Contenu connexe
Similaire à Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании
Similaire à Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании (20)
Plus de Positive Hack Days
Plus de Positive Hack Days (20)
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании
- 1. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Cisco Confidential 1© 2011 Cisco and/or its affiliates. All rights reserved.
Михаил Кадер
mkader@cisco.com
- 2. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
• Target of Evaluation (ToE) – тестируемое решение, может быть как отдельный продукт, так и
совокупность совместно работающих продуктов
• Security Target (ST) – определяет тестируемую функциональность и как она должна
соответствовать требованиям по безопасности
• Protection Profile (PP) – заранее подготовленные и утвержденные соответствующими
ведомствами наборы требования для определенных типов продуктов, например МСЭ, СОВ и т.п.,
которым тестируемый продукт должен соответствовать
• Evaluation Assurance Level (EAL) – определяет уровень доверия определенного продукта
или решения
EAL2 = частичное тестирование заявленной функциональности
EAL3 = полное тестирование заявленной функциональности
EAL4 = дополнительный анализ необходимых фрагментов исходного кода
• Три стадии сертификации (по практике США):
IVOR: Начальный анализ решения; результат: статус «в процессе тестирований»
TVOR: Тестирование
FVOR: Заключительный анализ результатов; результат: публикация информации о сертификации
- 3. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
CCTLValidationReport
CCTLTest
EvidencePackageFinalization
BU Beta / Final Test
Documentation Development
Source Code
Review*
PhaseTasksTime
IVOR
Evidence Development
Submit Report
to CCEVS
FinalValidationOperationalReview
CCEVSAcceptance
FVOR
2 – 4 months 4 to 8 months 2 to 3 months
Total time of 9 – 18 months
LabColor Legend Cisco Consultant or GCT CCEVS
Full Product
Assessment
Security Target
Development
Development
for CC
BU Assign Dev
Engr POCs
1 to 3 months
CCEVSAcceptanceIn-Evaluation
Site Plan
Visit
Documentation Evaluation
TVOR
Concept
Commit Execute
Commit
- 4. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
• Письмо о намерениях (обязательно требуется в США)
Указывается продукт, нужные профили безопасности и требуемый уровень оценочный
уровень доверия
• Security Target – Задание по безопасности
Базируется на профиле безопасности
• Guidance Documentation – общая документация по установке и
настройке функций безопасности
• Development Documentation – документация разработчика
Архитектура, Функциональная спецификация, прочая документация по дизайну
• Test Documentation – тестовая документация
План тестирования, сценарии использования, детальные результаты тестирования
• Документация по обслуживанию в течении жизненного цикла
Управление конфигурацией, устранение уязвимостей и т.п.
- 5. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Обеспечение сертификации
Выделение ресурсов для своевременного проведения и
завершения сертификации
– Инженер-разработчик и инженер-тестер
Финансирование
– Оплата внешней лаборатории
– Оборудование для тестов
Разработка дополнительной функциональности управления, если
требуется для успешного прохождения сертификации
– Соответствие профилям безопасности
– Методология может различаться для разных продуктов и как
пример, включать в себя:
Журналы
результаты тестов разработки
управление паролями и ключами …
- 6. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Должен быть назначен руководитель группы разработчиков для
сопровождения сертифицируемого релиза продукта
– Для обеспечения технической достоверности документации
– Обеспечения соответствия требованиям определенных уровней
доверия и профилям безопасности
* это может потребовать дополнительной разработки, анализа
существующих ошибок и их исправления
Поддержка тестирования:
– Помогать с проведением тестирования и формированием
подтверждающей документации в соотвествии с требованиями по
сертификации
– Если необходимо – физическое присутствие в независимой
лаборатории во время проведения ею тестирования
Аппаратное обеспечение:
– Два набора оборудования – один для внутреннего сопровождения
сертификации и один для внешней лаборатории
Доработка функций по управлению, если требуется для успешного
прохождения сертификации
- 7. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Сертификация Common Criteria выполняется для определенных
аппаратных моделей и версий программного обеспечения
“Assurance Continuity Maintenance” – процесс поддержания и
обновления сертификации без повторного тестирования
– Новые аппаратные платформы, на которых работает
проверенное программное обеспечение
– Минимальные изменения программного обеспечения, в первую
очередь исправление ошибок
Что требует проведения повторного тестирования:
– Новые версии программного обеспечения, особенно те, где
была добавлена или убрана функциональность с точки зрения
безопасности
- 8. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
• На сайте Cisco
www.cisco.com/go/securitycert
• На сайте CCEVS (Common Criteria Evaluation
and Validation Scheme)
http://www.niap-ccevs.org/
- 9. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9