkt• Schwachstellen-Analyse           ...
Zertifikat (Common Criteria)   Bundesamt für Sicherheit in der           Der abgregrenzte      Informatikstechnik (BSI)   ...
Anerkennung              4
Security Problem Definition                       Organisatorische Bedrohungen         Sicherheitspolitiken   Annahmen  Si...
Bsp.: Security Problem Definition    • Threat      Unkontrollierter Informationsfluss    • Security Objective of the TOE  ...
Nachweise nachvollziehen                           7
Schwachstellen-Analyse•   Angriffspfade bewerten                                          Man-in-the-                     ...
CCProdukte• Digitaler Tachograph• Elektronischer ReisepassZusammenfassung• Zusicherung (‚Assurance‘)  in die Sicherheit vo...
Nächste SlideShare
Wird geladen in …5
×

Überblick Common Criteria

717 Aufrufe

Veröffentlicht am

SRC security research & consulting

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
717
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
41
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Überblick Common Criteria

  1. 1. Zertifizierte IT-Sicherheitnach Common Criteria - ISO/IEC 15408Dr. Jens Oberender| SRC security research & consulting GmbH 1
  2. 2. Agenda• Sicherheits-Zertifikate und Anerkennung• Vom Problem zum IT-Sicherheits-Produkt• Schwachstellen-Analyse 2
  3. 3. Zertifikat (Common Criteria) Bundesamt für Sicherheit in der Der abgregrenzte Informatikstechnik (BSI) Evaluierungsgegenstand (EVG, Behördliche Zustimmung der sicherheitskritische Teil) über die Sicherheit eines Produkts Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder b) zugesicherte Eigenschaften der Umwelt des EVG gemäß einer UntersuchungstiefeEvaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung und im Bezug auf die Produktklasse Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR) 3
  4. 4. Anerkennung 4
  5. 5. Security Problem Definition Organisatorische Bedrohungen Sicherheitspolitiken Annahmen Sicherheitsziele Sicherheitsziele für für den EVG die EVG UmgebungAnforderungen an dieSicherheitsfunktionen des EVGSicherheitsfunktionen des EVG © SRC/BSI 5
  6. 6. Bsp.: Security Problem Definition • Threat Unkontrollierter Informationsfluss • Security Objective of the TOE Regelbasiertes Filtern von Nachrichten • Security Functional Requirement • Security Flow Policy • FDP_IFC.1 Subset information flow control The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and operations covered by the SFP …] •FDP_IFF.1 Simple security attributes • Sicherheitsfunktion: Einsatz von iptables 6
  7. 7. Nachweise nachvollziehen 7
  8. 8. Schwachstellen-Analyse• Angriffspfade bewerten Man-in-the- Middle Hardware © Steven Murdoch © Lars Gierlichs Power Analysis 8
  9. 9. CCProdukte• Digitaler Tachograph• Elektronischer ReisepassZusammenfassung• Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten • Evaluierungsgegenstand | Umgebung • Evaluation Assurance Levels• Vertrauen schaffen jens.oberender@src-gmbh.de 9

×