An approach to determine the Evaluation Assurance Level to the system based on the results of risk analysis

• Autorzy: El Fray I.

Warianty tytułu

PL

Sposób wyznaczania poziomu uzasadnionego zaufania do systemu w oparciu o wyniki analizy ryzyka

• Języki publikacji: EN

Abstrakty

EN

This paper presents an approach to determine the Evaluation Assurance Level (EAL) for IT systems based on risk analysis results with the use of common methods, such as CRAMM, OCTAVE or MEHARI. The main goal of the work was the analysis of mutual influence of strength of function and vulnerability taking into account the classification of common vulnerabilities. The attack potential factors were also determined as elements broadening the knowledge bases included in Mehari method. The correctness of discussed method has been verified on the example of CA computer network.

PL

W artykule przedstawiano sposób wyznaczania poziomu uzasadnionego zaufania do systemu (EAL) w oparciu o wyniki analizy ryzyka z wykorzystaniem dostępnych na rynku metod analizy ryzyka, jak CRAMM, OCTAVE czy MEHARI. Głównym celem pracy była analiza wzajemnego wpływu siły funkcji zabezpieczeń, potencjał ataku, oraz komponenty procesu analizy podatności z uwzględnieniem klasyfikacji powszechnie występujących słabości systemów informatycznych. Określono również czynniki potencjału ataku jako elementy rozszerzające bazę wiedzy zawartą w metodzie Mehari. Prawidłowość omawianego sposobu zweryfikowano na podstawie przykładowego sieciowego urzędu certyfikującego (dwusegmentowa sieć CA). Otrzymane wyniki wykazały, że przy minimalnych zmianach w bazie wiedzy Mehari możliwe jest wykonanie szczegółowej oceny badanej przykładowej infrastruktury klucza publicznego oraz w przybliżeniu można wyznaczyć jej poziom uzasadnionego zaufania zgodnie z wymaganiami wspólnych kryteriów (Common Criteria ISO/IEC 15408).

Słowa kluczowe

EN

risk analysis; evaluation assurance level; strength of function level (SOF-Level)

PL

analiza ryzyka; poziom uzasadnionego zaufania; poziom siły funkcji zabezpieczeń

• Wydawca: Wydawnictwo PAK
• Czasopismo: Pomiary Automatyka Kontrola
• Rocznik: 2011
• Tom: R. 57, nr 7
• Strony: 770--773
• Opis fizyczny: Bibliogr. 12 poz., rys., tab.

Twórcy

autor

El Fray I.

• Zachodniopomorski Uniwersytet Technologiczny, Wydział Informatyki, ul. Żołnierska 49, 71-210 Szczecin,

Bibliografia

• [1] PN-ISO/IEC - 27001: Information technology - Security techniques - Information security management systems - Requirements, 2005.
• [2] ISO/IEC - 15408: Common Criteria for Information Technology Security Evaluation, version 3.0, Part 1: Introduction and general model, June 2005.
• [3] PN-ISO/IEC-13335: Information technology - Guidelines for the management of IT Security - Part 1, Part 2, Part 3, 1996-1998.
• [4] Federation of European Risk Management Associations “FERMA”: Risk Management Standard, 2003.
• [5] Common Criteria for Information Technology Security Evaluation, version 3.0, Part 2: Security functional requirements, June 2005.
• [6] Common Criteria for Information Technology Security Evaluation, version 3.0, Part 3: Security Assurance Requirements, June 2005.
• [7] Common Methodology for Information Technology Security Evaluation, version 3.0, July 2005.
• [8] http://www.insight.co.uk/products/cramm.htm 2011.
• [9] http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES, 2011.
• [10] Swiderki Frank: Threats modeling, MS Press, 2005.
• [11] EU Directive 1999/93/EC of the European Parliament and the council of 13 December 1999 on a Community framework for electronic signatures.
• [12] http://www.cesg.gov.uk/