Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

644 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

  1. 1. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Cisco Confidential 1© 2011 Cisco and/or its affiliates. All rights reserved.Михаил Кадерmkader@cisco.com
  2. 2. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2• Target of Evaluation (ToE) – тестируемое решение, может быть как отдельный продукт, так исовокупность совместно работающих продуктов• Security Target (ST) – определяет тестируемую функциональность и как она должнасоответствовать требованиям по безопасности• Protection Profile (PP) – заранее подготовленные и утвержденные соответствующимиведомствами наборы требования для определенных типов продуктов, например МСЭ, СОВ и т.п.,которым тестируемый продукт должен соответствовать• Evaluation Assurance Level (EAL) – определяет уровень доверия определенного продуктаили решенияEAL2 = частичное тестирование заявленной функциональностиEAL3 = полное тестирование заявленной функциональностиEAL4 = дополнительный анализ необходимых фрагментов исходного кода• Три стадии сертификации (по практике США):IVOR: Начальный анализ решения; результат: статус «в процессе тестирований»TVOR: ТестированиеFVOR: Заключительный анализ результатов; результат: публикация информации о сертификации
  3. 3. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3CCTLValidationReportCCTLTestEvidencePackageFinalizationBU Beta / Final TestDocumentation DevelopmentSource CodeReview*PhaseTasksTimeIVOREvidence DevelopmentSubmit Reportto CCEVSFinalValidationOperationalReviewCCEVSAcceptanceFVOR2 – 4 months 4 to 8 months 2 to 3 monthsTotal time of 9 – 18 monthsLabColor Legend Cisco Consultant or GCT CCEVSFull ProductAssessmentSecurity TargetDevelopmentDevelopmentfor CCBU Assign DevEngr POCs1 to 3 monthsCCEVSAcceptanceIn-EvaluationSite PlanVisitDocumentation EvaluationTVORConceptCommit ExecuteCommit
  4. 4. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4• Письмо о намерениях (обязательно требуется в США)Указывается продукт, нужные профили безопасности и требуемый уровень оценочныйуровень доверия• Security Target – Задание по безопасностиБазируется на профиле безопасности• Guidance Documentation – общая документация по установке инастройке функций безопасности• Development Documentation – документация разработчикаАрхитектура, Функциональная спецификация, прочая документация по дизайну• Test Documentation – тестовая документацияПлан тестирования, сценарии использования, детальные результаты тестирования• Документация по обслуживанию в течении жизненного циклаУправление конфигурацией, устранение уязвимостей и т.п.
  5. 5. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5Обеспечение сертификации Выделение ресурсов для своевременного проведения изавершения сертификации– Инженер-разработчик и инженер-тестер Финансирование– Оплата внешней лаборатории– Оборудование для тестов Разработка дополнительной функциональности управления, еслитребуется для успешного прохождения сертификации– Соответствие профилям безопасности– Методология может различаться для разных продуктов и какпример, включать в себя:Журналырезультаты тестов разработкиуправление паролями и ключами …
  6. 6. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6 Должен быть назначен руководитель группы разработчиков длясопровождения сертифицируемого релиза продукта– Для обеспечения технической достоверности документации– Обеспечения соответствия требованиям определенных уровнейдоверия и профилям безопасности* это может потребовать дополнительной разработки, анализасуществующих ошибок и их исправления Поддержка тестирования:– Помогать с проведением тестирования и формированиемподтверждающей документации в соотвествии с требованиями посертификации– Если необходимо – физическое присутствие в независимойлаборатории во время проведения ею тестирования Аппаратное обеспечение:– Два набора оборудования – один для внутреннего сопровождениясертификации и один для внешней лаборатории Доработка функций по управлению, если требуется для успешногопрохождения сертификации
  7. 7. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Сертификация Common Criteria выполняется для определенныхаппаратных моделей и версий программного обеспечения “Assurance Continuity Maintenance” – процесс поддержания иобновления сертификации без повторного тестирования– Новые аппаратные платформы, на которых работаетпроверенное программное обеспечение– Минимальные изменения программного обеспечения, в первуюочередь исправление ошибок Что требует проведения повторного тестирования:– Новые версии программного обеспечения, особенно те, гдебыла добавлена или убрана функциональность с точки зрениябезопасности
  8. 8. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8• На сайте Ciscowww.cisco.com/go/securitycert• На сайте CCEVS (Common Criteria Evaluationand Validation Scheme)http://www.niap-ccevs.org/
  9. 9. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

×