A language for security issues specification during the IT security development process

• Autorzy: Białas A.
• Języki publikacji: EN

Abstrakty

EN

The paper deals with the modelling of IT (Information Technology) security development process to be compliant with the Common Criteria (ISO/IEC 15408) family of standards. The paper concerns a more extensive project of the IT security development framework (ITSDF) but special attention is paid to improving and extending the means used to build the IT security specification. A dedicated language is proposed to define specification means for development stages other than the security requirement elaboration stage for which the standard does not provide specification means. The proposed means, called “enhanced generics”, can be used to specify items for the security environment, objectives, environmental requirements and the security functions. The enhanced generics have similar features as the components of the security requirements. They have a well defined structure and allow operations (iteration) on themselves. This solution, instead of the informal textual descriptors, ensures better preciseness of the security features description. The key element of the paper is the formal grammar of generics. It allows to derive all possible “legal” enhanced generics. They have semiformal character and features, similarly to the functional and assurance components defined by the standard to specify the security requirements. The paper, concluding an earlier informal approach, introduces syntax and semantics definitions based on the formal grammar and approach used to define the OCL language formally. The proposed means make security specifications more precise and coherent, allowing to reach the assurance level more easily. Moreover, this approach allows to create an IT security development tool in which the specification means are implemented as the design library elements.

PL

Artykuł dotyczy wybranych zagadnień modelowania procesu konstruowania produktów lub systemów teleinformatycznych zawierających elementy zabezpieczeń, zgodnie z wymaganiami określonymi we “Wspólnych kryteriach oceny zabezpieczeń teleinformatycznych” (ISO/IEC 15408) i w standardach z nim związanych. Dotyczy on szerzej zakrojonych prac autora nad szkieletowym systemem konstruowania zabezpieczeń (ITSDF – IT security development framework). Skupiono w nim uwagę na udoskonaleniu i rozszerzeniu środków do tworzenia specyfikacji modeli bezpieczeństwa produktów lub systemów teleinformatycznych. Zaproponowano dedykowany język do specyfikowania własności bezpieczeństwa dla wszystkich etapów konstruowania, innych niż etap definiowania wymagań bezpieczeństwa. Należy nadmienić, że w standardzie Wspólne kryteria tylko dla tego etapu określono środki specyfikacji, czyli komponenty funkcjonalne i uzasadniające zaufanie. Natomiast dla etapów wypracowania: otoczenia zabezpieczeń (“problemu bezpieczeństwa” według wersji 3.1 standardu), celów zabezpieczeń, wymagań dla środowiska eksploatacji oraz funkcji zabezpieczających, dotychczas takich środków nie zdefiniowano. Konstruktorzy zabezpieczeń stosują więc opisy słowne lub zwięzłe, ale dość swobodnie zdefiniowane, sformułowania oznaczane etykietami, które zwane są potocznie generykami. Autor w swej publikacji zaproponował udoskonalenie tego sposobu opisu. Zaproponowane w publikacji środki specyfikacji, z racji swych możliwości, nazwano “udoskonalonymi generykami” (enhanced generics). Są one przeznaczone dla tych etapów konstruowania, dla których dotychczas było brak środków opisu. Podobnie jak zdefiniowane przez standard komponenty wymagań bezpieczeństwa – funkcjonalne oraz uzasadniające zaufanie, wspomniane udoskonalone generyki mają charakter półformalny. Udoskonalone generyki dorównują precyzją i możliwościami komponentom zdefiniowanym w standardzie i razem z tymi komponentami stanowią spójny zbiór środków specyfikacji dla wszystkich etapów konstruowania zabezpieczeń. Mogą posiadać parametry, pod które można podstawiać inne generyki. Pozwala to na iterację, czyli wielokrotne umieszczanie danego generyka w specyfikacji, ale z różnymi podstawionymi wartościami parametrów, np. tego samego zagrożenia z różnymi agentami zagrożenia i atakowanymi zasobami (Przykład 3). Na wzór uszczegółowienia (ang. refinement) komponentu wprowadzono operację uszczegółowienia generyka. Nowum stanowi możliwość wyprowadzania z danego generyka generyków pochodnych (ang. derived), a przede wszystkim predefiniowane ciągi generyków wspomagające rozwiązywania problemów bezpieczeństwa przez konstruktora (ang. supporting chains). Dla danego zagrożenia (reguły polityki bezpieczeństwa czy założenia) przypisano bowiem typowe dla niego cele bezpieczeństwa, które dany problem rozwiązuja˛. Z kolei każdy cel ma przypisane typowe komponenty funkcjonalne, które go wyrażają “w języku wspólnych kryteriów”, zaś pogrupowane komponenty mają przypisane typowe funkcje bezpieczeństwa, które należy zaimplementować w produkcie lub systemie informatycznym. Konstruktor zabezpieczeń, bazując na “typowych”, predefiniowanych rozwiązaniach ma znacznie ułatwioną pracę podczas tworzenia i uzasadniania zadania zabezpieczeń (ang. ST- Security target) lub profilu zabezpieczeń (ang. PP- Protection Profile). Na tle stosowanych dotychczas nieformalnych środków specyfikacji (sformułowań tekstowych, prostych generyków), artykuł pokazuje ich ewolucję do postaci “udoskonalonych generyków”. Pierwszym krokiem była próba określenia stosowanego, lecz nigdzie jeszcze nie zdefiniowanego pojęcia “generyk” (Definicja 1). Następnie podano definicję udoskonalonego generyka, stosując popularną wśród użytkowników standardu notację z kropką (Definicja 2). Stało się to podstawą zdefiniowania składni (Definicja 3) i samego języka (Definicja 4). W ten sposób określono wszystkie możliwe nazwy generyków, nie precyzując jednak ich znaczenia. W celu zdefiniowania semantyki (sekcja 4) posłużono się metodą z rozprawy doktorskiej Richtersa, za pomocą której zdefiniowano semantykę języka OCL (Object Constraint Language), wykorzystywanego do precyzyjnego modelowania w UML (Unified Modeling Language). Istota metody tkwi w przypisaniu interpretacji do stosowanych literałów. W tym sensie środki specyfikacji własności bezpieczeństwa stały się zgodne z językiem OCL i mogą być traktowane jako jego podzbiór. Szerzej te zagadnienia prezentuje monografia [5]. Opisany powyżej zbiór środków do specyfikowania, obejmujący udoskonalone generyki oraz zdefiniowane przez standard komponenty, dzięki zastosowanym formalizmom, pozwala na większą spójność i dokładność modeli oraz na implementacje˛ programowa˛w postaci elementów bibliotecznych systemów wspomagania konstruowania zabezpieczeń teleinformatycznych.

Słowa kluczowe

EN

Common Criteria; IT security; development; computer aiding; security engineering; UML (United Modelling Language); OCL; modelling; formal grammar

• Wydawca: Instytut Informatyki Teoretycznej i Stosowanej Polskiej Akademii Nauk
• Czasopismo: Theoretical and Applied Informatics
• Rocznik: 2008
• Tom: Vol. 20, No. 2
• Strony: 125--145
• Opis fizyczny: Bibliogr. 11 poz., rys.

Twórcy

autor

Białas A.

• Centrum Elektryfikacji i Automatyzacji Górnictwa EMAG, (Research and Development Centre for Electrical Engineering and Automation in Mining EMAG) PL-40-189 Katowice, ul. Leopolda 31, Poland,

Bibliografia

• [1] A. Białas, IT security development – computer-aided tool supporting design and evaluation, In: Kowalik J, Górski J., Sachenko A. (editors): Cyberspace Security and Defense: Research Issues, NATO reference: ARW 980492, NATO Science Series II, vol. 196, Springer 2005, pp. 3-23.
• [2] A. Białas, Identifying the features of the IT security-related products for the IT development process according to Common Criteria, Archiwum Informatyki Teoretycznej i Stosowanej, Polska Akademia Nauk, tom 17 (2005), zeszyt 1, pp. 3-18.
• [3] A. Białas, Specification of security environment of IT security-related products according to Common Criteria, Theoretical and Applied Informatics, Polish Academy of Sciences, ISSN 1896-5334. vol. 18. no. 2. (2006), pp. 141-157.
• [4] A. Białas, A semiformal approach to the security problem of the target of evaluation (TOE) modeling. In: H.R Arabnia, S. Aissi (Eds.), G.L. Vert, P.A.H.Williams (Assoc. Co Eds.), Proc. of the 2006 Int. Conf. on Security and Management -SAM’06, The World Congress In Applied Computing, Las Vegas. CSREA Press 2006, pp. 19-25.
• [5] A. Białas, Semiformal Common Criteria Compliant IT Security Development Framework, Studia Informatica vol. 29, Issue 2B(77), Silesian University of Technology Press, Gliwice 2008.
• [6] CCToolbox: http://cc-control.sparta.com/
• [7] ISO/IEC 15408. Common Criteria for IT security evaluation. Part 1-3.
• [8] ISO/IEC 15446. Guide for the production of protection profiles and security targets, 2004.
• [9] SecCert: http://www.iss.pl
• [10] TL SET, TL FIT http://trusted-logic.fr
• [11] UML 2.0 OCL Specification. Appendix A: Semantics. (2003): www.omg.org