Als PDF, PPTX herunterladen
![Bsp.: Security Problem Definition
• Threat
Unkontrollierter Informationsfluss
• Security Objective of the TOE
Regelbasiertes Filtern von Nachrichten
• Security Functional Requirement
• Security Flow Policy
• FDP_IFC.1 Subset information flow control
The TSF shall enforce the [assignment: information flow
control SFP] on [assignment: subjects, information, and
operations covered by the SFP …]
•FDP_IFF.1 Simple security attributes
• Sicherheitsfunktion: Einsatz von iptables
6](https://image.slidesharecdn.com/sbpassau20111cc-111130134641-phpapp02/85/Uberblick-Common-Criteria-6-320.jpg)
Hochgeladen vonJens Oberender
Überblick Common Criteria
Das Dokument behandelt die Zertifizierung von IT-Sicherheit gemäß den Common Criteria (ISO/IEC 15408), einschließlich der Sicherheitsanalysen und der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es erläutert die Bedeutung der Security Problem Definition (SPD) und die Evaluation Assurance Levels (EAL), welche die methodische Überprüfung der Sicherheitsfunktionen eines Produkts definieren. Zudem werden Beispiele für sichere Produkte wie digitale Tachographen und elektronische Reisepässe gegeben, um das Vertrauen in IT-Sicherheit zu stärken.
Überblick Common Criteria
- 1. Zertifizierte IT-Sicherheit nach CommonCriteria - ISO/IEC 15408 Dr. Jens Oberender | SRC security research & consulting GmbH 1
- 2. Agenda • Sicherheits-Zertifikate undAnerkennung • Vom Problem zum IT-Sicherheits-Produkt • Schwachstellen-Analyse 2
- 3. Zertifikat (Common Criteria) Bundesamt für Sicherheit in der Der abgregrenzte Informatikstechnik (BSI) Evaluierungsgegenstand (EVG, Behördliche Zustimmung der sicherheitskritische Teil) über die Sicherheit eines Produkts Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder b) zugesicherte Eigenschaften der Umwelt des EVG gemäß einer Untersuchungstiefe Evaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung und im Bezug auf die Produktklasse Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR) 3
- 4.
- 5. Security Problem Definition Organisatorische Bedrohungen Sicherheitspolitiken Annahmen Sicherheitsziele Sicherheitsziele für für den EVG die EVG Umgebung Anforderungen an die Sicherheitsfunktionen des EVG Sicherheitsfunktionen des EVG © SRC/BSI 5
- 6. Bsp.: Security ProblemDefinition • Threat Unkontrollierter Informationsfluss • Security Objective of the TOE Regelbasiertes Filtern von Nachrichten • Security Functional Requirement • Security Flow Policy • FDP_IFC.1 Subset information flow control The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and operations covered by the SFP …] •FDP_IFF.1 Simple security attributes • Sicherheitsfunktion: Einsatz von iptables 6
- 7.
- 8. Schwachstellen-Analyse • Angriffspfade bewerten Man-in-the- Middle Hardware © Steven Murdoch © Lars Gierlichs Power Analysis 8
- 9. CC Produkte • Digitaler Tachograph •Elektronischer Reisepass Zusammenfassung • Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten • Evaluierungsgegenstand | Umgebung • Evaluation Assurance Levels • Vertrauen schaffen jens.oberender@src-gmbh.de 9