Überblick Common Criteria

793 views

Published on

SRC security research & consulting

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
793
On SlideShare
0
From Embeds
0
Number of Embeds
39
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Überblick Common Criteria

  1. 1. Zertifizierte IT-Sicherheitnach Common Criteria - ISO/IEC 15408Dr. Jens Oberender| SRC security research & consulting GmbH 1
  2. 2. Agenda• Sicherheits-Zertifikate und Anerkennung• Vom Problem zum IT-Sicherheits-Produkt• Schwachstellen-Analyse 2
  3. 3. Zertifikat (Common Criteria) Bundesamt für Sicherheit in der Der abgregrenzte Informatikstechnik (BSI) Evaluierungsgegenstand (EVG, Behördliche Zustimmung der sicherheitskritische Teil) über die Sicherheit eines Produkts Das Security Problem Definition (SPD) wird vollständig abgedeckt durch: a) Sicherheitsfunktionen des EVG oder b) zugesicherte Eigenschaften der Umwelt des EVG gemäß einer UntersuchungstiefeEvaluation Assurance Level (EAL) 4: Methodisches Vorgehen, z.B. Nachvollziehen von SPD bis zur Implementierung und im Bezug auf die Produktklasse Ein Schutzprofil definiert SPD und Security Functional Requirements (SFR) 3
  4. 4. Anerkennung 4
  5. 5. Security Problem Definition Organisatorische Bedrohungen Sicherheitspolitiken Annahmen Sicherheitsziele Sicherheitsziele für für den EVG die EVG UmgebungAnforderungen an dieSicherheitsfunktionen des EVGSicherheitsfunktionen des EVG © SRC/BSI 5
  6. 6. Bsp.: Security Problem Definition • Threat Unkontrollierter Informationsfluss • Security Objective of the TOE Regelbasiertes Filtern von Nachrichten • Security Functional Requirement • Security Flow Policy • FDP_IFC.1 Subset information flow control The TSF shall enforce the [assignment: information flow control SFP] on [assignment: subjects, information, and operations covered by the SFP …] •FDP_IFF.1 Simple security attributes • Sicherheitsfunktion: Einsatz von iptables 6
  7. 7. Nachweise nachvollziehen 7
  8. 8. Schwachstellen-Analyse• Angriffspfade bewerten Man-in-the- Middle Hardware © Steven Murdoch © Lars Gierlichs Power Analysis 8
  9. 9. CCProdukte• Digitaler Tachograph• Elektronischer ReisepassZusammenfassung• Zusicherung (‚Assurance‘) in die Sicherheit von IT-Produkten • Evaluierungsgegenstand | Umgebung • Evaluation Assurance Levels• Vertrauen schaffen jens.oberender@src-gmbh.de 9

×