PL
 |
EN

PL EN

Preferencje help
Polish version English version Język
Widoczny [Schowaj] Abstrakt
Liczba wyników
Tytuł artykułu

Ontology based model of the common criteria evaluation evidences

Autorzy
Białas A.
Treść / Zawartość
Pełne teksty:
bialas_ontology.pdf
Identyfikatory
Warianty tytułu
PL
Model materiału dowodowego do oceny zabezpieczeń według metodyki Wspólne Kryteria bazujący na ontologii
Języki publikacji
EN
Abstrakty
EN
The paper presents a new ontology-based approach to the elaboration and management of evidences prepared by developers for the IT security evaluation process according to the Common Criteria standard. The evidences concern the claimed EAL (Evaluation Assurance Level) for a developed IT product or system, called TOE (Target of Evaluation), and depend on the TOE features and its development environment. Evidences should be prepared for the broad range of IT products and systems requiring assurance. The selected issues concerning the author's elaborated ontology are discussed, such as: ontology domain and scope definition, identification of terms within the domain, identification of the hierarchy of classes and their properties, creation of instances, and an ontology validation process. This work is aimed at the development of a prototype of a knowledge base representing patterns for evidences.
PL
Artykuł przedstawia wybrane zagadnienia dotyczące modelu materiału dowodowego wykorzystywanego w procesie oceny i certyfikacji zabezpieczeń informatycznych. Model opracowano w oparciu o metody inżynierii wiedzy i metodykę "Wspólne Kryteria" (ISO/IEC 15408 Common Criteria). Zakres i szczegółowość materiału dowodowego, przedkładanego wraz z produktem informatycznym (sprzęt, oprogramowanie, w tym układowe, system informatyczny) do oceny w niezależnym, akredytowanym laboratorium są implikowane przez zadeklarowany dla produktu poziom uzasadnionego zaufania EAL (Evaluation Assurance Level). EAL1 to wartość minimalna, EAL7 - maksymalna. Każdemu z poziomów EAL odpowiada pewien spójny zbiór wymagań uzasadniających zaufanie, czyli pakiet komponentów SAR (Security Assurance Requiremeni) - Tab.l. Większość z ponad tysiąca ocenionych produktów posiada certyfikaty EAL3-EAIA Oceniany pod względem wiarygodności swych zabezpieczeń, produkt informatyczny zwany jest przedmiotem oceny (TOE - Target of Evaluation). Na wstępie należy dla niego opracować materiał dowodowy o nazwie zadanie zabezpieczeń (ST - Security Target), który stanowi podsumowanie przeprowadzonych analiz bezpieczeństwa produktu i zawiera wykaz funkcji zabezpieczających, które należy zaimplementować w produkcie informatycznym na zadeklarowanym arbitralnie dla niego poziomie EAL, by zasoby informacji były w wystarczający sposób chronione przed zagrożeniami. W drugim etapie wypracowywany jest obszerny materiał dla samego produktu (projekt TOE, jego interfejsów, sposób implementacji, dokumentacja uruchomieniowa i użytkowa, testy, ocena podatności, itp.) i środowiska rozwojowego, w którym ten produkt powstaje (procesy rozwojowe w cyklu życia, zabezpieczenia środowiska rozwojowego, narzędzia, zarządzanie konfiguracją, usterkami i dostawą dla użytkownika, itp.). Artykuł zawiera wprowadzenie do metodyki Common Criteria, przegląd dotychczasowych badań, w tym badań własnych, w zakresie ontologii, modelowania pojęć i procesów tej metodyki. Całość metodyki Common Criteria zawarto w modelu wyrażonym za pomocą ontologii środków specyfikacji (SMO - Specification Means Ontology), jednak w głównej części artykułu (Rozdział 4) uwagę skupiono na fragmencie modelu odnoszącym się do materiału dowodowego dla samego TOE (bez ST). Przedstawiono proces tworzenia ontologii zgodnie z klasycznym podejściem [3] i z wykorzystaniem popularnego narzędzia [18]. Pokazano, jak opracowano rozbudowaną hierarchię klas, opisano własności klas i ich ograniczenia, a także, jak tworzono bazę wiedzy zawierającą środki specyfikacji. Artykuł rozwiązuje problem organizacji (struktury i zawartości) wzorców materiału dowodowego, tworząc dla nich szablony i instrukcje wypełnienia ich treścią dotyczącą opracowywanego produktu informatycznego. Opracowaną ontologie poddawano testom w toku tworzenia. Ontologie SMO wykorzystano więc jako model materiału dowodowego, implikowanego przez komponenty SAR należące dla poszczególnych pakietów EAL. Model ten, po poddaniu go walidacji i rewizji, może być podstawą do budowy aplikacji użytkowych dla twórców materiału dowodowego.
Słowa kluczowe
EN
Wydawca
Instytut Informatyki Teoretycznej i Stosowanej Polskiej Akademii Nauk
Czasopismo
Theoretical and Applied Informatics
Rocznik
2013
Tom
Vol. 25, No. 2
Strony
69--91
Opis fizyczny
Bibliogr. 23 poz., rys.
Twórcy
autor
Białas A.
a.bialas@emag.pl
  • Institute of Innovative Technologies EMAG ul. Leopolda 31, 40-189 Katowice, Poland
Bibliografia
  • 1.Common Criteria for IT security evaluation, part 1-3. v. 3.1. (200Q)
  • 2.W. H. Higaki, Successful Common Criteria Evaluation. A Practical Guide for Vendors. Copyright 2010 by Wesley Hisao Higaki, Lexington, KY 2011.
  • 3. N. F. Noy, D. L. McGuiness, Ontology Development 101: A Guide to Creating Your First Ontology. In: Stanford Knowledge Syst. Lab. Tech. Rep. KSL-01-05 and Stanford Medical Informatics Tech. Rep. SMI-2001-0880. Stanford University, CA. http://www-ksl.stanford.edu/people/dlm/papers/ontology-tutorial-noy-mcguinness-abstract.html (2001). Accessed March 2013
  • 4.D. S. Yavagal, S. W. Lee, G. J. Ann, R. A. Gandhi, Common Criteria Requirements Modeling and its Uses for Quality of Information Assurance (QoIA). In: Proc. of the 43rd Annual ACM Southeast Conference (ACMSE'05), Vol. 2, ISBN: 1-59593-059-0, pp. 130-135. Kennesaw State University Kennesaw, Georgia, ACM New York (2005)
  • 5. A. Ekelhart, S. Fenz, G. Goluch, E. Weippl, Ontological Mapping of Common Criteria's Security Assurance Requirements. In: H. Venter, M. Eloff, L. Labuschagne, J. Eloff, von R. Solms (eds.) New Approaches for Security, Privacy and Trust in Complex Environments, pp. 85-95. ISBN 978-0-387-72366-2, Springer, Boston (2007)
  • 6.Secure Business. Common Criteria ontology, http://research.securityresearch.at/ research/focus/common-criteria-security-assurance/ (2008). Accessed October 2008
  • 7.A. Vorobiev, N. Bekmamedova, An Ontological Approach Applied to Information Security and Trust. In: Proc. of the 18th Australasian Conf. on Information Systems, Toowoomba. http ://citeseerx. ist.psu.edu/viewdoc/download?doi= 10.1.1.94.843 3 &rep=repl&type=pdf (2007). Accessed March 2013
  • 8.A. Kim, J. Luo, M. Kang, Security Ontology for Annotating Resources, On the Move to Meaningful Internet Systems 2005: CoopIS, D0A, anJ 0DBASE, In: Proceedings part II, pp. 1483-1499, Agia Napa, Cyprus, October-November 2005, Lecture Notes in Computer Science (LNCS), ISBN 978-3-540-29738-3, Springer, Berlin; Heidelberg (2005).
  • 9.A. Ekelhart, S. Fenz, G. Goluch, B. Riedel, et al., Information Security Fortification by Ontological Mapping of the ISO/IEC 27001 Standard. In: Proc. of the 13th Pacific Rim Int. Symposium on Dependable Computing, Washington DC, USA, pp. 381-388. IEEE Computer Society, http://publik.tuwien.ac.at/files/pub-inf_4689.pdf (2007). Accessed March 2013
  • 10. L. A. F. Martimiano, E. S. Moreira, Using ontologies to assist security management. In: Proc. of the 8th Intl. Protege Conference, Madrid, http://www.ppgia.pucpr.br/~maziero/ pesquisa/ceseg/sbseg06/conteudo/artigos/resumos/l9513.pdf (2005). Accessed June 2008, moved to: http://www.redes.unb.br/ceseg/anais/2006/conteudo/artigos/ resumos/19513.pdf Accessed March 2013
  • 11.A. Ekelhart, S. Fenz, M. Klemen, E. Weippl, Security Ontologies: Improving Quantitative Risk Analysis. In: Proceedings of the 40th Hawaii International Conference on System Sciences, Big Island, Hawaii, ISBN: 0-7695-2755-8, IEEE Computer Society Press. (2007)
  • 12.B. Tsoumas, S. Dritsas, D. Gritzalis, An Ontology-Based Approach to Information Systems Security Management. In: Proc. of 3rd International Workshop on Mathematical Methods, Models, and Architectures for Computer Network Security, MMM-ACNS 2005, ISBN 978-3-540-29113-8, St. Petersburg, Russia, September 2005, Lecture Notes in Computer Science (LNCS), Volume 3685/2005, pp. 151-164. Springer, Berlin; Heidelberg (2005)
  • 13.L. A. F. Martimiano, E.S. Moreira, An OWL-based Security Incident Ontology. In: Proc of the 8th Intl. Protege Conf. Madrid, http://protege.stanford.edu/conference/2005/ submissions/posters/poster-martimiano.pdf (2005). Accessed Feb 2013
  • 14.CSL - Computer Science Laboratory. Security ontologies in OWL. http://www.csl.sri. com/users/denker/owl-sec/ontologies/ (2010). Accessed June 2008, moved to: http:// www.csl.sri.com/people/denker/ Accessed March 2013
  • 15.DAML Services - Security and privacy, http://www.daml.org/services/owl-s/security.html (2001-2013). Accessed March 2013
  • 16.Herzog's Security Ontology. Linkoping University, http://www.ida.liu.se/~iislab/ projects/secont/ (2007). Accessed Jan 2013
  • 17.REI Ontology Specifications, ver. 2.0. University of Maryland, http://www.csee.umbc. edu/~lkagall/rei/ (2010). Accessed Jan 2013
  • 18.Protégé Ontology Editor and Knowledge Acquisition System, v.14. Stanford University.http://protege.stanford.edu/ (2008). Accessed May 2008, March 2013
  • 19.A. Bialas, Common Criteria Related Security Design Patterns-Validation on the Intelligent Sensor Example Designed for Mine Environment. Sensors 2010, 10, 4456-4496. available at: http://www.mdpi.eom/1424-8220/10/5/4456 Accessed Jan 2013
  • 20.A. Bialas, Semiformal Approach to the IT Security Development. In: W. Zamojski, J. Mazurkiewicz, J. Sugier, T. Walkowiak (Eds.) Proc. of the Int. Conf. on Dependability of Computer Systems DepCoS-RELCOMEX 2007, pp. 3-11. ISBN 0-7695-2850-3, IEEE Computer Society, Los Alamitos; Washington; Tokyo (2007)
  • 21.A. Bialas, Semiformal Common Criteria Compliant IT Security Development Framework. Studia Informática vol. 29, Number 2B(77), Silesian University of Technology Press Gliwice. http://www.znsi.aei.polsl.pl/ (2008). Accessed March 2013
  • 22.A. Bialas, Ontology-based Approach to the Common Criteria Compliant IT Security Development. In: H. Arabnia, S. Aissi, M. Bedworth (eds.) Proc. of the 2008 Int. Conf. on Security and Management, pp. 586-592. CSREA Press, Las Vegas (2008)
  • 23.A. Bialas, Ontology-based Security Problem Definition and Solution for the Common Criteria Compliant Development Process. In: Proceedings of 2009 Fourth International Conference on Dependability of Computer Systems (DepCoS-RELCOMEX 2009),pp. 3-10. ISBN 978-0-7695-3674-3, IEEE Computer Society, Los Alamitos; Washington; Tokyo (2009)
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-a4b5f1a3-0d84-4450-aa46-9f77f6104717
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.