Allmänna kriterier

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 2 maj 2015; kontroller kräver 17 redigeringar .

General Criteria for Information Technology Security Evaluation , Common Criteria for Information Technology Security Evaluation , Common Criteria , CC ) är en internationell datorsäkerhetsstandard [ 3 ] antagen i Ryssland [  2 ] . Till skillnad från FIPS 140 [4] -standarden tillhandahåller Common Criteria inte en lista över säkerhetskrav eller en lista över funktioner som en produkt måste innehålla. Istället beskriver den ett ramverk ( ram  ) där användare av ett datorsystem kan beskriva krav, utvecklare kan göra påståenden om produkters säkerhetsegenskaper och säkerhetsexperter kan avgöra om en produkt uppfyller kraven. Således tillåter Common Criteria dig att tillhandahålla villkor där processen att beskriva, utveckla och testa en produkt kommer att utföras med den nödvändiga noggrannheten.

Prototypen för detta dokument var " Utvärderingskriterierna för IT-säkerhet , ECITS " , som arbetet påbörjades 1990 . 

Grundläggande begrepp

Standarden innehåller två huvudtyper av säkerhetskrav: funktionella , som ställs på säkerhetsfunktioner och de mekanismer som implementerar dem, och garantikrav , ställda på teknik och utvecklings- och driftprocess.

För att strukturera kravutrymmet använder standarden hierarkin klass-familj-komponent-element: klasser definierar den mest allmänna, "ämnes"-grupperingen av krav, familjer inom en klass skiljer sig i svårighetsgrad och andra nyanser av krav, en komponent är ett minimum uppsättning krav som visas som en helhet, element är ett odelbart krav.

Funktionskrav

Funktionskrav grupperas utifrån den roll de utför eller det säkerhetsmål de tjänar, för totalt 11 funktionsklasser (i tre grupper), 66 familjer, 135 komponenter.

1. Den första gruppen definierar elementära säkerhetstjänster:
   1. FAU - revision , säkerhet (servicekrav, loggning och revision);
   2. FIA - Identifiering och autentisering ;
   3. FRU - resursanvändning (för feltolerans).
2. Den andra gruppen beskriver derivattjänster implementerade på basis av elementära tjänster:
   1. FCO - kommunikation (säkerhet för kommunikation avsändare-mottagare);
   2. FPR - integritet;
   3. FDP - skydd av användardata;
   4. FPT - skydd av säkerhetsfunktionerna för utvärderingsobjektet.
3. Den tredje gruppen klasser är relaterad till infrastrukturen för bedömningsobjektet:
   1. FCS - kryptografiskt stöd (ger hantering av kryptonycklar och kryptooperationer);
   2. FMT - säkerhetshantering;
   3. FTA - tillgång till objektet för utvärdering (hantering av användarsessioner);
   4. FTP - betrodd rutt/kanal;

Klasser av funktionskrav för elementära säkerhetstjänster

Elementära säkerhetstjänster inkluderar följande klasser FAU, FIA och FRU.

FAU-klassen inkluderar sex familjer (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA och FAU_ARP), och varje familj kan innehålla olika antal komponenter.

Syftet med komponenterna i denna klass är följande.

FAU_GEN - Generering av säkerhetsrevisionsdata. Innehåller två komponenter FAU_GEN.1 (Audit Data Generation) och FAU_GEN.2 (User ID Association).

Förtroendekrav

Säkerhetskrav (tillit) är kraven på tekniken och processen för utveckling och drift av bedömningsobjektet. Indelat i 10 klasser, 44 familjer, 93 komponenter som täcker olika stadier av livscykeln.

1. Den första gruppen innehåller klasser av krav som föregår utvecklingen och utvärderingen av ett objekt:
   1. APE - Utvärdering av skyddsprofil;
   2. ASE - Security Assignment Evaluation.
2. Den andra gruppen är relaterad till stadierna i livscykeln för attesteringsobjektet:
   1. ADV - utveckling, design av ett objekt;
   2. ALC - livscykelstöd;
   3. ACM - konfigurationshantering;
   4. AGD - administratör och användarguide;
   5. ATE - testning;
   6. AVA - Sårbarhetsbedömning ;
   7. ADO - krav på leverans och drift;
   8. AMA - stöd för försäkringskrav, tillämpas efter certifiering av objektet för överensstämmelse med de allmänna kriterierna.

Utvecklingshistorik

Utvecklingen av "Common Criteria" föregicks av utvecklingen av dokumentet "Evaluation Criteria for IT Security" ( eng.  Evaluation Criteria for IT Security, ECITS ), som lanserades 1990 , och genomfördes av arbetsgrupp 3 i underkommitté 27 av den första gemensamma tekniska kommittén (eller JTC1/SC27/WG3) International Organization for Standardization ( ISO ).

Detta dokument låg till grund för att påbörja arbetet med dokumentet Common Criteria for IT Security Evaluation som påbörjades 1993 .  Statliga organisationer i sex länder ( USA , Kanada , Tyskland , Storbritannien , Frankrike , Nederländerna ) deltog i detta arbete. Följande institut deltog i arbetet med projektet:

1. National Institute of Standards and Technology och National Security Agency ( USA );
2. Communications Security Establishment ( Kanada );
3. Informationssäkerhetsbyrå ( Tyskland );
4. Utförandeorgan för IT-säkerhet och certifieringsprogram ( England );
5. Systemsäkerhetscenter ( Frankrike );
6. National Security Communications Agency ( Nederländerna ).

Standarden antogs 2005 av ISO-kommittén och har status som internationell standard, identifikationsnummer ISO/IEC 15408 [2] [3] . I professionella kretsar fick detta dokument därefter ett kort namn - engelska.  Common Criteria, CC ; ryska "Allmänna kriterier", OK .

Certifieringshotmodell

Certifiering av en produkt enligt Common Criteria kan eller kanske inte bekräftar en viss nivå av produktsäkerhet , beroende på hotmodell och miljö.

I enlighet med certifieringsmetoden bestämmer tillverkaren själv i vilken miljö och angriparmodell produkten finns. Det är under dessa antaganden som produktens överensstämmelse med de deklarerade parametrarna kontrolleras. Om nya, tidigare okända sårbarheter upptäcks i produkten efter certifiering måste tillverkaren släppa en uppdatering och återcertifiera. I annat fall måste certifikatet återkallas.

Operativsystemet Microsoft Windows XP (Professional SP2 och Embedded SP2), såväl som Windows Server 2003 [5] [6] [7] [8] certifierades enligt Common Criteria EAL4+-nivån enligt CAPP-profilen [9] 2005 -2007, efter att service pack och nya kritiska säkerhetsuppdateringar släpptes regelbundet. Windows XP i den testade versionen var dock fortfarande EAL4+-certifierad, [5] [6] . Detta faktum vittnar till förmån för det faktum att villkoren för certifiering (angriparens miljö och modell) valdes mycket konservativt, vilket resulterade i att ingen av de upptäckta sårbarheterna är tillämpliga på den testade konfigurationen.

Naturligtvis, för riktiga konfigurationer är många av dessa sårbarheter farliga. Microsoft rekommenderar att användare installerar alla viktiga säkerhetsuppdateringar.

Allmänna kriterier i Ryssland

År 2002, på order av ordföranden för Rysslands statliga tekniska kommission, sattes följande riktlinjer [10] i kraft , utvecklade på grundval av internationella dokument Common Criteria version 2.3:

• «Säkerhet för informationsteknik. Kriterier för bedömning av informationsteknikens säkerhet”;
• «Säkerhet för informationsteknik. Kriterier för utvärdering av informationsteknologisäkerhet. Del 2. Krav på funktionssäkerhet”;
• «Säkerhet för informationsteknik. Kriterier för utvärdering av informationsteknologisäkerhet. Del 3. Säkerhetskrav.

Sedan dess har certifiering av informationstekniska produkter enligt kraven för säkerhetsuppgifter formellt tillåtits i det inhemska certifieringssystemet. Eftersom omfattningen (klasser av automatiserade system) för sådana överensstämmelsecertifikat inte var explicit definierad, var sådan certifiering i de flesta fall av reklamkaraktär - tillverkarna föredrog att certifiera sina produkter enligt kraven i klassiska riktlinjer.

Sedan 2012 har Rysslands FSTEC arbetat aktivt med att uppdatera det regelverk och metodologiska ramverket för certifiering av informationssäkerhetsverktyg. I synnerhet sattes kraven för följande typer av informationssäkerhetsverktyg i kraft:

• intrångsdetekteringssystem; [elva]
• antivirusskyddsverktyg; [12]
• pålitligt startverktyg; [13]
• medel för kontroll av flyttbara maskinlagringsmedier; [fjorton]
• brandvägg; [femton]
• operativ system. [16]

Kraven för en viss typ av informationssäkerhetsverktyg är utformade som en uppsättning dokument:

• dokument "Krav ...": dokumentet är märkt "för officiellt bruk" och definierar klasser och typer för en viss typ av produkt;
• säkerhetsprofiler som definierar utbudet av säkerhetsfunktionskrav och säkerhetskrav beroende på produkttyp och klass.

Skyddsprofiler finns tillgängliga. Arkiverad kopia av den 20 september 2017 på Wayback Machine på den officiella webbplatsen för FSTEC i Ryssland. För närvarande utförs således certifieringen av produkter av dessa typer av Rysslands FSTEC endast för överensstämmelse med de godkända skyddsprofilerna.

Anteckningar

1. ↑ Allmänt känt kortare namn
2. ↑ 1 2 GOST R ISO/IEC 15408-3-2013 infördes sedan 2014-09-01 . Tillträdesdatum: 6 januari 2016. Arkiverad från originalet 4 mars 2016. (obestämd)
3. ↑ 1 2 ISO / IEC 15408 - Utvärderingskriterier för IT-säkerhet
4. ↑ FIPS 140  
5. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Arkiverad 21 september 2012 på Wayback Machine XP SP2 Certified, 2007
6. ↑ 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Arkiverad 6 oktober 2012 på Wayback Machine XP SP2 Certified, 2005
7. ↑ Microsoft Windows får EAL 4+-certifiering Arkiverad 8 september 2015 på Wayback Machine / Schneier, 2005, baserat på "Windows XP får oberoende säkerhetscertifiering" / eWeek,  2005-12-14
8. ↑ Windows XP / Server 2003 Common Criteria Evaluation Technical Report Arkiverad 19 juni 2015 på Wayback Machine / Microsoft, 2005 (ZIP, DOC   )
9. ↑ Controlled Access Protection Profile (CAPP), version 1.d, 8 oktober 1999; – ISO/IEC 15408:1999.
10. ↑ Vägledningsdokument. Order från ordföranden för Rysslands statliga tekniska kommission daterad den 19 juni 2002 N 187 - Rysslands FSTEC . fstec.ru. Hämtad 20 september 2017. Arkiverad från originalet 20 september 2017. (ryska)
11. ↑ Informationsbrev från Rysslands FSTEC (krav för SOV) . Arkiverad från originalet den 6 oktober 2017. Hämtad 20 september 2017.
12. ↑ Informationsbrev från Rysslands FSTEC (krav för SAVZ) . Arkiverad från originalet den 23 september 2017. Hämtad 20 september 2017.
13. ↑ Informationsbrev från Rysslands FSTEC (krav för SDZ) . Arkiverad från originalet den 14 september 2017. Hämtad 20 september 2017.
14. ↑ Informationsbrev från Rysslands FSTEC (krav för SKN) . Arkiverad från originalet den 14 september 2017. Hämtad 20 september 2017.
15. ↑ Informationsbrev från Rysslands FSTEC (Krav för energiministeriet) . Arkiverad från originalet den 16 september 2017. Hämtad 20 september 2017.
16. ↑ Informationsbrev från Rysslands FSTEC (krav för OS) . Arkiverad från originalet den 6 oktober 2017. Hämtad 20 september 2017.

Länkar

• Text till ISO/IEC 15408-standarder Arkiverad 12 maj 2008 på Wayback Machine , tillgänglig gratis från  iso.org .
• Officiell webbplats för Common Criteria Project  (engelska)
  •  Lista över Common Criteria-certifierade produkter
• Analytiskt material från JSCs kompetenscenter "NPO "Echelon" enligt standarden Allmänna kriterier Arkivexemplar daterad 21 september 2017 på Wayback Machine

ISO- standarder
Listor:  Lista över ISO-standarder Lista över ISO-romaniseringar Lista över IEC-standarder Kategorier:  Kategori:ISO-standarder Kategori:OSI-protokoll
1 till 9999	ett 2 3 fyra 5 6 7 9 16 31 -0 -ett -2 -3 -fyra -5 -6 -7 -åtta -9 -tio -elva -12 -13 128 216 217 226 228 233 259 269 296 302 306 428 639 -ett 646 668 690 732 764 796 843 898 1000 1004 1007 1073-1 1413 1538 1745 2014 2015 2022 2108 2145 2146 2281 2709 2711 2788 3029 3103 3166 -ett -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 5218 5775 5776 5964 6166 6344 6346 6425 6429 6438 6523 6709 7001 7002 7098 7185 7388 7498 7736 7810 7811 7812 7813 7816 8000 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 -ett -2 -3 -fyra -5 -6 -7 -åtta -9 -tio -elva -12 -13 -fjorton -femton -16 ) 8879 9000 9075 9126 9241 9362 9407 9506 9529 9564 9594 9660 9897 9945 9984 9985 9995
10 000 till 19999	10006 10118-3 10160 10161 10165 10179 10206 10303 10303-11 10303-21 10303-22 10303-238 10303-28 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 11941 11941(TR) 11992 12006 12164 12182:1998 12207:1995 12207:2008 12234-2 13211 -ett -2 13216 13250 13399 13406-2 13407 13450 13485 13490 13567 13568 13584 13616 14 000 14031 14396 14443 14496-10 14496-14 ISO 14575 14644 -ett -2 -3 -fyra -5 -6 -7 -åtta -9 14649 14651 14698 14698-2 14750 14882 14971 15022 15189 15288 15291 15292 15408 15444 15445 15438 15504 15511 15686 15693 15706 15706-2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16750 17024 17025 17369 17799 17987 18 000 18004 18014 18245 18629 18916 19005 19011 19092-1 19092-2 19114 19115 19439 19501:2005 19752 19757 19770 19775-1 19794-5
20 000+	20 000 20022 21 000 21047 21500 21827:2002 22 000 23008-2 23270 23360 24613 24707 25964-1 25178 26 000 26300 26324 27000-serien 27 000 27001 27002 27003 27004 27005 27006 27007 27729 27799 29199-2 29500 31 000 32 000 38500 42010 50001 80 000
Se även: Lista över artiklar vars titlar börjar med "ISO"