COMMON CRITERIA – ISO/IEC 15408 DAVIDSON WILLIAM AFONSO DÊNIO DOS SANTOS FERNANDO XAVIER TRINDADE...

COMMON CRITERIA – ISO/IEC 15408

DAVIDSON WILLIAM AFONSO

DÊNIO DOS SANTOS

FERNANDO XAVIER TRINDADE

JEAN CESARINO

Pós-Graduação LATO SENSU - MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO

JEAN FELIPE LAMAS

MARCELO VELOSO

RIVA MOUTINHO

WARLEY PENIDO FERREIRA

GESTÃO DE SISTEMAS

E APLICAÇÕES DISTRIBUÍDAS

ISO/IEC 15408


• ISO 15408-1 - Introdução e modelo geral às técnicas de segurança e critérios de avaliação de segurança de TI

• ISO 15408-2 - Requisitos de funcionalidades de segurança

• ISO 15408-3 - Garantias de Exigências de Segurança

EaL1 – Testado Funcionalmente EaL2 – Testado Estruturalmente EaL3 – Metodologicamente Testado e Verificado EaL4 – Metodologicamente Projetado, Testado e

Verificado EaL5 – Semi-formalmente Testado e Projetado EaL6 – Semi-formalmente Projetado, Testado e

Verificado EaL7 – Formalmente Projetado, Testado e Verificado

EaLs (Evaluation Assurance Level) Níveis de Avaliação e Garantia

PÓS-GRADUAÇÃO LATO SENSU EM <NOME_CURSO>

Componentes funcionais de segurança


Esta cláusula define o conteúdo e apresentação dos requisitos funcionais da norma ISO/IEC 15408, e fornece orientações sobre a organização dos requisitos para novos componentes a serem incluídos em uma ST

Os requisitos funcionais são expressos em classes, famílias e componentes

Classe


Introdução Classe

A introdução da classe expressa a intenção comum ou abordagem das famílias para satisfazer os objetivos de segurança

Classe


Nome da Classe

O nome da classe subseção fornece as informações necessárias para identificar e categorizar as classes funcionais, cada classe funcional tem um nome único

As informações categóricas consiste de um nome curto de três caracteres

O nome abreviado da classe é usado na especificação dos nomes curtos das famílias dessa classe

A estrutura familiar


Nome de Família

A subseção nome de família fornece informações categóricas e descritivos necessários para identificar e classificar uma família funcional, cada família funcional tem um nome único

Comportamento Família

O comportamento da família é a descrição narrativa da família funcional indicando os objetivos de segurança e uma descrição geral dos requisitos funcionais

Componentes


Componente de nivelamento

Famílias funcionais contêm um ou mais componentes, um dos quais podem ser selecionados para inclusão no PP, TS e pacotes funcionais

O objetivo desta subseção é fornecer informações aos usuários na escolha de um componente funcional adequado, uma vez que a família tem sido identificada como uma parte necessária ou útil dos seus requisitos de segurança

Classe PDFProteção de dados do Usuário


Especifica requisitos para assegurar a proteção dos dados do usuário, seja local ou em trânsito (transmissão)

Composta por treze famílias:

Funções de Controle de fluxo de Informações (FDP_IFF): descreve regras que implementam controle de fluxo de informação SFP

Importação externa do TOE (FDP_ITC): define mecanismos para importação de dados TSF de forma segura

Transferência Interna do TOE (FDP_ITT): provê requisitos que endereçam dados do usuários quando transferidos entre partes de um TOE por um canal interno



Proteção de Informação Residual (FDP_RIP): assegurar que um dado contido em um recurso não esteja disponível quando esse recurso é re-alocado de um objeto para outro

RollBack (FTP_ROL): permite reverter a ultima operação ou série de operações amarradas por um certo limite, como tempo e retorna ao um estado prévio

Integridade de Dados Armazenados (FDP_SDI): proteção aos dados do usuário quando esse é armazenado em containers controlados pelo TSF (erros de armazenamento)



Proteção para Confidencialidade na transferência de dados usuário (FDP_UCT): requisitos que asseguram a confidencialidade dos dados do usuário quando esses são transferidos por um canal externo entre o TOE e outro produto confiável de TI (aplicativo, banco de dados, etc.)

Proteção para Integridade na transferência de dados do usuário (FDP_UIT): define requisitos para prover integridade para dados do usuário quando em trânsito entre o TOE e outro produto de TI confiável e a recuperação de erros de erros detectáveis

Classe FIAIdentificação e Autenticação


Define requisitos para funções que estabelecem e verificam a identidade de um usuário em questão

Composta de seis famílias:

Falhas de Autenticação (FIA_AFL): requisitos para quantidade de tentativas sem sucesso de autenticação e ações TSF para essas falhas

Definição do Atributo de Usuário (FIA_ADT): requisitos para vinculação dos atributos de segurança validos do usuários de forma a reforçar a segurança no nível TSF

Especificação de Senhas (FIA_SOS): define requisitos para os mecanismos que definem a qualidade de senhas e formas de validação



Identificação do Usuário (FIA_UAU): define os tipos de mecanismos de autenticação do usuários suportados pelo TSF

Identificação do Usuário (FIA_UID): define as condições onde usuários devem se identificar antes executarem qualquer outra ação Amarração de Usuário-Sujeito (FIA_USB): define os requisitos para criar e manter atributos de segurança de um usuário e vinculá-los a um sujeito dentro de um contexto

Classe FMTGerenciamento da Segurança


Define o gerenciamento e controle de atributos de segurança de um usuário

Composta de sete famílias:

Gerenciamento de Funções TSF (FMT_MOF): permite que usuários autorizados possuam controle de funções gerenciais no TSF

Gerenciamento dos Atributos de Segurança (FMT_MSA): permite que usuários autorizados tenham acesso ao gerenciamento de atributos de segurança

Gerenciamento dos Dados TSF (FMT_MTD): permite que usuários autorizados (por papeis) possuam controle do gerenciamento de dados TSF



Revogação (FMT_REV): define a revogação de atributos de segurança para entidades dentro de um TOE

Expiração dos Atributos de Segurança (FMT_SAE): define a capacidade de criar limites para a validade dos atributos de segurança

Especificação das Funções de Gerenciamento (FMT_SMF): define as funções de gerenciamento onde administradores definem parâmetros e controle de determinadas operações de segurança

Regras de Gerenciamento de Segurança (FMT_SMR): define os papeis (roles) que atribuem determinados direitos de acesso a usuários

Classe FRP – Privacidade


Define os requisitos de privacidade dos atributos de um usuário

Composta de quatro famílias:

Anonimato (FPR_ANO): assegura que um usuário use um recurso ou serviço sem declarar ou descobrir sua identidade

Pseudônimo (FPR_PSE): permite que um usuário acesse um recurso ou serviço usando uma identidade que não seja a sua real

“Ilinkabilidade” (FPR_UNL): requer que usuários ou sujeitos sejam incapazes de determinar quando esse mesmo usuário executou certa operação

Desobservância (FPR_UNO): assegura que um usuário pode usar/acessar um recurso independente de outro, especialmente terceiros que podem detectar que tal recurso está sendo acessado

Classe FPT – Proteção do TSF


Define requisitos funcionais relacionados a integridade, funcionamento e gerenciamento dos mecanismos que constituem o TSF

Composta de quatorze famílias:

Segurança a Falhas (FPT_FLS): garante que o TOE estará disponível mesmo nas categorias mapeadas de falhas no TSF

Disponibilidade de dados TSF expostos (FPT_ITA): define regras para prevenção de indisponibilidade de dados TSF quando trafegados de um ponto a outro

Confidencialidade de dados TSF expostos (FPT_ITC): define regras para proteção contra acessos não-autorizados durante a transmissão da dados TSF de um ponto a outro



Integridade de dados TSF expostos (FPT_ITI): define regras para proteção contra alterações não-autorizados durante a transmissão da dados TSF de um ponto a outro

Transferência de dados TOE TSF internos (FPT_ITT): define requisitos para proteção de dados TSF quando transmitidos de partes distintas TOE

Proteção TSF Física (FPT_PHP): define restrições a acessos/alterações físicos não autorizados ao TSF

Recuperação Confiável (FPT_RCV): define (TSF) regras que asseguram um reinicio seguro após continuas falhas ou interrupções (TOE)

Detecção de Reprodução (FPT_RPL): define mecanismos contra reprodução indesejada ou não autorizada de diversos tipos de entidades como mensagens, arquivos, etc.



Protocolo de Sincronia de Estado (FPT_SSP): define regras para sincronia de estados de diversos versões de TOEs distribuídos

Data de Modificação (FPT_STM): define regras para marcação de tempo (data/hora) de estado (criação/modificação/etc.)

Consistência de Dados Inter-TSF (FPT_TDC): define regras para validação de versões ou dados distribuídos entre ambiente distintos

Entidades externas de Testes (FPT_TEE): define requisitos para execução de testes em uma ou mais entidades externas

Consistência na Replicação de Dados Internos TSE (FPT_TRC): define regras que asseguram a veracidade entre a fonte e o destino de dados replicados em ambiente distintos

Auto-teste TSF (FPT_TST): define requisitos para criação de testes automatizados em operações esperadas

Classe FRUUtilização de Recursos


Define a disponibilidade de recursos (hardware/software) para execução de operações

Composta de três famílias: Tolerância a Falhas (FRU_FLT): assegura que o TOE manterá sua correta operação mesmo em eventos falhos

Classe FAU Auditoria da Segurança


As funções do TOE são definidas para monitorar eventos relevantes de segurança e atuar como impedimento a estas violações. Esses requerimentos incluem: proteção de dados, formato de gravação de dados, seleção de eventos bem como ferramentas de análise e alarmes de violação

•Resposta automática •Geração de dados •Análise de auditoria •Revisão •Seleção de eventos •Armazenamento de eventos

Classe FCOComunicação


Descreve os requisitos especificamente de interesse para os TOEs que são usados para transportar as informações

Os componentes desta classe permitem evidenciar que a TSF não repudiou o transporte destas informações

•Não Repúdio de Origem (FCO_NRO)

•Não Repúdio de Recepção (FCO_NRR)

Classe FCS Suporte a Criptografia


Criptografia é uma funcionalidade que satisfaz diversos objetivos de segurança de alto nível. Inclui, mas não se limita a: identificação e autenticação, confiabilidade do caminho e separação de dados

•Gerenciamento de chaves criptográficas

•Operação de criptografia

Classe FDPProteção de dados do usuário


Especifica componentes para proteção dos dados do usuário. O que difere do FIA, que especifica componentes para proteção de atributos associados com o usuário e do FPT, que especifica componentes para proteger a informação do TSF

•Política de controle de acesso •Funções de controle de acesso•Autenticação de dados•Exportação do TOE•Política de controle do fluxo da informação

Classe FDPProteção de dados do usuário


• Funções de controle do fluxo da informação

• Importação externa ao TOE

• Transferência interna do TOE

• Proteção a informação residual

• Reversão

• Integridade dos dados armazenados

• Inter-TSF confiabilidade na transferência de

dados

• Inter-TSF integridade na transferência de dados



São necessárias para garantir que os usuários estão associados com os atributos de segurança apropriados.(Ex: identidade, grupos, funções de segurança ou os níveis de integridade)

•Identificação do usuário (FIA_UID): determina a identidade de um usuário

•Autenticação do usuário (FIA_UAU): verifica a identidade de um usuário

•Falhas de autenticação (FIA_AFL): define o limite de insucessos a serem repetidos em tentativas de autenticação



• Definição dos atributos dos usuários (FIA_ATD): define os atributos de usuário que são utilizados na execução das SFRs

• Características do usuário (FIA_USB): cuida da correta associação dos atributos de segurança para cada usuário autorizado

• Especificação de segredos (FIA_SOS): realiza a geração e a verificação de segredos que satisfaçam uma métrica definida



Especifica a gestão de vários aspectos na TSF: atributos de segurança, dados e funções de TSF

•Gestão de funções na TSF (FMT_MOF)

•Gestão do comportamento das funções de segurança (FMT_MOF)

•Gestão dos atributos de segurança (FMT_MSA)

Classes FPR, FPT, FRU


FPR – PRIVACIDADE: proteção quanto a descoberta por outros da identidade de um usuário

FPT – PROTEÇÃO DAS FUNÇÕES DE SEGURANÇA: proteção dos dados de segurança do TOE (em oposição aos dados do usuário – FDP)

FRU – UTILIZAÇÃO DE RECURSOS: as famílias desta classe falam sobre tolerância a falhas, prioridades e alocação de recursos

Classe FPR


Esta classe descreve quatro famílias:

•Anonimato

•Pseudonimato

•Unlinkability

•Inobservabilidade

Todas as famílias assumem que o usuário não pode explicitamente executar uma ação que revela a própria identidade do usuário

Famílias Classe FPR


Anonimato (FPR_ANO): O anonimato garante que uma pessoa pode usar um recurso ou serviço sem revelar sua identidade de usuário

A família fornece o PP / autor ST como um meio de identificar o conjunto de usuários que não podem ver a identidade de alguém executar determinadas ações

Classe FPR


ANONIMATO

FPR_ANO.1: Esse componente garante que a identidade de um usuário é protegida de divulgação. Pode haver casos, entretanto, que um determinado usuário autorizado pode determinar que se realizem certas ações. Este componente permite a flexibilidade de capturar uma política de privacidade limitada ou total

FPR_ANO.2 (anonimato sem solicitar informações): Esse componente é usado para garantir que a TSF não terá permissão de saber a identidade do usuário

Classe FRP


Pseudonimato (FPR_PSE): Pseudonimato garante que um usuário pode usar um recurso ou serviço sem revelar sua identidade, mas ainda pode ser responsável por esse uso. O usuário pode ser responsável por estar relacionado diretamente a uma referência (alias), realizada pela TSF, ou dando um apelido que será utilizado para fins de processamento, como um número de conta

Pseudonimato reversível (FPR_PSE.2): Neste componente, a TSF deve assegurar que, sob condições específicas, a identidade do usuário relacionada a uma referência fornecida pode ser determinada

Classe FPR


Unlinkability (FPR_UNL): Unlinkability garante que um usuário pode fazer uso múltiplo dos recursos ou outros serviços, sem serem capazes de ligar esses usos juntos. Unlinkability difere do pseudonimato, que embora em pseudonimato o usuário também não é conhecido, as relações entre as diferentes ações podem ser fornecidas

Inobservabilidade (FPR_UNO): Inobservabilidade aborda a identidade do usuário a partir de um sentido diferente do que as famílias anteriores anonimato, pseudonimato e Unlinkability. Neste caso, a intenção é esconder o uso de um recurso ou serviço, ao invés de esconder a identidade do usuário

Garantias de exigências de Segurança


Os Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC (Common Criteria for Information Technology Security Evaluation) é a base para o padrão internacional ISO/IEC 15408 em segurança da informação. O CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI

O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, Security Assurance Requirements (SARs)


EAL1 – (sonda de função): é aplicável, se necessário ter alguma confiança Quando a operação correta, e também onde a ameaça à segurança são vistas como sérios

EAL2 – (estruturalmente testada): requer a cooperação do dono da obra nos termos da distribuição das informações de projeto e os resultados dos testes e fornece a confiança através de uma análise das funções de segurança usando uma especificação funcional e de interface manual e de alto nível de concepção do produto para entender o comportamento de segurança

EAL3 – (experimentado e testado métodos): permite que um desenvolvedor para chegar a uma garantia máxima da engenharia de segurança positivo na fase de projeto, sem alteração substancial das actuais práticas de desenvolvimento válido

EAL – Evaluation Assurance Level


EAL4 – (projetado, testado e revisto método): este nível permite que um desenvolvedor para conseguir garantir o máximo de engenharia de segurança positivo baseado em boas práticas de desenvolvimento comercial que, apesar de rigoroso, não requerem conhecimento especializado substancial, habilidades e outros recursos

EAL5 – (projetado e testado semi): permite que um desenvolvedor para conseguir garantir o máximo de engenharia de segurança positivo, aplicando técnicas de engenharia de segurança moderada



EAL6 – (Semi testados e verificados design): permite que os desenvolvedores a obter garantias alta na implementação da engenharia de segurança para um ambiente de desenvolvimento rigoroso, onde o objeto da avaliação é considerada de grande valor para a protecção de alto custo ou estimado desses bens contra os riscos significativos

EAL7 – (Verified design e testados formalmente): aplica-se ao desenvolvimento de itens de avaliação de segurança para uso em situações de alto risco ou quando o alto valor dos bens justifica o custo mais elevado


Segurança de Produto


Oito classes de garantia são definidos na norma ISO/IEC 15408-3, com cada uma subdividida em um número pequeno de famílias Assurance. São estas classes e famílias que são consideradas em detalhe por um avaliador ao avaliar as capacidades de segurança de um produto

Protection Profile (PP) Evaluation Conformidade ReclamaçõesA definição do problema de segurançaObjectivos de segurançaComponente Definições prolongadoRequisitos de Segurança

Security Target (ST) Evaluation ST IntroduçãoConformidade ReclamaçõesA definição do problema de segurançaObjectivos de segurançaComponente Definições prolongadoRequisitos de Segurança



Development Arquitetura de SegurançaEspecificações FuncionaisImplementação RepresentaçãoInternas do TSFModelação da Política de SegurançaTOE Design

Guidance Documents Administrador de OrientaçãoGuia do Utilizador

Life Cycle Support Desenvolvimento de SegurançaAlterar Capacidades de GestãoAlterar escopo de GestãoEntregaFalha de despoluiçãoDefinição do Ciclo de VidaTécnicas e Ferramentas


Tests CoberturaProfundidadeTestes FuncionaisTeste Independente

Vulnerability Assessment Análise de Vulnerabilidade

Composition Composição RationalEvidência de DesenvolvimentoConfiança do Componente DependenteComposto Testes TOEComposição Análise de Vulnerabilidade



Perfil de Proteção (PP)

Um perfil de proteção (PP) é um conjunto independente de implementação dos requisitos de segurança de TI para uma categoria de equipamentos destinados a atender às necessidades comuns dos consumidores pela segurança de TI

O PP deve incluir informações suficientes rotulagem e descritiva para que possa ser identificado, catalogado, registrado e cruzado. O documento, número de versão, data e título completo de um padrão ETSI são suficientes para essa finalidade



As informações e os requisitos constantes da norma relacionadas à segurança são muito semelhantes às que se espera que sejam encontrados em um PP. No entanto, uma norma destina-se a ser a base para aplicação enquanto o destino de um PP é a base para a avaliação. Assim, a apresentação e ênfase do conteúdo é necessariamente diferente em cada um. EG 202 382 descreve um proforma para comunicações normas que resume o conteúdo da norma, de uma forma que seja aceitável como PP e fornece referências a cláusulas onde informações mais detalhadas podem ser encontradas

Classe ALCApoio ao Ciclo de Vida


Criação de disciplina e controle nos processos de refinamento do TOE (alvo de testes) durante o seu desenvolvimento e manutenção de sistemas de informação

Formada por sete famílias:

Capacidades CM (ALC_CMC): Reduzir a probabilidade de modificações acidentais ou não autorizadas

CM escopo (ALC_CMS): Identificar itens a serem incluídos como itens de configuração

Entrega (ALC_DEL): Transferência segura do TOE acabado do ambiente de desenvolvimento para o usuário


Desenvolvimento de segurança (ALC_DVS): Preocupada com as medidas de segurança física, procedimental, pessoal entre outras

Falha de remediação (ALC_FLR): Falhas de segurança possam ser descobertas, rastreadas e corrigidas pelo desenvolvedor

Ciclo de vida definição (ALC_LCD): Modelo para o desenvolvimento e manutenção pré estabelecido

Ferramentas e técnicas (ALC_TAT): Seleção de ferramentas que são usadas para desenvolver, analisar e programar o TOE

Classe ALCApoio ao Ciclo de Vida

Classe ATE – Testes


A ênfase nesta classe é a confirmação de que a TSF opera de acordo com suas descrições de design

Formada por quatro famílias:

Cobertura (ATE_COV): TSF testada contra a sua especificação funcional

Profundidade (ATE_DPT): Combater o risco de perder um erro no desenvolvimento do TOE

Testes funcionais (ATE_FUN): Garantir que os testes na documentação de testes são realizados e documentados corretamente

Testes Independentes (ATE_IND): Construídos sobre os protestos realizados nas famílias ATE_FUN, ATE_COV e ATE_DPT

Classe AVAAvaliação de Vulnerabilidade


Aborda a possibilidade de vulnerabilidades exploráveis introduzido no desenvolvimento ou o funcionamento do TOE

A análise da vulnerabilidade é uma avaliação para determinar se as potenciais vulnerabilidades identificadas durante a avaliação do desenvolvimento e do funcionamento antecipado do TOE ou por outros métodos (por exemplo, hipóteses de falha ou análise quantitativa ou estatística do comportamento de segurança dos mecanismos de segurança subjacentes), poderiam permitir que invasores violassem os SFR

Classe ACO – Composição


A ênfase nesta classe é a confirmação de que a TSF opera de acordo com suas descrições de design

Formada por cinco famílias:

Composição dos fundamentos (ACO_COR): Componente de base pode fornecer um nível adequado de garantia

Desenvolvimento de provas (ACO_DEV): Necessárias para ganhar a confiança de que a funcionalidade de segurança são apropriada

Classe ACO – Composição


Confiança do componente dependente (ACO_REL): Informação útil para as pessoas responsáveis pela integração do componente com outras avaliadas dos componentes

Composto de testes TOE (ACO_CTT): Requer que o teste composto e teste base do TOE, possam ser usados como teste composto do TOE

Composição e análise de vulnerabilidade (ACO_VUL): Vulnerabilidades disponíveis em domínio público de vulnerabilidades possam ser introduzidas, como resultado total da composição

COMMON CRITERIA – ISO/IEC 15408 DAVIDSON WILLIAM AFONSO DÊNIO DOS SANTOS FERNANDO XAVIER TRINDADE...

Documents

Transcript of COMMON CRITERIA – ISO/IEC 15408 DAVIDSON WILLIAM AFONSO DÊNIO DOS SANTOS FERNANDO XAVIER TRINDADE...