Common Criteria szerinti értékelések

lehetőségei Magyarországon

Krasznay Csaba

Tartalom

• Mi az a Common Criteria?

• Miért jó a gyártónak és a vevőnek?

• Lehetőségek Magyarországon

Napjaink kihívásai

• A vásárlók egyre több, IT biztonsághoz szükséges eszközhöz férnek hozzá, melyek különböző képességekkel rendelkeznek.

• A vásárlóknak dönteniük kell, hogy milyen eszközök alkalmasak informatikai rendszerük kielégítő védelmére.

• Hatás: a termékek kiválasztása befolyásolja az egész informatikai rendszer biztonságát.

Alapok

A biztonságos rendszerek építése tehát függ a következőktől:

• Jól meghatározott IT biztonsági követelmények és specifikációk– Tulajdonképpen milyen biztonsági funkciókat is

akarunk?

• Minőségi biztonsági mérőszámot és megfelelő tesztelést, értékelést, felmérést kell alkalmazni– Biztosítékot akarunk arra, hogy amit kapunk, az

tényleg az, amit kértünk.

Mi a CC?

• Nemzetközileg elfogadott keretrendszer az IT biztonság területén– Közös struktúra és nyelv a termékek/rendszerek IT

biztonsági követelményeinek kifejezésére– Szabványos IT biztonsági követelmény összetevők és

csomagok gyűjteménye

• Nemzetközileg elfogadott értékelési módszertan, besorolási rendszer

• ISO szabvány (ISO/IEC 15408)

Mit fed le a CC?

• Olyan IT rendszerek és termékek biztonsági tulajdonságainak a specifikációja, melyek a következőket valósítják meg:– confidentiality: bizalmasság,– integrity: sértetlenség,– availability: rendelkezésre állás.

• Független értékelések eredményeinek az összehasonlíthatósága

• Hardverben, szoftverben és förmverben implementált védelmi intézkedésekre vonatkoztatható– technológia-független– a fejlesztő által kívánt kombinációk határozhatók meg

Mit nem fed le a Common Criteria?• A személyi és fizikai biztonsági

intézkedések implementációjának vizsgálatát

• Szervezeti biztonsági intézkedések vizsgálatát

• A CC felhasználását– adminisztratív, jogi, eljárásbeli szabályok– tanúsítási és akkreditálási eljárások– kölcsönös elfogadási megállapodások

• Kriptográfiai algoritmusok leírását

Viszonya más biztonsági szabványokhoz

Összetett IT rendszerek

Egyszerű termékek

Technikai megközelítés

Szervezeti megközelítés

FIPS 140

ITSEC/CC

ISO/IEC 27001

IT Baseline Protection Manual

ISO/IEC 13335

CobiT

Minősített terméktípusok

• Hozzáférés-vezérlő eszközök és rendszerek (pl. SSO)

• Határvédelmi eszközök és rendszerek (pl. tűzfalak)

• Adatbázis-kezelők• Adatvédelmi eszközök (pl. kriptográfiai titkosító

rendszerek)• Észlelő eszközök és rendszerek (pl. IDS)• IC-k, intelligens kártyák, és ezekhez kapcsolódó

rendszerek

Minősített terméktípusok

• Kulcsmenedzsment rendszerek (pl. PKI rendszerek)

• Hálózati és hálózathoz kapcsolódó eszközök és rendszerek (pl. VPN rendszerek)

• Operációs rendszerek

• Elektronikus aláíró termékek

• Egyéb eszközök és rendszerek

CC-t egyezményesen elfogadó államok• Ausztrália• Kanada• Franciaország• Németország• Japán• Koreai Köztársaság• Hollandia• Norvégia• Spanyolország• USA• UK• Új-Zéland

• Ausztria

• Csehország

• Dánia

• Finnország

• Görögország

• Magyarország

• India

• Izrael

• Olaszország

• Szingapúr

• Svédország

• Törökország

Jelenlegi állapot

• Jelenlegi verzió:– CC version 2.3, 2005. augusztustól– Készül a CC 3.0, mely jelentős változásokat fog

tartalmazni– Szabványként elfogadva a CC v. 2.3:

• ISO/IEC 15408:2005, 2005. szeptember• Jövő:

– 2006. szeptemberében 413 tanúsított termék volt, csak az USA-ban 139 termék állt tanúsítás alatt egyre nagyobb a vásárlói igény a biztonságos termékekre, ezért egyre több termék pályázik a CC minősítésre

Tanúsítványok számaKiadott tanúsítványok száma

0

20

40

60

80

100

120

140

160

1997 1998 1999 2000 2001 2002 2003 2004 2005

A CC minősítés előnyei• A gyártónak

– Piaci előny a versenytársakhoz képest– Megkövetelt biztonságos és jól tervezett fejlesztési

eljárások, megoldások– Az ITBN-t támogató cégek döntő többségének van

CC minősített terméke

• A vásárlóknak– Tanúsított biztonság– Egyértelmű leírás arról, hogy ez milyen

peremfeltételek mellett teljesül

Egyértelmű leírás?

• Általában a garanciális szinteket ismerik– EAL 1-7– Ez a fejlesztés biztonságára vonatkozik, pl. volt

megfelelő dokumentáció, verziókövetés, tesztelés stb.

– Általában EAL 3 és 4 az elfogadható szint• Emellett fontos elolvasni a Biztonsági

Előirányzatot (Security Target – ST) is– Ebben van részletesen leírva, hogy a termék milyen

környezetben, milyen feltételezések mellett tekinthető biztonságosnak

– És milyen biztonsági funkcióit vizsgálták meg

CC minősítések gyakorlati haszna• 100%-os biztonság nincs, a tanúsítás mégis

egyfajta garancia arra, hogy a terméket megfelelően– tervezték,– kivitelezték,– tesztelték.

• Egyértelmű leírás arról, hogy milyen körülmények között biztonságos a termék

• Ezáltal nagy segítséget nyújt ahhoz, hogy a célnak megfelelő megoldást válassza ki a megrendelő, így közelíthessen a teljes biztonság elérése felé

A CC előnyei a hazai vállalkozásoknak• A CC minősítés a fejlett informatikai kultúrájú

országokban banki és kormányzati intézményeknél alapfeltétel

• Több hazai vállalkozás visszajelzéséből tudjuk, hogy a termékbeszerzési döntésnél fontos szempont a tanúsítvány megléte

• A termék marketingértékét is növeli a CC tanúsítvány megszerzése

• Növekedne az IT biztonsági kultúra Magyarországon• Az elektronikus közszolgáltatások biztonságos

megvalósításában kulcsszerepet játszhat a CC, melyben a BME IT2 az egyik megkerülhetetlen szakmai műhellyé kíván válni.

A tanúsítás megszerzése

Ideiglenesértékelésieredmény

Biztonságikövetelm.

(PP)

TOEMegvaló-sítás

TOEFejlesztés

TOEÉrtékelése

Értékelésieredményektanúsítása

Tanúsítottértékelésieredmény

ÉrtékelésiSzempontok

(CC)

Biztonságicélok

Biztonságispecifikáció

(ST)(Termék)

A tanúsítás megszerzése• Az IT biztonsági termékek kiértékelését a CC keretei

között egy minősítési séma (közmegegyezésen alapuló) szerint akkreditált laboratóriumok végzik.

• A laboratóriumi kiértékelő munka a Minősítő Hatóság felügyeletével történik.

• A Minősítő Hatóság a kiértékelés sikeres befejezésekor adja ki a tanúsítványt.

• Az USA-ban a sémát „NIAP”-nak – National Information Assurance Partnership – nevezik.

• NIAP jóváhagyva az MRA –Mutual Recognition Arrangement- által

A tanúsítás megszerzése

• Sokszor mondják, hogy a CC tanúsítvány megszerzése lassú és drága

• Jelenleg legalább 1 év és néhányszor tízmillió forint nagyságrendű összeg szükséges hozzá

• Ezt felismerték a szabványosítók

• A CC 3.0-ás változata lehetővé teszi a gyorsabb és olcsóbb értékeléseket

Lehetőségek Magyarországon• Magyarország tanúsítvány elfogadó ország, nincs saját

sémája és belátható időn belül nem is lesz• A hazai cégek külföldi séma alatt tudják megszerezni a

tanúsítványt• Középtávon létrejöhetnek magyar értékelő

laboratóriumok, melyek külföldi séma alá tartoznak• A BME-n a Nemzeti Kutatási és Technológiai Hivatal

támogatásával létrejött IT biztonsági laboratórium célja, hogy segítse a hazai vállalkozásokat a tanúsítvány megszerzésében

• Középtávon bejegyzett értékelő laboratóriummá kívánunk válni

Lehetőségek Magyarországon• Jelenleg nincs CC tanúsított magyar

termék• A BME IT2 biztonsági laborjának jelenlegi

CC-vel kapcsolatos projektjei:– Navayo Technologies Zrt. SecBox

felkészítése CC tanúsításra (elkészült a Biztonsági Előirányzat)

– BalaBit IT Security Kft. Zorp tűzfal felkészítése CC tanúsításra (a projekt októberben indul)

Összefoglalva

• Mindenképpen érdemes a gyártóknak CC minősítésen gondolkodnia

• Bizonyíték erre az, hogy a kiállítók túlnyomó többsége is forgalmaz CC minősített terméket

• A vásárlóknak pedig nagy segítség lehet a tervezési és beszerzési döntések meghozatalában a tanúsított biztonság

Köszönöm figyelmüket!Krasznay Csaba

krasznay@ik.bme.hu

BME Információtechnológiai Innovációs és Tudásközpont

www.it2.bme.hu

+36-1-4631064