Generelle kriterier

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 2. maj 2015; checks kræver 17 redigeringer .

General Criteria for Information Technology Security Evaluation , Common Criteria for Information Technology Security Evaluation , Common Criteria , CC ) er en international computersikkerhedsstandard [ 3 ] vedtaget i Rusland [  2 ] . I modsætning til FIPS 140 [4] -standarden giver Common Criteria ikke en liste over sikkerhedskrav eller en liste over funktioner, som et produkt skal indeholde. I stedet beskriver den en ramme ( ramme  ) hvor brugere af et computersystem kan beskrive krav, udviklere kan fremsætte påstande om produkters sikkerhedsegenskaber, og sikkerhedseksperter kan afgøre, om et produkt opfylder kravene. Fælles Kriterier giver dig således mulighed for at give betingelser, hvor processen med at beskrive, udvikle og teste et produkt vil blive udført med den nødvendige omhyggelighed.

Prototypen på dette dokument var " Evalueringskriterierne for IT-sikkerhed , ECITS " , som arbejdet påbegyndte i 1990 . 

Grundlæggende begreber

Standarden indeholder to hovedtyper af sikkerhedskrav: funktionelle , pålagt sikkerhedsfunktioner og de mekanismer, der implementerer dem, og sikringskrav , pålagt teknologi og udviklings- og driftprocessen.

For at strukturere kravrummet bruger standarden klasse-familie-komponent-element-hierarkiet: klasser definerer den mest generelle "fag"-gruppering af krav, familier inden for en klasse er forskellige i sværhedsgrad og andre nuancer af krav, en komponent er et minimum kravsæt, der fremstår som en helhed, er element et udeleligt krav.

Funktionelle krav

Funktionelle krav er grupperet baseret på den rolle, de udfører eller det sikkerhedsmål, de tjener, for i alt 11 funktionsklasser (i tre grupper), 66 familier, 135 komponenter.

1. Den første gruppe definerer elementære sikkerhedstjenester:
   1. FAU - revision , sikkerhed (servicekrav, logning og revision);
   2. FIA - Identifikation og Autentificering ;
   3. FRU - ressourceforbrug (for fejltolerance).
2. Den anden gruppe beskriver afledte tjenester implementeret på basis af elementære tjenester:
   1. FCO - kommunikation (kommunikationssikkerhed afsender-modtager);
   2. FPR - privatliv;
   3. FDP - beskyttelse af brugerdata;
   4. FPT - beskyttelse af sikkerhedsfunktionerne for evalueringsobjektet.
3. Den tredje gruppe af klasser er relateret til infrastrukturen for vurderingsobjektet:
   1. FCS - kryptografisk support (giver styring af kryptonøgler og kryptooperationer);
   2. FMT - sikkerhedsstyring;
   3. FTA - adgang til genstanden for evaluering (styring af brugersessioner);
   4. FTP - betroet rute/kanal;

Klasser af funktionelle krav til elementære sikkerhedstjenester

Elementære sikkerhedstjenester omfatter følgende klasser FAU, FIA og FRU.

FAU-klassen omfatter seks familier (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA og FAU_ARP), og hver familie kan indeholde et forskelligt antal komponenter.

Formålet med komponenterne i denne klasse er som følger.

FAU_GEN - Generering af sikkerhedsrevisionsdata. Indeholder to komponenter FAU_GEN.1 (Audit Data Generation) og FAU_GEN.2 (User ID Association).

Tillidskrav

Sikkerhedskrav (tillid) er kravene til teknologien og processen med udvikling og drift af vurderingsobjektet. Opdelt i 10 klasser, 44 familier, 93 komponenter, der dækker forskellige stadier af livscyklussen.

1. Den første gruppe indeholder klasser af krav, der går forud for udviklingen og evalueringen af ​​et objekt:
   1. APE - Evaluering af beskyttelsesprofiler;
   2. ASE - Security Assignment Evaluation.
2. Den anden gruppe er relateret til stadierne af attestationsobjektets livscyklus:
   1. ADV - udvikling, design af et objekt;
   2. ALC - livscyklusstøtte;
   3. ACM - konfigurationsstyring;
   4. AGD - administrator og brugervejledning;
   5. ATE - testning;
   6. AVA - Sårbarhedsvurdering ;
   7. ADO - krav til levering og drift;
   8. AMA - støtte til forsikringskrav, anvendes efter certificering af objektet for overholdelse af de generelle kriterier.

Udviklingshistorie

Forud for udviklingen af ​​"Common Criteria" gik udviklingen af ​​dokumentet "Evaluation Criteria for IT Security" ( eng.  Evaluation Criteria for IT Security, ECITS ), lanceret i 1990 , og udført af arbejdsgruppe 3 i underudvalg 27 af den første fælles tekniske komité (eller JTC1/SC27/WG3) International Organization for Standardization ( ISO ).

Dette dokument tjente som grundlag for at påbegynde arbejdet med dokumentet Fælles kriterier for IT- sikkerhedsevaluering , som begyndte i 1993 .  Regeringsorganisationer fra seks lande ( USA , Canada , Tyskland , Storbritannien , Frankrig , Holland ) deltog i dette arbejde. Følgende institutter deltog i arbejdet med projektet:

1. National Institute of Standards and Technology og National Security Agency ( USA );
2. Communications Security Establishment ( Canada );
3. Informationssikkerhedsagentur ( Tyskland );
4. Udførelsesorganer for it-sikkerhed og certificeringsprogram ( England );
5. Systems Security Center ( Frankrig );
6. National Security Communications Agency ( Holland ).

Standarden blev vedtaget i 2005 af ISO-udvalget og har status som en international standard, identifikationsnummer ISO/IEC 15408 [2] [3] . I fagkredse fik dette dokument efterfølgende et kort navn - engelsk.  Fælles kriterier, CC ; Russisk "Generelle kriterier", OK .

Certificeringstrusselmodel

Certificering af et produkt under de fælles kriterier bekræfter muligvis et vist niveau af produktsikkerhed , afhængigt af trusselsmodellen og miljøet.

I overensstemmelse med certificeringsmetoden bestemmer producenten selv, hvilket miljø og angribermodel produktet befinder sig i. Det er under disse forudsætninger, at produktets overensstemmelse med de deklarerede parametre kontrolleres. Hvis nye, hidtil ukendte sårbarheder opdages i produktet efter certificering , skal producenten frigive en opdatering og gencertificere. I modsat fald skal attesten tilbagekaldes.

Microsoft Windows XP -operativsystemet (Professional SP2 og Embedded SP2) samt Windows Server 2003 [5] [6] [7] [8] blev certificeret til Common Criteria EAL4+-niveauet i henhold til CAPP-profilen [9] i 2005 -2007, efter at servicepakker og nye kritiske sikkerhedsopdateringer blev udgivet regelmæssigt. Windows XP i den testede version var dog stadig EAL4+ certificeret, [5] [6] . Denne kendsgerning vidner til fordel for, at betingelserne for certificering (angriberens miljø og model) blev valgt meget konservativt, hvilket resulterede i, at ingen af ​​de opdagede sårbarheder er gældende for den testede konfiguration.

For rigtige konfigurationer er mange af disse sårbarheder naturligvis farlige. Microsoft anbefaler, at brugerne installerer alle kritiske sikkerhedsopdateringer.

Generelle kriterier i Rusland

I 2002, efter ordre fra formanden for Ruslands Statens Tekniske Kommission, blev følgende retningslinjer [10] sat i kraft , udviklet på grundlag af internationale dokumenter Common Criteria version 2.3:

• "Sikkerhed af informationsteknologier. Kriterier for vurdering af informationsteknologiers sikkerhed”;
• "Sikkerhed af informationsteknologier. Kriterier for evaluering af informationsteknologisikkerhed. Del 2. Funktionelle sikkerhedskrav”;
• "Sikkerhed af informationsteknologier. Kriterier for evaluering af informationsteknologisikkerhed. Del 3. Sikkerhedskrav.

Siden da er certificering af informationsteknologiske produkter i henhold til kravene til sikkerhedsopgaver formelt blevet tilladt i det indenlandske certificeringssystem. Da omfanget (klasser af automatiserede systemer) af sådanne overensstemmelsescertifikater ikke var eksplicit defineret, var en sådan certificering i de fleste tilfælde af reklamekarakter - producenterne foretrak at certificere deres produkter i overensstemmelse med kravene i klassiske retningslinjer.

Siden 2012 har FSTEC i Rusland arbejdet aktivt på at opdatere de lovgivningsmæssige og metodiske rammer for certificering af informationssikkerhedsværktøjer. Specielt blev kravene til følgende typer informationssikkerhedsværktøjer sat i kraft:

• indtrængen detektionssystem; [elleve]
• anti-virus beskyttelse værktøj; [12]
• betroet opstartsværktøj; [13]
• midler til styring af flytbare maskinlagermedier; [fjorten]
• firewall; [femten]
• operativ system. [16]

Kravene til en bestemt type informationssikkerhedsværktøjer er designet som et sæt dokumenter:

• dokument "Krav ...": dokumentet er mærket "til officiel brug" og definerer klasser og typer for en bestemt type produkt;
• sikkerhedsprofiler, der definerer rækken af ​​sikkerhedsfunktionelle krav og sikkerhedskrav afhængigt af produkttype og -klasse.

Beskyttelsesprofiler er tilgængelige. Arkiveret kopi af 20. september 2017 på Wayback Machine på den officielle hjemmeside for FSTEC i Rusland. På nuværende tidspunkt udføres certificeringen af ​​produkter af disse typer kun af FSTEC i Rusland for at overholde de godkendte beskyttelsesprofiler.

Noter

1. ↑ Almindeligt kendt kortere titel
2. ↑ 1 2 GOST R ISO/IEC 15408-3-2013 introduceret siden 2014-09-01 . Dato for adgang: 6. januar 2016. Arkiveret fra originalen 4. marts 2016. (ubestemt)
3. ↑ 1 2 ISO / IEC 15408 - Evalueringskriterier for IT-sikkerhed
4. ↑ FIPS 140  
5. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Arkiveret 21. september 2012 på Wayback Machine XP SP2 Certified, 2007
6. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Arkiveret 6. oktober 2012 på Wayback Machine XP SP2 Certified, 2005
7. ↑ Microsoft Windows modtager EAL 4+ certificering Arkiveret 8. september 2015 på Wayback Machine / Schneier, 2005, baseret på "Windows XP får uafhængig sikkerhedscertificering" / eWeek,  2005-12-14
8. ↑ Windows XP / Server 2003 Common Criteria Evaluation Technical Report Arkiveret 19. juni 2015 på Wayback Machine / Microsoft, 2005 (ZIP, DOC   )
9. ↑ Controlled Access Protection Profile (CAPP), version 1.d, 8. oktober 1999; – ISO/IEC 15408:1999.
10. ↑ Vejledning. Ordre fra formanden for Ruslands Statens Tekniske Kommission af 19. juni 2002 N 187 - FSTEC i Rusland . fstec.ru. Hentet 20. september 2017. Arkiveret fra originalen 20. september 2017. (Russisk)
11. ↑ Informationsbrev fra FSTEC i Rusland (krav til SOV) . Arkiveret fra originalen den 6. oktober 2017. Hentet 20. september 2017.
12. ↑ Informationsbrev fra FSTEC i Rusland (krav til SAVZ) . Arkiveret fra originalen den 23. september 2017. Hentet 20. september 2017.
13. ↑ Informationsbrev fra FSTEC i Rusland (krav til SDZ) . Arkiveret fra originalen den 14. september 2017. Hentet 20. september 2017.
14. ↑ Informationsbrev fra FSTEC i Rusland (krav til SKN) . Arkiveret fra originalen den 14. september 2017. Hentet 20. september 2017.
15. ↑ Informationsbrev fra FSTEC i Rusland (krav til energiministeriet) . Arkiveret fra originalen den 16. september 2017. Hentet 20. september 2017.
16. ↑ Informationsbrev fra FSTEC i Rusland (krav til OS) . Arkiveret fra originalen den 6. oktober 2017. Hentet 20. september 2017.

Links

• Tekst til ISO/IEC 15408-standarder Arkiveret 12. maj 2008 på Wayback Machine , tilgængelig gratis fra  iso.org .
• Officiel hjemmeside for Common Criteria Project  (engelsk)
  •  Liste over Common Criteria-certificerede produkter
• Analytisk materiale fra JSC's kompetencecenter "NPO "Echelon" i henhold til standarden Generelle kriterier Arkivkopi dateret 21. september 2017 på Wayback Machine

ISO standarder
Lister:  Liste over ISO-standarder Liste over ISO-romaniseringer Liste over IEC-standarder Kategorier:  Kategori:ISO-standarder Kategori:OSI-protokoller
1 til 9999	en 2 3 fire 5 6 7 9 16 31 -0 -en -2 -3 -fire -5 -6 -7 -otte -9 -ti -elleve -12 -13 128 216 217 226 228 233 259 269 296 302 306 428 639 -en 646 668 690 732 764 796 843 898 1000 1004 1007 1073-1 1413 1538 1745 2014 2015 2022 2108 2145 2146 2281 2709 2711 2788 3029 3103 3166 -en -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 5218 5775 5776 5964 6166 6344 6346 6425 6429 6438 6523 6709 7001 7002 7098 7185 7388 7498 7736 7810 7811 7812 7813 7816 8000 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 -en -2 -3 -fire -5 -6 -7 -otte -9 -ti -elleve -12 -13 -fjorten -femten -16 ) 8879 9000 9075 9126 9241 9362 9407 9506 9529 9564 9594 9660 9897 9945 9984 9985 9995
10000 til 19999	10006 10118-3 10160 10161 10165 10179 10206 10303 10303-11 10303-21 10303-22 10303-238 10303-28 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 11941 11941(TR) 11992 12006 12164 12182:1998 12207:1995 12207:2008 12234-2 13211 -en -2 13216 13250 13399 13406-2 13407 13450 13485 13490 13567 13568 13584 13616 14000 14031 14396 14443 14496-10 14496-14 ISO 14575 14644 -en -2 -3 -fire -5 -6 -7 -otte -9 14649 14651 14698 14698-2 14750 14882 14971 15022 15189 15288 15291 15292 15408 15444 15445 15438 15504 15511 15686 15693 15706 15706-2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16750 17024 17025 17369 17799 17987 18.000 18004 18014 18245 18629 18916 19005 19011 19092-1 19092-2 19114 19115 19439 19501:2005 19752 19757 19770 19775-1 19794-5
20000+	20.000 20022 21000 21047 21500 21827:2002 22000 23008-2 23270 23360 24613 24707 25964-1 25178 26000 26300 26324 27000 serien 27.000 27001 27002 27003 27004 27005 27006 27007 27729 27799 29199-2 29500 31000 32000 38500 42010 50001 80.000
Se også: Liste over artikler, hvis titler begynder med "ISO"