Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

524 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
524
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

  1. 1. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Cisco Confidential 1© 2011 Cisco and/or its affiliates. All rights reserved.Михаил Кадерmkader@cisco.com
  2. 2. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2• Target of Evaluation (ToE) – тестируемое решение, может быть как отдельный продукт, так исовокупность совместно работающих продуктов• Security Target (ST) – определяет тестируемую функциональность и как она должнасоответствовать требованиям по безопасности• Protection Profile (PP) – заранее подготовленные и утвержденные соответствующимиведомствами наборы требования для определенных типов продуктов, например МСЭ, СОВ и т.п.,которым тестируемый продукт должен соответствовать• Evaluation Assurance Level (EAL) – определяет уровень доверия определенного продуктаили решенияEAL2 = частичное тестирование заявленной функциональностиEAL3 = полное тестирование заявленной функциональностиEAL4 = дополнительный анализ необходимых фрагментов исходного кода• Три стадии сертификации (по практике США):IVOR: Начальный анализ решения; результат: статус «в процессе тестирований»TVOR: ТестированиеFVOR: Заключительный анализ результатов; результат: публикация информации о сертификации
  3. 3. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3CCTLValidationReportCCTLTestEvidencePackageFinalizationBU Beta / Final TestDocumentation DevelopmentSource CodeReview*PhaseTasksTimeIVOREvidence DevelopmentSubmit Reportto CCEVSFinalValidationOperationalReviewCCEVSAcceptanceFVOR2 – 4 months 4 to 8 months 2 to 3 monthsTotal time of 9 – 18 monthsLabColor Legend Cisco Consultant or GCT CCEVSFull ProductAssessmentSecurity TargetDevelopmentDevelopmentfor CCBU Assign DevEngr POCs1 to 3 monthsCCEVSAcceptanceIn-EvaluationSite PlanVisitDocumentation EvaluationTVORConceptCommit ExecuteCommit
  4. 4. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4• Письмо о намерениях (обязательно требуется в США)Указывается продукт, нужные профили безопасности и требуемый уровень оценочныйуровень доверия• Security Target – Задание по безопасностиБазируется на профиле безопасности• Guidance Documentation – общая документация по установке инастройке функций безопасности• Development Documentation – документация разработчикаАрхитектура, Функциональная спецификация, прочая документация по дизайну• Test Documentation – тестовая документацияПлан тестирования, сценарии использования, детальные результаты тестирования• Документация по обслуживанию в течении жизненного циклаУправление конфигурацией, устранение уязвимостей и т.п.
  5. 5. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5Обеспечение сертификации Выделение ресурсов для своевременного проведения изавершения сертификации– Инженер-разработчик и инженер-тестер Финансирование– Оплата внешней лаборатории– Оборудование для тестов Разработка дополнительной функциональности управления, еслитребуется для успешного прохождения сертификации– Соответствие профилям безопасности– Методология может различаться для разных продуктов и какпример, включать в себя:Журналырезультаты тестов разработкиуправление паролями и ключами …
  6. 6. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6 Должен быть назначен руководитель группы разработчиков длясопровождения сертифицируемого релиза продукта– Для обеспечения технической достоверности документации– Обеспечения соответствия требованиям определенных уровнейдоверия и профилям безопасности* это может потребовать дополнительной разработки, анализасуществующих ошибок и их исправления Поддержка тестирования:– Помогать с проведением тестирования и формированиемподтверждающей документации в соотвествии с требованиями посертификации– Если необходимо – физическое присутствие в независимойлаборатории во время проведения ею тестирования Аппаратное обеспечение:– Два набора оборудования – один для внутреннего сопровождениясертификации и один для внешней лаборатории Доработка функций по управлению, если требуется для успешногопрохождения сертификации
  7. 7. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Сертификация Common Criteria выполняется для определенныхаппаратных моделей и версий программного обеспечения “Assurance Continuity Maintenance” – процесс поддержания иобновления сертификации без повторного тестирования– Новые аппаратные платформы, на которых работаетпроверенное программное обеспечение– Минимальные изменения программного обеспечения, в первуюочередь исправление ошибок Что требует проведения повторного тестирования:– Новые версии программного обеспечения, особенно те, гдебыла добавлена или убрана функциональность с точки зрениябезопасности
  8. 8. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8• На сайте Ciscowww.cisco.com/go/securitycert• На сайте CCEVS (Common Criteria Evaluationand Validation Scheme)http://www.niap-ccevs.org/
  9. 9. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

×