Znaczenie porozumień CCRA (Common Criteria Recognition Agreement)

Transkrypt

1 Instytut Technik Innowacyjnych Znaczenie porozumień CCRA (Common Criteria Recognition Agreement) Barbara Flisiuk Nr projektu: UDA POIG /08-00 Akronim projektu: CCMODE Plan prezentacji 1. Cel porozumienia CCRA i sposób jego realizacji 2. Uznawanie certyfikatów CC 3. Interpretacja i stosowanie metodyki CC 4. Członkostwo w CCRA 5. Zawartość aneksów do porozumienia CCRA a) Definicje b) Schemat oceny i certyfikacji/walidacji c) Wymagania dla jednostek certyfikujących d) Ocena jednostek certyfikujących e) Wymagane informacje i dokumenty f) Procedura składania aplikacji o status jednostki certyfikującej g) Zawartość raportów z certyfikacji 2 1

2 Common Criteria Recognition Agreement - CCRA Sygnatariusze: Defence Signals Directorate and Government Communication Security Bureau Australia i Nowa Zelandia Communications Security Establishment Kanada Presidenza del Consiglio dei Ministri AutoritàNazionale per la Sicurezza CESIS III Reparto UCSi Włochy Ministry of the Interior and Kingdom Relations Holandia Ministry of Finance Finlandia HQ Defence Command Norway/Security Division Norwegia Service Central de la Sécurité des Systèmes d'information Francja Bundesamt für Sicherheit in der Informationstechnik Niemcy Ministry of Interior Grecja Ministerio de Administraciones Públicas Hiszpania Communications-Electronics Security Group, Department of Trade and Industry Wielka Brytania National Institute of Standards and Technology, National Security Agency USA 3 Cel porozumienia CCRA Zapewnienie, że ocena produktów/systemów IT i profili zabezpieczeń jest dokonywana wg wysokich i stałych standardów w celu zapewnienia zaufania do tych produktów i profili zabezpieczeń; Zwiększenie dostępności ocenionych produktów/systemów IT i profili zabezpieczeń o zwiększonym poziomie bezpieczeństwa (ang. securityenhanced); Eliminacja podwójnej oceny produktów/systemów IT i profili zabezpieczeń; Stały rozwój efektywności i rentowności procesów oceny, certyfikacji i walidacji produktów IT i profili zabezpieczeń Realizacja powyższych celów poprzez stworzenie takiej sytuacji, kiedy produkty IT i profile, które uzyskały certyfikat CC mogą być kupowane lub używane bez konieczności powtórnej oceny 4 2

3 W jaki sposób sygnatariusze zamierzają realizować cele umowy Podstawą wydania opinii (ang. judgement) nt produktu/systemu IT podlegającego ocenie jest poziom uzasadnionego zaufania do tego produktu. Sygnatariusze będą: kierować się wzajemnym zaufaniem co do wydawanych opinii oraz zaufaniem do własnych kompetencji, działać aktywnie w celu rozwoju zastosowania metodyki CC, podejmować działania w celu ekonomicznego zastosowania wyników oceny, np. aby sponsorzy przekazywali informacje o produkcie innym zainteresowanym stronom. 5 Kto może być sygnatariuszem/uczestnikiem porozumienia, np. Organizacje lub agencje rządowe Wystawcy certyfikatów oceny Użytkownicy certyfikatów oceny Certificate consuming Participants Uczestnicy-Konsumenci Certificate authorising Participants Uczestnicy autoryzujący Nie zawsze posiadają zdolności do oceny bezpieczeństwa IT, jednak wyrażają zainteresowanie użytkowaniem certyfikowanych lub walidowanych produktów IT i profili zabezpieczeń Są sponsorami jednostek certyfikujących (Certification bodies) działających w ich krajach oraz autoryzują ich certyfikaty. Certificate authorising Participants, którzy kontrolują zasoby i ekspertyzy jednostek certyfikujących określani są jako Qualified Participants. Każdy sygnatariusz porozumienia uznaje certyfikaty autoryzowane przez innych sygnatariuszy. 6 3

4 W jakich przypadkach sygnatariusz/uczestnik może odmówić uznania certyfikatu Jeżeli uznanie certyfikatu wiązałoby się z działaniem niezgodnym z przepisami krajowymi, międzynarodowymi lub Unii Europejskiej. W szczególności, jeżeli produkt IT lub profil zabezpieczeń jest rozważany do zastosowania w aplikacjach/systemach, które dotyczą informacji podlegających specjalnej ochronie zgodnie z prawem danego kraju, dodatkowymi przepisami, regulacjami administracyjnymi lub innymi zobowiązaniami. Sygnatariusze mogą odmówić uznania certyfikatu tylko w odniesieniu do powyższego zakresu stosowania. 7 Warunki uznawania certyfikatów Każdy uczestnik powinien uznawać certyfikaty CC uznane przez Uczestników Autoryzujących (Certificate Authorising Participants) z wyjątkami opisanymi powyżej. Taka autoryzacja oznacza, że procesy oceny oraz certyfikacji/walidacji zostały przeprowadzone w profesjonalny sposób: na podstawie zaakceptowanych kryteriów oceny bezpieczeństwa informacji, z użyciem akceptowanych metod oceny bezpieczeństwa informacji (IT security evaluation methods), w zgodzie ze Schematem oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) prowadzonym przez właściwą instytucję certyfikującą (CB) w kraju uczestnika autoryzującego. Certyfikaty, które spełniają powyższe wymagania są zgodne z porozumieniem CCRA. 8 4

5 Ocena, certyfikacja/walidacja są prowadzone profesjonalnie, jeżeli spełnione są następujące warunki minimum: a) Organizacja prowadząca ocenę (Evaluation Facility) - została akredytowana w danym kraju przez odpowiednią jednostkę akredytacyjną (Accreditation Body) w zgodzie z normą EN lub ISO Guide 25 lub zgodnie z interpretacją potwierdzoną przez wszystkich Uczestników oraz otrzymała licencję lub dopuszczenie zgodnie z aneksem B.3 porozumienia. - ewentualnie została powołana zgodnie z prawem lub innymi procedurami obowiązującymi w danym kraju i spełnia wymagania zawarte w aneksie B.3 porozumienia CCRA. ****** EN 45001:1989 General criteria for the operation of testing laboratories PN-EN 45001:1993 Ogólne kryteria działania laboratoriów badawczych ISO Guide 25 General requirements for the competence of calibration and testing laboratories 9 Ocena, certyfikacja/walidacja są prowadzone profesjonalnie, jeżeli spełnione są następujące warunki minimum: b) Jednostka certyfikująca (CB Certification Body) jest uznana za zgodną z warunkami porozumienia oraz - została akredytowana w danym kraju przez odpowiednią jednostkę akredytacyjną w zgodzie z normą EN lub ISO Guide 65 lub w zgodzie z lokalną interpretacją tych standardów, co spełnia wymagania aneksu C porozumienia CCRA - lub została powołana zgodnie z prawem lub innymi procedurami obowiązującymi w danym kraju i spełnia wymagania normy EN lub ISO Guide 65 lub wymagania zawarte w aneksie C porozumienia CCRA. ****** EN 45011:1998 General requirements for bodies operating product certification systems PN-EN 45011:2000 Wymagania ogólne dotyczące jednostek prowadzących systemy certyfikacji wyrobów ISO Guide 65 General requirements for bodies operating product certification systems 10 5

6 Działania sygnatariuszy/uczestników porozumienia w celu uzyskania jednolitej interpretacji i stosowania metodyki Common Criteria Regularna wymiana informacji, dyskusja Monitorowanie wszystkich aktualnie toczących się procesów oceny i realizacja procedur, które zapewnią, że wszystkie instytucje prowadzące ocenę i afiliowane przez jednostki certyfikujące: - prowadzą ocenę w sposób obiektywny, - stosują metodykę CC w sposób prawidłowy i konsekwentny, - stosują odpowiednią ochronę w zakresie poufności informacji. Okresowe przeglądy jednostek certyfikujących - nie rzadziej niż raz na pięć lat. 11 Każdy wydany certyfikat powinien posiadać logo CC Znak potwierdzający, że certyfikat CC został autoryzowany (uznany) Znak używany w celach identyfikacyjnych i marketingowych 12 6

7 Każdy wydany certyfikat powinien posiadać standardowy opis: Common Criteria Certificates Associated with IT Product Evaluations a) Product Manufacturer; b) Product Name; c) Type of Product; d) Version and Release Numbers; e) Protection Profile Conformance (if applicable); f) Evaluation Platform (optional); g) Name of IT Security Evaluation Facility (optional); h) Name of Certification/Validation Body; i) Certification/Validation Report Identifier; j) Date Issued; and k) Assurance Package Common Criteria Certificates Associated with Protection Profile Evaluations a) Protection Profile Developer; b) Protection Profile Name/Identifier; c) Version Number; d) Name of IT Security Evaluation Facility (optional); e) Name of Certification/Validation Body; f) Certification/Validation Report Number; g) Date Issued; and h) Assurance Package

8 Publikacje Każdy Uczestnik Autoryzujący powinien opublikować w sekcji zawierającej listę certyfikowanych/walidowanych przez siebie produktów krótkie informacje o wszystkich produktach IT i profilach zabezpieczeń posiadających certyfikaty uznane przez innych Uczestników. Każdy Uczestnik powinien starać się udostępnić innym Uczestnikom wszelkie informacje i dokumentację (w zakresie dostępnym przez prawo i inne przepisy). 15 Nowi członkowie w CCRA Członkowstwo otwarte dla instytucji reprezentujących kraje, które planują wdrożyć i przestrzegać zasad zawartych w Porozumieniu. Warunek członkowstwa: zgoda wszystkich sygnatariuszy. Jednostka certyfikująca może być uznana za zgodną z warunkami Porozumienia jeżeli wszyscy sygnatariusze będą zgodni, że spełnia ona warunki określone w Porozumieniu. 16 8

9 Aneks A do Porozumienia zawiera definicje terminów użytych w umowie i aneksach oraz terminów istotnych do zrozumienia/interpretacji umowy. CB Certification/Validation Body jednostka certyfikująca Evaluation Facility organizacja przeprowadzająca ocenę niezależnie od twórców produktu IT lub profilu zabezpieczeń, zwykle na zasadach komercyjnych. ITSEF IT Security Evaluation Facility organizacja posiadająca licencję lub zgodę na przeprowadzanie oceny w kontekście konkretnego schematu oceny bezpieczeństwa IT (IT Security Evaluation and Certification/Validation Scheme). 17 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Cel zapewnienie, poprzez systematyczną organizację oraz zarządzanie funkcjami oceny i certyfikacji/walidacji, że zostaną utrzymane wysokie standardy kompetencji i obiektywności oraz że uzyskana została zgodność. Za całość schematu oceny odpowiedzialna jest jednostka certyfikująca 18 9

10 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Rola i funkcje jednostki certyfikującej (CB) CB jest niezależna od akredytowanej organizacji przeprowadzającej ocenę (ITSEF). CB może być: - założona według zasad prawa lub innych oficjalnych procedur administracyjnych obowiązujących w danym kraju, lub - akredytowana przez właściwą Jednostkę Akredytującą (Accreditation Body) Ma spełniać wymagania zawarte w aneksie C do Porozumienia 19 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Akredytacja i licencjonowanie organizacji przeprowadzających ocenę (Evaluation Facilities) Warunki niezbędne do uczestnictwa organizacji w schemacie: a) Akredytowana przez Jednostkę Akredytującą (Accreditation Body) oficjalnie uznawaną w danym kraju oraz b) Licencjonowana lub akceptowana przez Jednostkę Certyfikującą (CB) odpowiedzialną za zarządzanie schematem Akredytacja oznacza, że organizacja działa w sposób obiektywny i kompetentny (w aspekcie technicznym, metodycznym i proceduralnym) oraz że spełnia wymagania normy EN lub ISO Guide 25. Organizacja przeprowadzająca ocenę musi zademonstrować przed CB, że jest kompetentna technicznie w określonym zakresie oceny bezpieczeństwa informatycznego

11 Aneks C Porozumienia Wymagania dla jednostki certyfikującej (CB Certification/Validation Body) Struktury administracyjnej i organizacyjnej Kompetencji personelu zajmującego się certyfikacją Kontroli nad dokumentacją Zapisów Procedur certyfikacji/walidacji Wymagań dla organizacji prowadzących ocenę Zachowania poufności informacji Publikacji Wymagania dotyczą: Dokumentu Quality Manual określającego procedury, za pomocą których jednostka działa w zgodzie z Porozumieniem Zachowania poufności informacji Publikacji Odwołań i procedur pojednawczych Okresowych kontroli Nadużyć w użyciu certyfikatów CC Odwołania certyfikatów CC 21 Aneks D Porozumienia Okresowa ocena jednostki certyfikującej (Voluntary periodic assessments) Ocena przeprowadzana przez Qualified Participants Cel: Zapewnienie, że jednostka certyfikująca: działa zgodnie z zasadami porozumienia CCRA we wszystkich aspektach procesu oceny oraz walidacji/certyfikacji stosuje procedury zapewniające ochronę informacji wrażliwych Aneks F Porozumienia Jakie informacje i dokumenty powinny dostarczyć: Jednostka certyfikująca zarządzająca schematem oceny i certyfikacji/walidacji Członkowie porozumienia sobie wzajemnie (m.in. kopię każdego autoryzowanego przez siebie certyfikatu; informację że dany produkt wypadł z listy produktów certyfikowanych)

12 Aneks G Porozumienia Podanie o status jednostki certyfikującej zgodnej z porozumieniem CCRA procedura zgłaszania Formalne podanie za pośrednictwem członka porozumienia w swoim kraju (członek porozumienia zostaje sponsorem jednostki) Dokumentacja obejmującą, m.in.: Pełen opis dotyczący zakresu, organizacji i działania schematu oceny i certyfikacji/walidacji Ostatnią wersję listy produktów certyfikowanych przez jednostkę certyfikującą Co najmniej dwa certyfikaty CC wystawione pod nadzorem jednostki Komitet zarządzający odpowiada wstępnie w ciągu 3 tygodni. 23 Aneks G Porozumienia Podanie o status jednostki certyfikującej zgodnej z porozumieniem CCRA procedura zgłaszania W przypadku pozytywnej odpowiedzi komitetu aplikant wybiera co najmniej dwa produkty o poziomie EAL 3 lub 4 do powtórnej certyfikacji/walidacji (shadow certification/validation) dostarcza skrócony opis każdego produktu i szczegóły dotyczące procesu jego oceny i certyfikacji/walidacji. Komitet zarządzający w ciągu miesiąca wybiera jeden z produktów do powtórnej certyfikacji/walidacji oraz członków do jej przeprowadzenia. Członkowie decydują jaki zakres produktu będzie podlegał powtórnej certyfikacji/walidacji. Raport z certyfikacji/walidacji w ciągu miesiąca. Decyzja komitetu w ciągu dwóch miesięcy

13 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.1 Certification/Validation Report Evaluation Technical Report (ETR) sporządzany przez organizację prowadzącą ocenę (Evaluation Facility) dla jednostki certyfikującej (CB) podstawa do sporządzenia Certification/Validation Report. Cel ETR: Przedstawienie werdyktów i ich uzasadnień Przedstawienie innych wyników oceny, w tym błędów i podatności wykrytych podczas oceny Cel Certification/Validation Report Dostarczenie potencjalnym użytkownikom praktycznych informacji nt produktu IT lub profilu zabezpieczeń, niezbędnych do bezpiecznego wdrożenia produktu (nie obejmuje to informacji chronionych) 25 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.2 Streszczenie (Executive Summary) Krótkie streszczenie całego raportu, przegląd wyników oceny. I.3 Identyfikacja Numer wersji oprogramowania, poprawki oprogramowania (jeżeli występują), numer wersji sprzętowej i urządzeń peryferyjnych (np. drukarek) zidentyfikowane i zapisane. Kompletna identyfikacji produktu IT zapewni, że może on być w całkowity i właściwy sposób odtworzony do następnych procesów oceny w przyszłości. I.4 Polityka bezpieczeństwa Opisuje produkt IT jako zbiór usług bezpieczeństwa. Opis polityki bezpieczeństwa zawiera zasady, z jakimi musi być zgodny produkt IT lub zasady, które ten produkt wymusza

14 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.5 Założenia i zakres (Assumptions and Clarification of Scope) Aspekty bezpieczeństwa dotyczące środowiska/konfiguracji, w którym będzie używany dany produkt IT (właściwa instalacja i konfiguracja, minimum sprzętowe itp.). Określenie zakresu oceny w odniesieniu do zagrożeń, wobec których nie ma przeciwdziałań. Użytkownicy mogą dowiedzieć się jakie ryzyka niesie ze sobą użytkowanie danego produktu. I.6 Informacja o architekturze Zaawansowany opis produktu IT i jego głównych komponentów w oparciu o założenia zawarte w poziomie uzasadnionego zaufania dla klasy komponentów Development-High Level Design (ADV_TDS). Charakterystyka rozdziału architektonicznego (architectural separation) głównych komponentów. 27 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.7 Dokumentacja Kompletny spis dokumentacji produktu IT dostarczany przez producenta do konsumenta z numerami wersji. Minimum: podręcznik użytkownika, podręcznik administratora, instrukcja instalacji. I.8 Testowanie produktu IT przez producenta i oceniającego: metoda testu, konfiguracja, wyniki. I.9 Oceniania konfiguracja Konfiguracja produktu IT podczas procesu oceny dokładne ustawienia i szczegóły konfiguracji z uzasadnieniem wyborów. Podstawa do instalacji ocenianego produktu. I.10 Wyniki oceny Wymagania uzasadnionego zaufania (assurance requirements), które spełnia oceniany produkt IT

15 Aneks I Porozumienia Zawartość raportów z certyfikacji/walidacji I.11 Komentarze i rekomendacje oceniającego Informacja dodatkowa: np. niedociągnięcia produktu zaobserwowane podczas oceny lub szczególnie pożyteczne cechy. I.12 Aneksy Wszelkie informacje dodatkowe, które mogą być przydatne dla odbiorców raportu, ale nie pasują do zawartości rozdziałów raportu (np. dokładny opis polityki bezpieczeństwa). I.13 Zadanie zabezpieczeń (Security Target) Zadanie zabezpieczeń, ale z usuniętymi lub sparafrazowanymi informacjami technicznymi prawnie zastrzeżonymi. I.14 Słownik W celu ułatwienia czytania raportu (definicje, akronimy) I.15 Bibliografia Wszystkie dokumenty użyte jako materiały źródłowe podczas sporządzania raportu (m. in. kryteria, metodyki, dokumentacja techniczna, dokumentacja producenta używana w trakcie oceny. 29 Instytut Technik Innowacyjnych Dziękuję Państwu za uwagę Barbara Flisiuk Nr projektu: UDA POIG /08-00 Akronim projektu: CCMODE 15

16 Aneks K Porozumienia Lista jednostek certyfikujących (CB) zgodnych z CCRA Australasian Information Security Evaluation Programme Sponsor: Defence Signals Directorate and Government Communication Security Bureau, Australia i Nowa Zelandia Canadian Common Criteria Evaluation and Certification Scheme Sponsor: Communications Security Establishment, Kanada Schema d Evaluation et Certification Francais Sponsor: Service Central de la Sécurité des Systèmes d'information, Francja Bundesamt für Sicherheit in der Informationstechnik (Zertifizierungsstelle) Sponsor: Bundesamt für Sicherheit in der Informationstechnik, Niemcy UK IT Security Evaluation and Certification Scheme Sponsor: Communications-Electronics Security Group and Department of Trade and Industry, Wielka Brytania National Information Assurance Partnership Common Criteria Evaluation and Validation Scheme Sponsor: National Institute of Standards and Technology, and National Security Agency, USA 31 CERTIFICATE AUTHORIZING SCHEMES organizacje zarządzające schematami oceny w poszczególnych krajach (wg stan z dnia ) Defence Signals Directorate and Government Communication Security Bureau Australia i Nowa Zelandia Communications Security Establishment Kanada Direction Centrale de la Securite des Systemes d'information Francja Information Security Certification Office; Information Technology Promotion Agency (IPA) Japonia IT Security Certification Center (ITSCC) Korea Bundesamt für Sicherheit in der Informationstechnik Niemcy TNO Certification Holandia OCSI - Organismo di Certificazione della Sicurezza Informatica AutoritàNazionale per la Sicurezza Włochy Swedish Certification Body for IT Security FMV/CSEC Szwecja Norwegian Certification Authority for IT Security (SERTIT) Norwegia Organismo de Certificación de la Seguridad de las Tecnologías de la Información Hiszpania The Communications-Electronics Security Group (CESG) and the Department of Trade and Industry (DTI) Wielka Brytania National Institute of Standards and Technology, National Security Agency USA 32 16

17 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Funkcje jednostki certyfikującej (CB) h) Publikacja certyfikatów CC i raportów z walidacji/certyfikacji i) Regularna publikacja dokumentu z krótką informacją nt wszystkich produktów i profili zabezpieczeń ocenianych w ramach schematu, które posiadają aktualny certyfikat CC (Certified/Validated Products List) j) Dokumentować organizację, politykę, zasady i procedury schematu oraz udostępnianie i aktualizacja dokumentacji k) Zapewnienie, że zasady określone w schemacie są przestrzegane l) Ustanawianie i, jeżeli to właściwe, wnoszenie poprawek do polityki schematu m) Zapewnienie, że interesy wszystkich stron działających w ramach schematu mają odpowiednią wagę w procesie Dodatkowo: wsparcie techniczne w kwestiach związanych z porozumieniem CCRA 33 Aneks B Porozumienia Schemat oceny i certyfikacji/walidacji (Evaluation and Certification/Validation Scheme) Funkcje jednostki certyfikującej (CB) a) Autoryzacja uczestnictwa organizacji przeprowadzających ocenę (Evaluation Facilities) w ramach schematu b) Monitorowanie działań organizacji akredytowanych (ITSEF), zwłaszcza zgodności ich działań z kryteriami oceny i metodyką oceny c) Dostarczenie, przestrzeganie i sprawdzanie przestrzegania procedur, które zapewniają ochronę informacji wrażliwych w ramach procesów oceny d) Dostarczenie dodatkowych wskazówek dla ITSEF, jeżeli konieczne e) Monitorowanie bieżących procesów oceny w ramach schematu f) Sprawdzanie raportów z oceny w celu zapewnienia zgodności wniosków z dokumentacją oraz pod kątem prawidłowego zastosowania kryteriów i metod oceny g) Przygotowanie raportu (Certification/Validation Report) dla każdej oceny ukończonej w ramach schematu 34 17