Identyfying the features of the IT security-related products for the IT development process according to Common Criteria

• Autorzy: Białas A.

Warianty tytułu

PL

Określenie własności produktu bezpieczeństwa teleinformatycznego w procesie projektowania według WSpólnych Kryteriów

• Języki publikacji: EN

Abstrakty

EN

The paper deals IT security development and evaluation according to the Common Criteria (ISO/IEC 15408) family of standards. The development process was shown concisely, focusing on its initial stage - preparing precise IT security-related products features specification, influencing other design stages. The UML-based approach was introduced to specify product functionality provided for users and product security features in the same way. It allows to define the common development framework and computer-aided tool. The development process was shown on the "Security Target Introduction" example. Starting from use cases, identifying basic needs of users, to the expression of the structural and behavioral aspects - the whole capturing process was discussed. Elaborating " Security Target Introduction" allows to start next stage, specifying IT security environment, expressing security needs and concerns - not discussed in this paper.

PL

Artykuł dotyczy wybranych aspektów projektowania produktów lub systemów zawierających elementy zabezpieczeń, według zasad zidentyfikowanych przez Wspólne kryteria oceny zabezpieczeń teleinformatycznych (ISO.IEC 15408) I standardy z nimi związane. Zwięźle przedstawiono etapy projektowania. Szczególną uwagę zwrócono na etap wstępny - określenie cech produktu w postaci sformalizowanego "Wprowadzenie do Zadania Zabezpieczeń" , na podstawie którego sukcesywnie wypracowane mogą być kolejne (nie przedstawiana w artykule) specyfikacje projektowe: otoczenia zabezpieczeń, celów zabezpieczeń, wymagań na zabezpieczenia, funkcji zabezpieczających - każda z nich wymagająca precyzyjnego uzasadnienia. Artykuł przedstawia koncepcję wykorzystania języka modelowania UML do wstępnego etapu procesu projektowania, to znaczy do opracowania "Wprowadzenia do Zadania Zabezpieczeń". Pokazano, w jaki sposób zidentyfikować elementy produktu lub systemu istotne z punktu widzenia bezpieczeństwa teleinformatycznego, jak korzystać z przypadków użycia oraz jak doprowadzić do zdefiniowania kooperacji przedstawiającej produkt, jego zachowanie i strukturę. Identyfikacja tych elementów umożliwia zdefiniowanie otoczenia zabezpieczeń - przedstawienia zagrożeń dla produktu lub systemu, zasad polityki bezpieczeństwa, założeń dotyczących stosowania produktu oraz koniecznych do spełnienia przez jego otoczenie.

Słowa kluczowe

EN

Common Criteria; IT security; design; evaluation; development; computer aiding; security engineering; UML (United Modelling Language); modelling

• Wydawca: Instytut Informatyki Teoretycznej i Stosowanej Polskiej Akademii Nauk
• Czasopismo: Archiwum Informatyki Teoretycznej i Stosowanej
• Rocznik: 2005
• Tom: T. 17, z. 1
• Strony: 3--18
• Opis fizyczny: Bibliogr. poz. 20, rys.

Twórcy

autor

Białas A.

• Institute of Control Systems, 41-506 Chorzów, Długa 1-3, Poland

Bibliografia

• [1] ISO/1EC 15408-1, Information technology - Security techniques - Introduction and general model (Common Criteria Part I).
• [2] ISO/IEC 15408-2, Information technology - Security techniques - Security functional requirements (Common Criteria Part 2).
• [3] ISO/IEC 15408-3, Information technology - Security techniques - Security assurance requirements (Common Criteria Part 3).
• [4] Common Evaluation Methodology for Information Technology Security, Part 1: Introduction and General Model, CEM-97/017, v.0.6, 1997.
• [5] Common Evaluation Methodology for Information Technology Security, Part 2: Evaluation Meth-odology, CEM-99/045, v. 1.0, August 1999.
• [6] ISO/IEC DTR 15446, Information technology - Security techniques - Guide for the production of protection profiles and security targets.
• [7] CCToolbox: http://cc-control.sparta.com/
• [8] TL SET http://trusted-logic.fr
• [9] TL FIT: http://trusted-logic.fr
• [10] SecCert: http://www.iss.pl
• [11I] Białas A.: ICT security designing process, NATO Advanced Research Workshops (NATO ARW), Gdansk, 6-9 September 2004.
• [12] Bialas A.: IT security development - computer-aided tool supporting design and evaluation, In: Kowalik J, Górski J., Sachenko A. (editors): Cyberspace Security and Defense: Research Issues, NATO reference: ARW 980492. (will be published in 2005)
• [13] Booch G., Rumbaugh J., Jacobson I.: UML- Przewodnik użytkownika , Wyd. II, Wydawnictwa Naukowo-Techniczne, Warszawa 2002, (The Unified Modelling Language - User Guide).
• [14] UMLsite http://vvwvv.omg.org/uml/
• [15] Jürjens J.: UMLsec: Extending UML for Secure Systems Development, UML 2002, Dresden, LNCS, Springer-Verlag, 2002.
• [16] Galitzer S.: Introducing Engineered Composition (EC): An Approach for Extending the Common Criteria to Better Support Composing Systems, Published in the Workshop for Application of Engineering Principles to System Security Design (WAEPSSD) Proceedings, September 2003.
• [17] Lavatelli C: EDEN: A formal framework for high level security CC evaluations, e-Smart' 2004, Sophia Antipolis 2004.
• [18] Białas A.: Wprowadzenie do problematyki projektowania i oceny zabezpieczeń teleinformatycznych, Studia Informática vol. 22, Number 1(43), Silesian University of Technology Press, Gliwice 2001, pp. 263-287 ^Introduction to IT security development and evaluation", in Polish).
• [19] Białas A.: Modelowanie i ocena zabezpieczeń teleinformatycznych, Studia Informática vol. 23, Number 2B(49), Silesian University of Technology Press, Gliwice 2002, pp. 219-232 („Security modeling and evaluation", in Polish).
• [20] Białas A.: Sposób formalnego wyrażania własności bezpieczeństwa teleinformatycznego, Studia Informática vol. 24, Number 2B(54), Silesian University of Technology Press, Gliwice 2003, pp. 265-278 („Formal description of the security features", in Polish).