har vi tilstrekkelig tillit til ikt systemene - jens helge rypestøl
TRANSCRIPT
© Applica Consulting as Page 1
Har vi tilstrekkelig tillit til IKT-systemene?Jens Helge RypestølDigitalkonferansen 2011
The level of assurance provided by the Visa chip card security testing process … equates to a globally accepted Common Criteria evaluation assurance level EAL 4+.
Har vi tilstrekkelig tillit til Betalingskort ?
© Applica Consulting as Page 2
2
3
4
5
1
6
7
Lav tillit
Høytillit
Har vi tilstrekkelig tillit til Cloud computing ?
© Applica Consulting as Page 3
2
3
4
5
1
6
7
Lav tillit
Høytillit
Har vi tilstrekkelig tillit til Sosiale medier ?
© Applica Consulting as Page 4
2
3
4
5
1
6
7
Vi gjør vårt aller beste for å holde Facebook sikkert, men vi kan ikke garantere for dette.
Lav tillit
Høytillit
Har vi tilstrekkelig tillit til Militære IKT-systemer?
© Applica Consulting as Page 5
2
3
4
5
1
6
7
FOR 2001-07-01 nr 744: Forskrift om informasjonssikkerhet§ 5-3. Funksjonalitet og tillitsnivå Systemteknisk sikkerhet i informasjonssystemer i form av krav til funksjonalitet og tillit skal være i henhold til •NATO Trusted Computer System Evaluation Criteria (NTCSEC), •Information Technology System Evaluation Criteria (ITSEC), eller • Common Criteria for Information Technology Security Evaluation (CC).
§ 5-20. Sertifisering Følgende informasjonssystemer skal sertifiseres: •Fellesnivå informasjonssystem for HEMMELIG eller høyere etter avgjørelse fra NSM i det enkelte tilfelle. •Flernivå informasjonssystemer. •Kryptoutstyr. …. NSM er sertifiseringsmyndighet.
Lav tillit
Høytillit
© Applica Consulting as Page 6
The Common Criteria Standard
• Common Criteria Recognition Arrangement (CCRA) • ISO/IEC 15408
ISO/IEC 15408
© Applica Consulting as Page 7
CC Part 3: Security Assurance Components
EAL 6
EAL 5
EAL 4
EAL 3
EAL 2
EAL 1
EAL 7
© Applica Consulting as Page 8
EAL 4
EAL 6
EAL 5
EAL 4
EAL 3
EAL 2
EAL 1
EAL 7
© Applica Consulting as Page 9
Security Target
© Applica Consulting as Page 10
Sikkerhetsomgivelser beskrives i Security Target
Sikkerhetsomgivelser
© Applica Consulting as Page 11
Roller i Common Criteria evaluering
Utvikler
Sertifiseringsmyndighet
Evaluator …
…
© Applica Consulting as Page 12
Applica Consulting
• Applica Consulting har deltatt i rollen som utvikler av EAL3, EAL4 og EAL5 sertifiserte IKT-systemer. Dette omfatter:
• Hardware utvikling• Software utvikling• Lage dokumentasjon for Common Criteria evaluering
• Applica Consulting har vært konsultent for sikkerhetsevaluator ved evaluering av EAL4 sertifiserte IKT-systemer
• Mer informasjon om Applica finner du på: www.applica.no