SlideShare une entreprise Scribd logo

Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

Positive Hack Days
Positive Hack Days
Technologie
1  sur  9
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Cisco Confidential 1© 2011 Cisco and/or its affiliates. All rights reserved. Михаил Кадер mkader@cisco.com
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 • Target of Evaluation (ToE) – тестируемое решение, может быть как отдельный продукт, так и совокупность совместно работающих продуктов • Security Target (ST) – определяет тестируемую функциональность и как она должна соответствовать требованиям по безопасности • Protection Profile (PP) – заранее подготовленные и утвержденные соответствующими ведомствами наборы требования для определенных типов продуктов, например МСЭ, СОВ и т.п., которым тестируемый продукт должен соответствовать • Evaluation Assurance Level (EAL) – определяет уровень доверия определенного продукта или решения EAL2 = частичное тестирование заявленной функциональности EAL3 = полное тестирование заявленной функциональности EAL4 = дополнительный анализ необходимых фрагментов исходного кода • Три стадии сертификации (по практике США): IVOR: Начальный анализ решения; результат: статус «в процессе тестирований» TVOR: Тестирование FVOR: Заключительный анализ результатов; результат: публикация информации о сертификации
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 CCTLValidationReport CCTLTest EvidencePackageFinalization BU Beta / Final Test Documentation Development Source Code Review* PhaseTasksTime IVOR Evidence Development Submit Report to CCEVS FinalValidationOperationalReview CCEVSAcceptance FVOR 2 – 4 months 4 to 8 months 2 to 3 months Total time of 9 – 18 months LabColor Legend Cisco Consultant or GCT CCEVS Full Product Assessment Security Target Development Development for CC BU Assign Dev Engr POCs 1 to 3 months CCEVSAcceptanceIn-Evaluation Site Plan Visit Documentation Evaluation TVOR Concept Commit Execute Commit
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4 • Письмо о намерениях (обязательно требуется в США) Указывается продукт, нужные профили безопасности и требуемый уровень оценочный уровень доверия • Security Target – Задание по безопасности Базируется на профиле безопасности • Guidance Documentation – общая документация по установке и настройке функций безопасности • Development Documentation – документация разработчика Архитектура, Функциональная спецификация, прочая документация по дизайну • Test Documentation – тестовая документация План тестирования, сценарии использования, детальные результаты тестирования • Документация по обслуживанию в течении жизненного цикла Управление конфигурацией, устранение уязвимостей и т.п.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 Обеспечение сертификации  Выделение ресурсов для своевременного проведения и завершения сертификации – Инженер-разработчик и инженер-тестер  Финансирование – Оплата внешней лаборатории – Оборудование для тестов  Разработка дополнительной функциональности управления, если требуется для успешного прохождения сертификации – Соответствие профилям безопасности – Методология может различаться для разных продуктов и как пример, включать в себя: Журналы результаты тестов разработки управление паролями и ключами …
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6  Должен быть назначен руководитель группы разработчиков для сопровождения сертифицируемого релиза продукта – Для обеспечения технической достоверности документации – Обеспечения соответствия требованиям определенных уровней доверия и профилям безопасности * это может потребовать дополнительной разработки, анализа существующих ошибок и их исправления  Поддержка тестирования: – Помогать с проведением тестирования и формированием подтверждающей документации в соотвествии с требованиями по сертификации – Если необходимо – физическое присутствие в независимой лаборатории во время проведения ею тестирования  Аппаратное обеспечение: – Два набора оборудования – один для внутреннего сопровождения сертификации и один для внешней лаборатории  Доработка функций по управлению, если требуется для успешного прохождения сертификации
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7  Сертификация Common Criteria выполняется для определенных аппаратных моделей и версий программного обеспечения  “Assurance Continuity Maintenance” – процесс поддержания и обновления сертификации без повторного тестирования – Новые аппаратные платформы, на которых работает проверенное программное обеспечение – Минимальные изменения программного обеспечения, в первую очередь исправление ошибок  Что требует проведения повторного тестирования: – Новые версии программного обеспечения, особенно те, где была добавлена или убрана функциональность с точки зрения безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 • На сайте Cisco www.cisco.com/go/securitycert • На сайте CCEVS (Common Criteria Evaluation and Validation Scheme) http://www.niap-ccevs.org/
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

Recommandé

Сертификация серии оборудования Cisco: вопросы и ответы
Сертификация серии оборудования Cisco: вопросы и ответыСертификация серии оборудования Cisco: вопросы и ответы
Сертификация серии оборудования Cisco: вопросы и ответыCisco Russia
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияIvan Ignatyev
 
Организация процесса тестирования в Agile команде с помощью квадрантов тестир...
Организация процесса тестирования в Agile команде с помощью квадрантов тестир...Организация процесса тестирования в Agile команде с помощью квадрантов тестир...
Организация процесса тестирования в Agile команде с помощью квадрантов тестир...SQALab
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 

Recommandé

Сертификация серии оборудования Cisco: вопросы и ответы
Сертификация серии оборудования Cisco: вопросы и ответыСертификация серии оборудования Cisco: вопросы и ответы
Сертификация серии оборудования Cisco: вопросы и ответыCisco Russia
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияIvan Ignatyev
 
Организация процесса тестирования в Agile команде с помощью квадрантов тестир...
Организация процесса тестирования в Agile команде с помощью квадрантов тестир...Организация процесса тестирования в Agile команде с помощью квадрантов тестир...
Организация процесса тестирования в Agile команде с помощью квадрантов тестир...SQALab
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windowsimbasoft ru
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Independence of testing
Independence of testingIndependence of testing
Independence of testingQA Guards
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerKonstantin Sverdlov
 
Основы лицензирования Windows Server 2016
Основы лицензирования Windows Server 2016Основы лицензирования Windows Server 2016
Основы лицензирования Windows Server 2016DEPO Computers
 
Опыт ДС БАРС по внедрению процессов КТ-178B
Опыт ДС БАРС по внедрению процессов КТ-178BОпыт ДС БАРС по внедрению процессов КТ-178B
Опыт ДС БАРС по внедрению процессов КТ-178BДС БАРС
 
Работа с требованиями при создании программного обеспечения бортовой радиоэле...
Работа с требованиями при создании программного обеспечения бортовой радиоэле...Работа с требованиями при создании программного обеспечения бортовой радиоэле...
Работа с требованиями при создании программного обеспечения бортовой радиоэле...Sergey Laletin
 
Технологии разработки ПО
Технологии разработки ПОТехнологии разработки ПО
Технологии разработки ПОAnton Konushin
 
Анонс новых моделей серверов ДЕПО Шторм российского производства
Анонс новых моделей серверов ДЕПО Шторм российского производстваАнонс новых моделей серверов ДЕПО Шторм российского производства
Анонс новых моделей серверов ДЕПО Шторм российского производстваDEPO Computers
 
Как принести пользу разработке и упростить себе жизнь?
Как принести пользу разработке и упростить себе жизнь?Как принести пользу разработке и упростить себе жизнь?
Как принести пользу разработке и упростить себе жизнь?SQALab
 
некоторые правила управления проектами. часть I
некоторые правила управления проектами. часть Iнекоторые правила управления проектами. часть I
некоторые правила управления проектами. часть Iprigarov
 
управление сборками и развертыванием веб приложений
управление сборками и развертыванием веб приложенийуправление сборками и развертыванием веб приложений
управление сборками и развертыванием веб приложенийSergii Shmarkatiuk
 
Практика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваПрактика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваMikhail Kalinin
 
Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Iosif Itkin
 
Introduction into Test Driven Development
Introduction into Test Driven DevelopmentIntroduction into Test Driven Development
Introduction into Test Driven DevelopmentIvan Dyachenko
 
гибкая методология разработки по
гибкая методология разработки погибкая методология разработки по
гибкая методология разработки поpoverhnost
 
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...Positive Hack Days
 
Scorista - конференция "Кредитный конвейер 2.0"
Scorista - конференция "Кредитный конвейер 2.0"Scorista - конференция "Кредитный конвейер 2.0"
Scorista - конференция "Кредитный конвейер 2.0"Ivan Tretyakov
 
Система Противодействия Мошенничеству По-русски
Система Противодействия Мошенничеству По-русски Система Противодействия Мошенничеству По-русски
Система Противодействия Мошенничеству По-русски Positive Hack Days
 

Contenu connexe

Tendances

Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windowsimbasoft ru
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Independence of testing
Independence of testingIndependence of testing
Independence of testingQA Guards
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerKonstantin Sverdlov
 
Основы лицензирования Windows Server 2016
Основы лицензирования Windows Server 2016Основы лицензирования Windows Server 2016
Основы лицензирования Windows Server 2016DEPO Computers
 
Опыт ДС БАРС по внедрению процессов КТ-178B
Опыт ДС БАРС по внедрению процессов КТ-178BОпыт ДС БАРС по внедрению процессов КТ-178B
Опыт ДС БАРС по внедрению процессов КТ-178BДС БАРС
 
Работа с требованиями при создании программного обеспечения бортовой радиоэле...
Работа с требованиями при создании программного обеспечения бортовой радиоэле...Работа с требованиями при создании программного обеспечения бортовой радиоэле...
Работа с требованиями при создании программного обеспечения бортовой радиоэле...Sergey Laletin
 
Технологии разработки ПО
Технологии разработки ПОТехнологии разработки ПО
Технологии разработки ПОAnton Konushin
 
Анонс новых моделей серверов ДЕПО Шторм российского производства
Анонс новых моделей серверов ДЕПО Шторм российского производстваАнонс новых моделей серверов ДЕПО Шторм российского производства
Анонс новых моделей серверов ДЕПО Шторм российского производстваDEPO Computers
 
Как принести пользу разработке и упростить себе жизнь?
Как принести пользу разработке и упростить себе жизнь?Как принести пользу разработке и упростить себе жизнь?
Как принести пользу разработке и упростить себе жизнь?SQALab
 
некоторые правила управления проектами. часть I
некоторые правила управления проектами. часть Iнекоторые правила управления проектами. часть I
некоторые правила управления проектами. часть Iprigarov
 
управление сборками и развертыванием веб приложений
управление сборками и развертыванием веб приложенийуправление сборками и развертыванием веб приложений
управление сборками и развертыванием веб приложенийSergii Shmarkatiuk
 
Практика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваПрактика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваMikhail Kalinin
 
Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Iosif Itkin
 
Introduction into Test Driven Development
Introduction into Test Driven DevelopmentIntroduction into Test Driven Development
Introduction into Test Driven DevelopmentIvan Dyachenko
 
гибкая методология разработки по
гибкая методология разработки погибкая методология разработки по
гибкая методология разработки поpoverhnost
 

Tendances (19)

Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windows
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
 
Independence of testing
Independence of testingIndependence of testing
Independence of testing
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт Rambler
 
Основы лицензирования Windows Server 2016
Основы лицензирования Windows Server 2016Основы лицензирования Windows Server 2016
Основы лицензирования Windows Server 2016
 
Опыт ДС БАРС по внедрению процессов КТ-178B
Опыт ДС БАРС по внедрению процессов КТ-178BОпыт ДС БАРС по внедрению процессов КТ-178B
Опыт ДС БАРС по внедрению процессов КТ-178B
 
Работа с требованиями при создании программного обеспечения бортовой радиоэле...
Работа с требованиями при создании программного обеспечения бортовой радиоэле...Работа с требованиями при создании программного обеспечения бортовой радиоэле...
Работа с требованиями при создании программного обеспечения бортовой радиоэле...
 
Технологии разработки ПО
Технологии разработки ПОТехнологии разработки ПО
Технологии разработки ПО
 
Анонс новых моделей серверов ДЕПО Шторм российского производства
Анонс новых моделей серверов ДЕПО Шторм российского производстваАнонс новых моделей серверов ДЕПО Шторм российского производства
Анонс новых моделей серверов ДЕПО Шторм российского производства
 
Как принести пользу разработке и упростить себе жизнь?
Как принести пользу разработке и упростить себе жизнь?Как принести пользу разработке и упростить себе жизнь?
Как принести пользу разработке и упростить себе жизнь?
 
некоторые правила управления проектами. часть I
некоторые правила управления проектами. часть Iнекоторые правила управления проектами. часть I
некоторые правила управления проектами. часть I
 
управление сборками и развертыванием веб приложений
управление сборками и развертыванием веб приложенийуправление сборками и развертыванием веб приложений
управление сборками и развертыванием веб приложений
 
Практика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваПрактика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производства
 
Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)
 
Introduction into Test Driven Development
Introduction into Test Driven DevelopmentIntroduction into Test Driven Development
Introduction into Test Driven Development
 
гибкая методология разработки по
гибкая методология разработки погибкая методология разработки по
гибкая методология разработки по
 

En vedette

23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...Positive Hack Days
 
Scorista - конференция "Кредитный конвейер 2.0"
Scorista - конференция "Кредитный конвейер 2.0"Scorista - конференция "Кредитный конвейер 2.0"
Scorista - конференция "Кредитный конвейер 2.0"Ivan Tretyakov
 
Система Противодействия Мошенничеству По-русски
Система Противодействия Мошенничеству По-русски Система Противодействия Мошенничеству По-русски
Система Противодействия Мошенничеству По-русски Positive Hack Days
 
Смарт - Технологии, Взгляд Со Стороны Разработчика
Смарт - Технологии, Взгляд Со Стороны РазработчикаСмарт - Технологии, Взгляд Со Стороны Разработчика
Смарт - Технологии, Взгляд Со Стороны РазработчикаPositive Hack Days
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011qqlan
 
Вуз и бизнес в области информационной безопасности
Вуз и бизнес в области информационной безопасностиВуз и бизнес в области информационной безопасности
Вуз и бизнес в области информационной безопасностиДмитрий Федоров
 
Качество отсутствует, коль баги присутствуют
Качество отсутствует, коль баги присутствуютКачество отсутствует, коль баги присутствуют
Качество отсутствует, коль баги присутствуютSQALab
 

En vedette (8)

23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
 
Scorista - конференция "Кредитный конвейер 2.0"
Scorista - конференция "Кредитный конвейер 2.0"Scorista - конференция "Кредитный конвейер 2.0"
Scorista - конференция "Кредитный конвейер 2.0"
 
Система Противодействия Мошенничеству По-русски
Система Противодействия Мошенничеству По-русски Система Противодействия Мошенничеству По-русски
Система Противодействия Мошенничеству По-русски
 
Смарт - Технологии, Взгляд Со Стороны Разработчика
Смарт - Технологии, Взгляд Со Стороны РазработчикаСмарт - Технологии, Взгляд Со Стороны Разработчика
Смарт - Технологии, Взгляд Со Стороны Разработчика
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
 
Вуз и бизнес в области информационной безопасности
Вуз и бизнес в области информационной безопасностиВуз и бизнес в области информационной безопасности
Вуз и бизнес в области информационной безопасности
 
Web Threats
Web ThreatsWeb Threats
Web Threats
 
Качество отсутствует, коль баги присутствуют
Качество отсутствует, коль баги присутствуютКачество отсутствует, коль баги присутствуют
Качество отсутствует, коль баги присутствуют
 

Similaire à Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорCisco Russia
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Cisco Russia
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Cisco Russia
 
Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации MNUCIB
 
Тестирование весна 2013 лекция 1
Тестирование весна 2013 лекция 1Тестирование весна 2013 лекция 1
Тестирование весна 2013 лекция 1Technopark
 
Trpo 12 управление качеством
Trpo 12 управление качествомTrpo 12 управление качеством
Trpo 12 управление качествомpogromskaya
 
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...Zestranec
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Simonova CSEDays
Simonova CSEDaysSimonova CSEDays
Simonova CSEDaysLiloSEA
 
Katerina Simonova CSEDays
Katerina Simonova CSEDaysKaterina Simonova CSEDays
Katerina Simonova CSEDaysLiloSEA
 
Katerina Simonova CSEDays
Katerina Simonova CSEDaysKaterina Simonova CSEDays
Katerina Simonova CSEDaysLiloSEA
 
QA Fes 2016. Анастасия Асеева. Роль тестирования в Devops
QA Fes 2016. Анастасия Асеева. Роль тестирования в DevopsQA Fes 2016. Анастасия Асеева. Роль тестирования в Devops
QA Fes 2016. Анастасия Асеева. Роль тестирования в DevopsQAFest
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 

Similaire à Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании (20)

Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сети
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. Обзор
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
 
Requirements in Agile
Requirements in AgileRequirements in Agile
Requirements in Agile
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
 
Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации
 
Test design print
Test design printTest design print
Test design print
 
Тестирование весна 2013 лекция 1
Тестирование весна 2013 лекция 1Тестирование весна 2013 лекция 1
Тестирование весна 2013 лекция 1
 
Trpo 12 управление качеством
Trpo 12 управление качествомTrpo 12 управление качеством
Trpo 12 управление качеством
 
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Simonova CSEDays
Simonova CSEDaysSimonova CSEDays
Simonova CSEDays
 
Katerina Simonova CSEDays
Katerina Simonova CSEDaysKaterina Simonova CSEDays
Katerina Simonova CSEDays
 
Katerina Simonova CSEDays
Katerina Simonova CSEDaysKaterina Simonova CSEDays
Katerina Simonova CSEDays
 
QA Fes 2016. Анастасия Асеева. Роль тестирования в Devops
QA Fes 2016. Анастасия Асеева. Роль тестирования в DevopsQA Fes 2016. Анастасия Асеева. Роль тестирования в Devops
QA Fes 2016. Анастасия Асеева. Роль тестирования в Devops
 
QAFest. Роль тестирования в Devops
QAFest. Роль тестирования в DevopsQAFest. Роль тестирования в Devops
QAFest. Роль тестирования в Devops
 
Agile testing
Agile testingAgile testing
Agile testing
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
План тестирования
План тестированияПлан тестирования
План тестирования
 

Plus de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Plus de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
 

Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criteria) изнутри компании

  • 1. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Cisco Confidential 1© 2011 Cisco and/or its affiliates. All rights reserved. Михаил Кадер mkader@cisco.com
  • 2. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 • Target of Evaluation (ToE) – тестируемое решение, может быть как отдельный продукт, так и совокупность совместно работающих продуктов • Security Target (ST) – определяет тестируемую функциональность и как она должна соответствовать требованиям по безопасности • Protection Profile (PP) – заранее подготовленные и утвержденные соответствующими ведомствами наборы требования для определенных типов продуктов, например МСЭ, СОВ и т.п., которым тестируемый продукт должен соответствовать • Evaluation Assurance Level (EAL) – определяет уровень доверия определенного продукта или решения EAL2 = частичное тестирование заявленной функциональности EAL3 = полное тестирование заявленной функциональности EAL4 = дополнительный анализ необходимых фрагментов исходного кода • Три стадии сертификации (по практике США): IVOR: Начальный анализ решения; результат: статус «в процессе тестирований» TVOR: Тестирование FVOR: Заключительный анализ результатов; результат: публикация информации о сертификации
  • 3. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 CCTLValidationReport CCTLTest EvidencePackageFinalization BU Beta / Final Test Documentation Development Source Code Review* PhaseTasksTime IVOR Evidence Development Submit Report to CCEVS FinalValidationOperationalReview CCEVSAcceptance FVOR 2 – 4 months 4 to 8 months 2 to 3 months Total time of 9 – 18 months LabColor Legend Cisco Consultant or GCT CCEVS Full Product Assessment Security Target Development Development for CC BU Assign Dev Engr POCs 1 to 3 months CCEVSAcceptanceIn-Evaluation Site Plan Visit Documentation Evaluation TVOR Concept Commit Execute Commit
  • 4. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4 • Письмо о намерениях (обязательно требуется в США) Указывается продукт, нужные профили безопасности и требуемый уровень оценочный уровень доверия • Security Target – Задание по безопасности Базируется на профиле безопасности • Guidance Documentation – общая документация по установке и настройке функций безопасности • Development Documentation – документация разработчика Архитектура, Функциональная спецификация, прочая документация по дизайну • Test Documentation – тестовая документация План тестирования, сценарии использования, детальные результаты тестирования • Документация по обслуживанию в течении жизненного цикла Управление конфигурацией, устранение уязвимостей и т.п.
  • 5. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 Обеспечение сертификации  Выделение ресурсов для своевременного проведения и завершения сертификации – Инженер-разработчик и инженер-тестер  Финансирование – Оплата внешней лаборатории – Оборудование для тестов  Разработка дополнительной функциональности управления, если требуется для успешного прохождения сертификации – Соответствие профилям безопасности – Методология может различаться для разных продуктов и как пример, включать в себя: Журналы результаты тестов разработки управление паролями и ключами …
  • 6. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6  Должен быть назначен руководитель группы разработчиков для сопровождения сертифицируемого релиза продукта – Для обеспечения технической достоверности документации – Обеспечения соответствия требованиям определенных уровней доверия и профилям безопасности * это может потребовать дополнительной разработки, анализа существующих ошибок и их исправления  Поддержка тестирования: – Помогать с проведением тестирования и формированием подтверждающей документации в соотвествии с требованиями по сертификации – Если необходимо – физическое присутствие в независимой лаборатории во время проведения ею тестирования  Аппаратное обеспечение: – Два набора оборудования – один для внутреннего сопровождения сертификации и один для внешней лаборатории  Доработка функций по управлению, если требуется для успешного прохождения сертификации
  • 7. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7  Сертификация Common Criteria выполняется для определенных аппаратных моделей и версий программного обеспечения  “Assurance Continuity Maintenance” – процесс поддержания и обновления сертификации без повторного тестирования – Новые аппаратные платформы, на которых работает проверенное программное обеспечение – Минимальные изменения программного обеспечения, в первую очередь исправление ошибок  Что требует проведения повторного тестирования: – Новые версии программного обеспечения, особенно те, где была добавлена или убрана функциональность с точки зрения безопасности
  • 8. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 • На сайте Cisco www.cisco.com/go/securitycert • На сайте CCEVS (Common Criteria Evaluation and Validation Scheme) http://www.niap-ccevs.org/
  • 9. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9