Convegno “Il fattore sicurezza”
La valutazione della sicurezza dei sistemi IT(Common Criteria - ISO 15408)
Ing. Piero Giagnoni
Milano, 4 dicembre 2001
Convegno “Il fattore sicurezza”
slide n. 2
Catena evolutiva dello standard ISO
1980- TSECUSA
1991-ITSEC 1.2UNIONE EUROPEA(Francia-Germania
Olanda- Regno Unito)
1993-CTCPECCANADA
1994- CCCanadaFrancia
GermaniaOlanda
Regno UnitoUSA
1999- CCISO/IEC15408
StandardInternazionale
Convegno “Il fattore sicurezza”
slide n. 3
vogliono preservare i loro
TitolariTitolari
BeniBeni
Scenario di riferimento della Sicurezza
Convegno “Il fattore sicurezza”
slide n. 4
vogliono preservare i loro
mirano a dar luogo ad abusi o danneggiamenti sui
TitolariTitolari
BeniBeniAgenti MalevoliAgenti Malevoli
Scenario di riferimento della Sicurezza
danno luogo a suiMinacceMinacce
Convegno “Il fattore sicurezza”
slide n. 5
vogliono preservare i loro
incorsidai
che ingenerano i
che aumentano i
danno luogo a sui
che sfruttano
mirano a dar luogo ad abusi o danneggiamenti sui
Sono coscienti di
TitolariTitolari
VulnerabilitàVulnerabilità
PericoliPericoli
MinacceMinacce BeniBeniAgenti MalevoliAgenti Malevoli
Scenario di riferimento della Sicurezza
Convegno “Il fattore sicurezza”
slide n. 6
vogliono minimizzare i
vogliono preservare i loro
incorsidai
che ingenerano i
che aumentano i
danno luogo a sui
che sfruttano
mirano a dar luogo ad abusi o danneggiamenti sui
Sono coscienti di
TitolariTitolari
VulnerabilitàVulnerabilità
PericoliPericoli
MinacceMinacce BeniBeniAgenti MalevoliAgenti Malevoli
Scenario di riferimento della Sicurezza
Convegno “Il fattore sicurezza”
slide n. 7
vogliono minimizzare i
vogliono preservare i loro
realizzano
incorsidai
per ridurre i
che ingenerano i
che aumentano i
danno luogo a sui
che sfruttano
mirano a dar luogo ad abusi o danneggiamenti sui
Sono coscienti di
riducibili da
TitolariTitolari
Contromisure
VulnerabilitàVulnerabilità
PericoliPericoli
MinacceMinacce BeniBeniAgenti MalevoliAgenti Malevoli
Scenario di riferimento della Sicurezza
Convegno “Il fattore sicurezza”
slide n. 8
vogliono minimizzare i
vogliono preservare i loro
realizzano
incorsidai
per ridurre i
che ingenerano i
che aumentano i
danno luogo a sui
che sfruttano
mirano a dar luogo ad abusi o danneggiamenti sui
Sono coscienti di
riducibili da
TitolariTitolari
Contromisure
VulnerabilitàVulnerabilità
PericoliPericoli
MinacceMinacce BeniBeniAgenti MalevoliAgenti Malevoli
Scenario di riferimento della Sicurezza
Convegno “Il fattore sicurezza”
slide n. 9
Contesto della Sicurezza nell’IT
TTARGET ARGET OOFFEEVALUATIONVALUATION
( ( TOETOE ) )
= Informazioni disseminate su supporti informatici
= Infrastrutture informatiche finalizzate all’erogazione dei servizi
PericoliPericoli = Accessi indebiti e corruzioni sulle informazioni accudite
= Perturbazioni sui servizi che s’intende erogare
Contromisure = Protezioni garantite:
dai sistemi ITdalle logistiche di installazionedalle operatività degli addetti
Convegno “Il fattore sicurezza”
slide n. 10
Attori coinvolti nella sicurezza IT
Valutatori
Sviluppatoridei sistemi
Implementatoridei processi operativi
Consumatori Fruitori dei servizi erogati dai TOE
Convegno “Il fattore sicurezza”
slide n. 11
Documento di specifica rapportatoDocumento di specifica rapportatoad uno specifico TOE, inclusivo della ad uno specifico TOE, inclusivo della sua implementazione tecnologicasua implementazione tecnologica
Documento di specifica rapportato ad un archetipo di TOE realizzabile in diverse maniere e visto in termini indipendenti dalle sue possibili implementazioni
Protection ProfileProtection Profile e Security TargetSecurity Target
ProtectionProfile
SecurityTarget
SISTEMIANCORA
DA REALIZZAREDI CUI
SI DEFINISCONOI REQUISITI
SISTEMIREALIZZATI
DI CUISI VALUTA
LA CONFORMITA’AI REQUISITISPECIFICATI
Convegno “Il fattore sicurezza”
slide n. 12
COMMON CRITERIA (ISO 15408) e ISO 17799
danno per scontate leprocedure di gestione sicura
e richiedono che sianoesplicitate
Esplicitano irequisiti
di gestione sicura
da per scontati irequisiti di gestione sicura
e richiede che sianoesplicitati
Esplicitano leprocedure
di gestione sicura
INTRINSECA COMPLEMENTARIETA’
Convegno “Il fattore sicurezza”
slide n. 13
Classi delle funzioni di sicurezza
FAUFAU Audit della sicurezzaAudit della sicurezzaFCOFCO ComunicazioniComunicazioniFCSFCS Supporti crittograficiSupporti crittograficiFDPFDP Protezione dei dati utenteProtezione dei dati utenteFIAFIA Identificazione ed autenticazioneIdentificazione ed autenticazioneFTMFTM Gestione della sicurezzaGestione della sicurezzaFPRFPR PrivatezzaPrivatezzaFTPFTP Protezione delle funzioni di sicurezzaProtezione delle funzioni di sicurezzaFRUFRU Utilizzazione delle risorseUtilizzazione delle risorseFTAFTA Accesso al TOEAccesso al TOEFTPFTP Percorsi e canali accreditatiPercorsi e canali accreditati
Convegno “Il fattore sicurezza”
slide n. 14
Componenti funzionali delle funzioni di sicurezza
FAUFCOFCSFDPFIAFTMFPRFTPFRUFTAFTP
I requisiti funzionali sono espressi facendo riferimentoad una tassonomiatassonomia (elenco strutturato) di componenti funzionali
viene pertanto “estratto” un insieme di componenti funzionali,operando una “personalizzazione”
Convegno “Il fattore sicurezza”
slide n. 15
1
1
1
1
1
1
1
3
2
2
22
6
3
2
2
4 5
1
21 2
1 2
1 2
1
1
2
Componenti funzionali delle funzioni di sicurezza
FDP_ACC Access Control Policy
FDP_ACF Access Control Functions
FDP_DAU Data authentication
FDP_ETC Export to outside TSF control
FDP_IFC Information flow control policy
FDP_IFF Information flow control functions
FDP_ITC Import from outside TSF control
FDP_ITT Internal TOE trnsfer
FDP_RIP Residual information protection
FDP_ROL Rollback
FDP_SDI Stored data integrity
FDP_UCT Inter-TSF user data confidentialitytransfer protection
FDP_UIT Inter-TSF user data integritytransfer protection
Class FDP User Data Protection
Convegno “Il fattore sicurezza”
slide n. 16
Componenti funzionali delle funzioni di sicurezza
Class FDP User Data Protection
FDP_IFF Information flow control functions
1
6
3
2
4 5
1 SIMPLE SECURITY ATTRIBUTES
2 HIERARCHICAL SECURITY ATTRIBUTES
3 LIMIT ILLICIT INFORMATION FLOW
4 PARTIAL ELIMINATION ILLICIT INFORMATION FLOW
5 NO ILLICIT INFORMATION FLOW
6 ILLICIT INFORMATION FLOW MONITORING
Convegno “Il fattore sicurezza”
slide n. 17
Componenti funzionali delle funzioni di sicurezza
Class FDP User Data Protection
FDP_IFF Information flow control functions
1
6
3
2
4 5
FDP_IFF.1.1 The TSF shall enforce the [assignment: information flow control SFP] based on the following types of subject and information security attributes: [assignment: the minimum number and type of security attributes].
FDP_IFF.1.2 The TSF shall permit an information flow between a controlled subject and controlled information via a controlled operation if the following rules hold: [assignment: for each operation, the security attribute- based relationship that must hold between subject and information security attributes].
FDP_IFF.1.3 The TSF shall enforce the [assignment: additional information flow control SFP rules].
FDP_IFF.1.4 The TFS shall provide the following [assignment: list of additional SFP capabilities].
FDP_IFF.1.5 The TSF shall esplicitly authorise an information flow based on the following rules: [assignment: rules, based on security attributes, that esplicitly authorise information flows].
FDP_IFF.1.6 The TSF shall esplicitly deny an information flow based on the following rules: [assignment: rules, based on security attributes, that esplicitly deny information flows].
FDP_IFF.1 Simple security attributes
Convegno “Il fattore sicurezza”
slide n. 18
ACMACM Gestione della configurazioneADOADO Rilascio ed esercizioADVADV SviluppoAGDAGD Documenti guidaALCALC Supporti al ciclo di vitaATEATE Collaudi AVAAVA Vulnerabilità
Classi di assicurazione
Convegno “Il fattore sicurezza”
slide n. 19
Componenti delle classi di assicurazione
ACMADOADVAGDALCATEAVA
ad esempioACM_CAP
(capacità della gestione della configurazione)
ACM_CAP-1
ACP_CAP-2
ACM_CAP-3
ACM_CAP-4
ACM_CAP-5
ACM(gestione della configurazione)
La classe ACM si occupa della GESTIONE DELLA CONFIGURAZIONE
La famiglia ACM_CAP traccia la verosimiglianza di modifiche non autorizzate o accidentalinell’ambito della GESTIONE DELLA CONFIGURAZIONE
Convegno “Il fattore sicurezza”
slide n. 20
ACM_CAP.1 Numeri di versione Ogni TOE è dotato di un suo riferimento, unico e differente per ciascuna sua versione Il TOE è marcato con il suo codice riferimento.
ACM_CAP.2 Elementi di configurazione Per la gestione delle configurazioni del TOE si impiega un sistema di gestione della
configurazione. Ogni TOE è fornito della sua documentazione di gestione della configurazione che:
include la lista di configurazione degli elementi del TOE; identifica in maniera univoca tutti gli elementi della configurazione; esplicita i metodi usati per perseguire i due punti precedenti.
Componenti della classe ACM_CAP
Convegno “Il fattore sicurezza”
slide n. 21
ACM_CAP.3 Controlli delle autorizzazioni Il piano di gestione della configurazione, incluso nella documentazione, descrive
come il sistema di gestione della configurazione è impiegato. E’ fornita evidenza che il sistema di gestione della configurazione opera
conformemente ai piani di gestione. La documentazione della gestione della configurazione fornisce evidenza che tutti
gli elementi delle configurazioni sono effettivamente mantenuti sotto controllo. Il sistema di gestione della configurazione dà luogo solamente a modifiche
autorizzate sugli elementi di configurazione.
ACM_CAP.4 Supporti generali e procedure di accettazione La documentazione include le procedure di accettazione degli elementi nuovi o
modificati del TOE. Il sistema di gestione della configurazione include le procedure di gestione del
TOE.
Continua...
Componenti della classe ACM_CAP
Convegno “Il fattore sicurezza”
slide n. 22
ACM_CAP.5 Supporti avanzati La gestione della configurazione include le procedure di integrazione del TOE. Le procedure di integrazioni descrivono come il sistema di gestione della
configurazione è impiegato nel processo di approntamento del TOE. Il sistema di gestione della configurazione richiede che la persona responsabile
della accettazione sotto configurazione di un elemento e chi ne ha curato losviluppo non coincidano.
Il sistema di gestione della configurazione identifica in maniera chiara gli elementidi un TOE che ne costituiscono le TSF.
Il sistema di gestione della configurazione supporta il tracciamento di tutte lemodifiche del TOE, specificando, come minimo, nella sequenza di tracciamento,originatore, data ed ora.
Il sistema di gestione della configurazione identifica la copia madre del materialeusato per generare il TOE.
Continua...
Componenti della classe ACM_CAP
Convegno “Il fattore sicurezza”
slide n. 23
La documentazione dimostra che l’impiego del sistema di gestione dellaconfigurazione, assieme alle misure di sicurezza adottate per gli sviluppi,consentono su un TOE solamente modifiche autorizzate.
La documentazione del sistema di gestione della configurazione dimostra chel’impiego delle procedure di integrazione garantisce che il TOE è generato inmaniera corretta nei modi autorizzati.
La documentazione dimostra che il sistema di gestione assicura che non ci siaframmistione tra le persone che accettano gli elementi sotto configurazione e quelleche li hanno sviluppati.
La documentazione evidenzia che le procedure di accettazione forniscono un’adeguato controllo delle modifiche introdotte negli elementi che concorrono allaconfigurazione.
ACM_CAP.5 Supporti avanzati...Continua
Componenti della classe ACM_CAP
Convegno “Il fattore sicurezza”
slide n. 24
EAL1EAL1: Collaudato a livello funzionale
EAL2EAL2: Collaudato a livello strutturale
EAL3EAL3: Collaudato e verificato in maniera metodica
EAL4EAL4: Progettato collaudato e revisionato in
maniera metodica
EAL5EAL5: Progettato e collaudato in maniera
semiformale
EAL6EAL6: Progetto semiformalizzato + collaudo
EAL7EAL7: Progetto formalizzato + collaudo
Livelli di assicurazione
Convegno “Il fattore sicurezza”
slide n. 25
AGD_ADM .1
AGD_USR .1
ADV_FSP.1
ADV_RCR .1
ATE_IND.1
ADO_IGS.1
Consegna edesercizio
Sviluppi
Prove e
collaudi
Documenti di guida
Esempio di livello di assicurazione: EAL1EAL1
ACM_CAP.1
Gestionedella
configurazione
Supportiper il
ciclo divita
Assunti di
vulnerabilità
Convegno “Il fattore sicurezza”
slide n. 26
AGD_ADM .1
AGD_USR .1
ADV_FSP.2
ADV_HLD.2
ADV_IMP.1
ADV_LLD .1
ADV_RCR .1
ADV_SMP .1
ATE_DPT .1
ATE_FUN .1
ATE_IND .2
AVA_MSU.2
ADO_DEL .2
ADO_IGS .1
Consegna edesercizio
Sviluppi
AVA_SOF .1
AVA_VLA .2
ATE_COV.2
Prove e
collaudi
ALC_DVS .1
ALC_LCD .1
ALC_TAT . 1
Supportiper il
ciclo divita
Assunti di
vulnerabilità
Documenti di guida
Esempio di livello di assicurazione: EAL4EAL4
ACM_AUT .1
ACM_CAP .4
ACM_SCP .2
Gestionedella
configurazione
Convegno “Il fattore sicurezza”
slide n. 27
AGD_ADM .1
AGD_USR .1
ADV_FSP.4
ADV_HLD.5
ADV_IMP.3
ADV_LLD .2
ADV_RCR .3
ADV_SMP .3
ATE_DPT .3
ATE_FUN .2
ATE_IND .2
AVA_MSU.3
ADO_DEL .3
ADO_IGS .1
Consegna edesercizio
Sviluppi
AVA_SOF .1
AVA_VLA .4
ATE_COV.3
Prove e
collaudi
ALC_DVS .2
ALC_LCD .3
ALC_TAT .3
Supportiper il
ciclo divita
Assunti di
vulnerabilità
Documenti di guida
Esempio di livello di assicurazione: EAL7EAL7
ACM_AUT .2
ACM_CAP .5
ACM_SCP .3
Gestionedella
configurazione
AVA_CCA.2
Convegno “Il fattore sicurezza”
slide n. 28
Conclusioni
L’applicazione dello standard ISO 15408 ad un sistema IT consente di: comparare i risultati di valutazioni di sicurezza indipendenti
attraverso una rigida tassonomia dei REQUISITI DI SICUREZZA e una misurazione del livello di assicurazione della sicurezza di un sistema IT;
stabilire, attraverso un PROCESSO DI VALUTAZIONE, un livello di confidenza che le FUNZIONI DI SICUREZZA, e le MISURE DEL LIVELLO di sicurezza, di quel sistema IT soddisfino quei REQUISITI;
sviluppare le FUNZIONI DI SICUREZZA di sistemi IT complessi (che prendono il nome di TARGET OF EVALUATION (TOE) e includono ad es.: sistemi operativi, reti di computer, sistemi e applicazioni distribuite;
considerare non solo le FUNZIONI DI SICUREZZA fondamentali per la CONFIDENZIALITA’, INTEGRITA’ e DISPONIBILITA’ delle informazioni, ma anche tutte quelle che riguardano gli altri aspetti;
L’ISO 15408 può essere impiegato con funzioni di sicurezza implementateindifferentemente in hadware, firmware o software