Informatyczne produkty sprzętowe, oprogramowanie oraz systemy o zadanym poziomie uzasadnionego zaufania

• Autorzy: Białas A.

Warianty tytułu

EN

Hardware, software and systems with claimed assurance level

• Języki publikacji: PL

Abstrakty

PL

Artykuł dotyczy zagadnień związanych z konstruowaniem i oceną zabezpieczeń wbudowywanych w dowolne produkty lub systemy informatyczne. Zabezpieczenia te dotyczą funkcji użytkowych i powinny się cechować tak zwanym uzasadnionym zaufaniem, utożsamianym potocznie z wiarygodnością. Przedstawiona w artykule metodyka Common Criteria, opisana w standardzie ISO/IEC 15408, jest podstawową metodyką kreowania uzasadnionego zaufania dla zabezpieczeń informatycznych. Metodyka obejmuje trzy główne procesy. W procesie konstruowania zabezpieczeń, na podstawie różnego typu analiz bezpieczeństwa, wypracowywany jest specjalny dokument zwany zadaniem zabezpieczeń, który stanowi zbiór wymagań bezpieczeństwa - funkcjonalnych (jak zabezpieczenia mają działać) i uzasadniających zaufanie (jaką wiarygodnością mają być one obdarzane). Drugi proces dotyczy konstruowania produktu lub systemu informatycznego oraz opracowania jego dokumentacji, która stanowi rozwinięcie wspomnianego zadania zabezpieczeń. Dokumentacja ta pełni rolę materiału dowodowego w trzecim procesie - w procesie niezależnej oceny zabezpieczeń, który powinien doprowadzić do uzyskania certyfikatu. Dzięki zastosowanemu rygorowi konstruowania oraz niezależnej i wnikliwej ocenie, produkty certyfikowane są uznawane za bardziej wiarygodne, a przez to szczególnie predysponowane do zastosowań obarczonych podwyższonym poziomem ryzyka.

EN

The paper deals with the issues related to the development and evaluation of security functions embedded into IT products and systems. These functions relate to utility functions of the products or systems and should have the so called assurance, commonly understood as reliability. The Common Criteria methodology presented in this paper, described in the ISO/IEC 15408 standard, is the basic methodology to create assurance for IT security. The methodology comprises three major processes. During the security development process, based on different types of security analyses, a document called Security Target is developed. This document is a set of security requirements - functional requirements (how the security functions should work) and assurance requirements (what their reliability should be like). The second process is related to the development of an IT product or system, along with documentation which is a supplement to the above mentioned Security Target. The documentation serves as evidence material in the third process - the process of independent security evaluation which should lead to obtaining a certificate. Thanks to the applied development rigour, as well as independent and thorough evaluation, certified products are recognized as more reliable, thus especially predisposed for high-risk applications.

Słowa kluczowe

PL

konstruowanie zabezpieczeń; ocena zabezpieczeń; standard ISO/IEC 15408

EN

development of security; evaluation of security; ISO/IEC 15408 standard

• Wydawca: Instytut Technik Innowacyjnych EMAG
• Czasopismo: Mechanizacja i Automatyzacja Górnictwa
• Rocznik: 2009
• Tom: R. 47, nr 12
• Strony: 31--44
• Opis fizyczny: Bibliogr. 14 poz.,

Twórcy

autor

Białas A.

• Instytut Technik Innowacyjnych EMAG

Bibliografia

• 1. ISO/IEC 15408-1, Information technology - Security techniques - Evaluation criteria for IT security - Introduction and general model (Common Criteria Part 1).
• 2. ISO/IEC 15408-2, Information technology - Security techniques - Evaluation criteria for IT security - Security functional requirements (Common Criteria Part 2).
• 3. ISO/IEC 15408-3, Information technology - Security techniques - Evaluation criteria for IT security - Security assurance requirements (Common Criteria Part 3).
• 4. Common Criteria portal: http://www.commoncriteriaportal.org/
• 5. ISO/IEC TR 15446 Guide for the production of protection profiles and security targets.
• 6. Common Evaluation Methodology for Information Technology Security.
• 7. Białas A.: Konstruowanie zabezpieczeń produktów i systemów informatycznych posiadających mierzalny poziom uzasadnionego zaufania. Mechanizacja i Automatyzacja Górnictwa, Nr 1(455), styczeń 2009, Centrum Elektryfikacji i Automatyzacji Górnictwa EMAG, Katowice, pp. 45-54.
• 8. Białas A.: Semiformal Common Criteria Compliant IT Security Development Framework. Studia Inibrmatica vol. 29, Number 28(77). Silesian University of Technology Press. Gliwice 2008.
• 9. Białas A.: IT security development - computer-aided tool supporting design and evaluation. W: Kowalik J., Górski J., Sachenko A. (eds.): Cyberspace Security and Defense. vol. 196. Springer Verlag, Heidelberg 2005, s. 3-23.
• 10. Białas A.: A semiformal approach to the security problem of the target of evaluation (TOE) modeling. W: Arabnia H., Aissi S. (Eds), Vert G., Williams P. (Assoc. Co Eds): Proc. of the 2006 Int. Conf. on Security and Management. CSREA Press. Las Vegas 2006, s. 19-25.
• 11. Białas A.: Semiformal Approach to the IT Security Development. W: Zamojski W., Mazurkiewicz J., Sugier J., Walkowiak T.: Proceedings of the International Conference on Dependability of Computer Systems DepCoS-RELCOMEX 2007. IEEE Computer Society, Los Alamitos, Washington, Tokyo, s. 3-11.
• 12. Białas A.: Modeling the Security Objectives According to the Common Criteria Methodology. W: Aissi S., Arabnia H. (Editors), Daimi K., Gligoroski D., Markowsky G., Solo A.,M.,G. (Assoc. Co Eds), Proc. of the 2007 Int. Conf. on Security and Management. CSREA Press, Las Vegas 2007, s. 223-229.
• 13. Białas A.: Semiformal framework for ICT security development. The 8th International Common Criteria Conference (ICCC). Rome, 25-27 September 2007.
• 14. Białas A.: Ontology-based Approach to the Common Criteria Compliant IT Security Development, In: Arabnia H., Aissi S., Bedworth M (Eds.), Proceedings of the 2008 International Conference on Security and Management (The World Congress In Applied Computing- SAM'08: July, Las Vegas, USA), ISBN#1-60132-085-X, 2008. Publisher: CSREA Press, pp. 586-592.