metodologie di risk analysis -...

Metodologie di Risk Analysis:panoramica sulle metodologie e standard

Un approccio pragmatico

Prof. Ing. Claudio Cilli

CIA, CISA, CISM, CISSP, CGEIT, CSSLP, CIRISC, M.Inst.ISP

http://mastersicurezza.uniroma1.it

http://di.uniroma1.it

[email protected]

TCPUDP

802.3 / 802.2

HDLC

EIA/TIA-232V.35

IP

Presentation

Application

Session

TCP/IPTCP/IP

• Reliable or unreliable delivery

• Error correction before retransmit

• Combines bits into bytes and

bytes into frames

• Access to media using MAC address

• Error detection not correction

• Move bits between devices

• Specifies voltage, wire speed and

pin-out cables

Transport

Data Link

Physical

Network Provide logical addressing which

routers use for path determination

HTTPFTP

SSL

2

TCPUDP

802.3 / 802.2

HDLC

EIA/TIA-232V.35

IP

Presentation

Application

Session

TCP/IPTCP/IP

• Reliable or unreliable delivery

• Error correction before retransmit

• Combines bits into bytes and

bytes into frames

• Access to media using MAC address

• Error detection not correction

• Move bits between devices

• Specifies voltage, wire speed and

pin-out cables

Transport

Data Link

Physical

Network Provide logical addressing which

routers use for path determination

HTTPFTP

SSL

3

multifunz.

distribuitoSISTEMA SISTEMA ……

INTERNET - IL sistema distribuito

• Riflessioni sulla crisi dell’11 settembre 2001-WTC

contesto: NYC = nodo superconnesso

– 74 TELCO Carrier– 100 Int’l Internet Carrier con link diretti a 71 paesi

Interconnessione effettuata:• al NYIX – New York Internet Exchange• nei “ Carrier hotels” per collegamenti tra operatori presenti

nello stesso palazzo

5


Riflessioni sulla crisi dell’11 settembre 2001- WTC

1.la Rete nel complesso ha dimostrato la sua forte adattabilità nonostante i

danni alle infrastrutture (anche ICT) ed al picco di traffico in seguito

all’evento (accesso a siti web informativi- scambio di messaggi)

2.la Rete ha dimostrato una notevole resilienza agli attacchi fisici, anche se in alcune componenti del “sistema” la ridondanza è stata inadeguata

3.molti dei problemi, a 8-12 ore dall’evento, erano il risultato della

mancanza di un piano di continuità operativo che potesse garantire, ad

esempio:

• accesso o controllo remoto dei Data Centers

• consegna del carburante per i generatori elettrici !!!

4.la Rete ha garantito comunicazioni efficaci (e-mail ed instant messages) a fronte della congestione della rete telefonica.

6


• Il routing Internet è ritornato alla quasi normalità nel giro di 15 minuti dal collasso della Torre Sud WTC

• Circa il 2% delle routes non ritornano normali per almeno 24 ore:

– alcune erano riferite a soggetti presenti al WTC

– altre erano riferite ad ISP di Italia (!!), Germania, Romania e Sud Africa

• I veri problemi sono stati tutti legati alla sicurezza informatica

7

Sicurezza IT: componenti di base

• Sicurezza delle transazioni

• Sicurezza dei dati e delle

applicazioni

• Sicurezza delle comunicazioni

AutenticazioneAutenticazione

AutorizzazioneAutorizzazione

Non RipudioNon Ripudio

RiservatezzaRiservatezza

IntegritIntegritàà

8

Evoluzione degli attacchi

Grado di

conoscenza tecnica

necessaria

Grado di

conoscenza tecnica

necessaria

Livello di sofisticazione

degli strumentidi hacking

Livello di sofisticazione

degli strumentidi hacking

Sofisticazione del pacchetto/impersonificazione

(packet spoofing/forging)

200019901980

Password semplici

Codice autoreplicante

Password crack

Vulnerabilita’conosciute

Disabilitazioneaudit

Back Doors

Dirottamento di Sessione(session Hijacking)

Sniffer

Diagnostici invisibiliAltaAlta

BassaBassa

oggi

9

Una possibile classificazione

• Disclosure Attack

• Masquerading Attack

• Integrity Attack

• Denial of Service Attack

• Software Forgery/Poisoning Attack

• Blended Threats

10

Disclosure Attack

• Esempio: Packet sniffingPacket sniffing

MITTENTE DESTINATARIO

INTRUSO

messaggio

osserva

11

Masquerading Attack

• Esempio: IP spoofing / Shadow serverIP spoofing / Shadow server


INTRUSO

Messaggio falsificato


INTRUSO

Messaggio

12

Integrity Attack

• Esempio: Connection hijacking / Data Connection hijacking / Data

spoofingspoofing


INTRUSO

Messaggio originale

Messaggio falsificato

13

DenialDenial of Service Attackof Service Attack

INTRUSO(Master)

SLAVES

Destinatario

Mittente

Esempio: SMURF, Trin00, Ping of Death, SMURF, Trin00, Ping of Death,

TcpTcp SynSyn flood flood ……

14

Software forgery/poisoning Attack(aka MALICIOUS CODE ATTACK)

INTRUSOhttp

mail

irc

es. Canali di trasmissione

del virus Propagazione inconsapevole da parte degli utenti

Esempio: Trojan horse, Trojan horse, Backdoor,VirusBackdoor,Virus

15

Blended Threats

Ospite infetto

es. Canali di trasmissione

del codice (autopropagazione) Autopropagazione del codice

Combinano le caratteristiche di virus, worm, Trojan horse con le vulnerabilità dei server e di

Internet per iniziare, trasmettere e propagare un attacco (autopropagazione)

Esempio: NIMDA, CODE REDNIMDA, CODE RED

Sfruttano le vulnerabilità delle tecnologie adottate

16

Qual’è impatto degli attacchi?

•• Interruzione dei serviziInterruzione dei servizi– Perdita di guadagni

– Perdita di produttività

– Maggiori costi per il ripristino

•• Esposizione a procedimenti giudiziariEsposizione a procedimenti giudiziari– Come testimone o come imputato(*)

•• Perdita di immaginePerdita di immagine

** Bisogna dimostrare la diligenza nel minimizzare l’esposizione agli attacchi

17

Un approccio metodologico…

18

Sicurezza IT

• Implementare la Sicurezza in un determinato contesto vuol

dire:Risorse da proteggereRisorse da proteggere

MinacceMinacce

VulnerabilitàVulnerabilità

Le specifiche di sicurezzaLe specifiche di sicurezza

IndividuareIndividuare



DeterminareDeterminare

Il livello accettabile di rischio

Il livello accettabile di rischio

Definire Definire

Un sistema sicuro Un sistema sicuro èè dunque un sistema che rispetta una dunque un sistema che rispetta una serie di specifiche di sicurezzaserie di specifiche di sicurezza

19

Valutazione

• In linea generale la valutazione consente di

rispondere, in maniera probabilistica circa la

capacità di un sistema (assurance) di rispettare

determinate specifiche di sicurezza

• Emerge dunque la necessità, tra utilizzatore e

fornitore di sistemi IT di definire criteri e

metodologie per la valutazione delle specifiche

di sicurezza richieste da un sistema

20

Certificazione

• La valutazione eseguita da una terza parte indipendente (Organismo di Certificazione), sulla base di standard e metodologie riconosciute per le quali l’organismo è stato accreditato da un Ente di Accreditamento, consente di ottenere la CERTIFICAZIONE

21

Certificazione

Gestore dello schema

Criteri e standardEnti di accreditamento

Enti di certificazione

Laboratori di verificaProdotto/processo

da certificare

Certificazio-

ne

22

Panoramica storica

• Standard attuali

– TCSEC (Trusted Computer Security Evaluation Criteria o Orange Book,

del 1985)

– ITSEC (Information Techonology Security Evaluation Criteria, del 1991)

Francia, Germania, Olanda e Regno Unito

– CTCPEC (Canadian Trusted Computer Product Evaluation Criteria, del

1993) finalizzato a conciliare i concetti del TCSEC e del ITSEC

– FC (Federal Criteria for Information Technology Security, draft del 1993)

volto a unificare il modello Nord Americano con quello Europeo

– Common Criteria: Stati Uniti, Canada, Francia, Germania, Olanda e

Regno Unito, in collaborazione con l’ISO (International Organization for

Standardization)

23

Panoramica storica

• La caratteristica comune è che il livello di assurance deve essere stimato da un valutatore imparziale e, come

precisato dai diversi criteri, dipende:

– dalle caratteristiche dell’oggetto da valutare

– dal rigore con cui il valutatore analizza l’oggetto della valutazione e la sua documentazione

– dalla severità dei requisiti che vengono imposti dai criteri sia sulla stesura della documentazione necessaria alla valutazione sia sull’ambiente e sul processo di sviluppo dell’oggetto stesso

24

Panoramica storica

• Approccio simile a quello seguito nell’area del controllo di qualità ed implica:

– la valutazione può essere condotta solo se si conosce a priori a quale

livello di assurance si ambisce

– le azioni che il valutatore deve compiere dipendono da tale livello

• I criteri definiscono una metrica per l’assurance:

– aspetti e documentazione da considerare

– azioni che il valutatore deve compiere

– requisiti sull’ambiente e sul processo di sviluppo

– modalità di descrizione dell’oggetto da valutare

– funzioni di sicurezza che deve offrire

– mirano a soddisfare tutte le esigenze (utilizzatori, produttori, valutatori)

– precisano ruoli, compiti ed aspettative

25

Panoramica storica

Canada, prime

iniziative

1989 - 1993

CTCPEC 3

1993

TCSEC (USA)

1983 - 1985

NIST - MSFR

1990

Federal Criteria

1992

Progetto

Common Criteria 1993

Common Criteria

ver. 1.0 1996

Common Criteria

ver. 2.0 1998

ISO 15408

01/12/1999

Iniziative europee

nazionali e regionali

1989 - 1993

ISO 17799

12 /2000

ITSEC

1992

BS 7799

1995

ISO 27002

12 /200526

Risk Management

• Processo relativo all’identificazione, valutazione,

controllo e riduzione dei rischi nei sistemi

informativi

• Obiettivo: identificare aree specifiche dove le

protezioni sono necessarie per prevenire

deliberate o accidentali divulgazioni non

autorizzate, modifiche, uso non autorizzato delle

informazioni, o negazione del servizio

27

Quadro di sintesi

Cost BenefitAnalysis

Risk AnalysisCountermeasure

Selection

Security Test & Evaluation

CountermeasureImplementation

PenetrationTesting

CertificationSystemsReview

Contingency Planning

28

Relazioni nella gestione del rischio

29

SICUREZZA = PROCESSO DINAMICO

• Evoluzione delle strategie di attacco

• Disponibilità di strumenti innovativi per contrastare gli attacchi

• Gestione Incidenti di sicurezza

AnalisiAnalisi

rischiorischio

AttuazioneAttuazione

misuremisure

VerificaVerifica

sicurezzasicurezza

30

Risk Management Methods

• Austrian IT Security Handbook

• Control Objectives for Information and Related Technology (CObIT)

• CCTA Risk Assessment and Management

• Methodology (CRAMM)

• Dutch A&K Analysis

• EBIOS

• ETSI

• Factor Analysis of Information Risk Management (FIRM)

• Failure Modes and Effects Analysis (FMEA)

• Facilitated Risk Assessment Process (FRAP)

• Information Risk Assessm,ent Methodologies (IRAM)

• ISAMM

• Information Security Forum (ISF) Methods

• ISO TR 13335 (a Techniocalo Report which is a precursor to ISO/IEC 27005)

• ISO/IEC 27001

• ISO/IEC 31000

• IT Grundschutz

• Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT)

• MEHARI

• MIGRA

• NIST SP 800-30

• NIST SP 800-39

• NSA IAM / IEM / IA-CMM

• OCTAVE

• Open Source Security Testing Methodology Manual (OSSTMM)

• Practical Threat Analysis (PTA)

• Simple to Apply Risk Assessment (SARA)

• Security Officers Managemtn and Analysis Project (SOMAP)

• Simplified Process for Risk Identification (SPRINT)

31

Risk Management Tools

• Risk Management Tools

– Acuity Stream

– Archer

– Axur

– Callio

– Casis

– Citicus ONE

– Cobra

– CRAMM

– EAR / PILAR

– EBIOS

– GSTool

– GxSGSI

– ISAMM

– MIGRA

– Modulo Risk Manager

– OCTAVE

– Proteus Enterprise

– RA2 Art of Risk

– Resolver Ballot

– Resolver Risk

– Risicare

– Riskwatch

– RM Studio

– Risk Manager

– RiskOptix

– RSAM

– vsRisk

– …

32

Le metodologie vanno confrontate…

Sono idonee le formule?

• IS Risk Analysis Based on a Business Model uses the following:

Che fare?

• Si tratta di scegliere una metodologia pratica

– Di facile utilizzo

– Che dia risultati concreti

– Adattabile

– In accordo con almeno uno standard consolidato, ma

quale?

• La scelta è caduta su ITSEC per la sua

semplicità, coerenza… e perché europeo!

35

ITSEC

Information Technology Security Evaluation Criteria

36

Criteri ITSEC

• ITSEC (Information Technology Security

Evaluation Criteria) Gruppo di lavoro misto F,

UK, D, NL

• Finalizzato alla “valutazione” di sistemi o di

prodotti specifici

• Non sono norme ma criteri: identificano le

verifiche da eseguire nel corso della valutazione

37

Criteri ITSEC (cont.)

• Formale: cioè basata su azioni note, imparziali,

ripetibili, riproducibili (metodologie)

• Hanno come oggetto le contromisure IT, anche

se il contesto dell'ambiente di esercizio deve

essere descritto con tutte le contromisure anche

di altro genere

• Introduce il concetto di “T.O.E.” (Target of

Evaluation)

38

Criteri ITSEC

• Il “Target of Evaluation” viene analizzato separatamente nelle sue due componenti:

– Funzionalità di sicurezza

previste

– Livello di “assurance” per le

funzionalità

• T.O.E.:– Sistema

• Scopo specifico

• Ambiente operativo noto

– Prodotto

• Si può acquistare da solo

• Può essere incorporato in piùsistemi

39

assurance

FunzionalitàCorrettezza

Efficacia

Criteri ITSEC

• Assurance, due obiettivi:

– efficacia delle funzioni di sicurezza per contrastare le minacce

– correttezza nella realizzazione delle funzioni e dei meccanismi di

sicurezza (assurance)

• 7 livelli (E0, E1, ..., E6) di valutazione dell’assurance

40

10 classi di funzionalità

predefinite

Analisi di due elementi

• Efficacia

– 3 gradi di robustezza

• Aspetto di costruzione

• Aspetto operativo

• Correttezza

– 6 livelli di valutazione

• Aspetto di costruzione

• Processo di sviluppo

• Ambiente di sviluppo

• Aspetto operativo

• Documentazione d’uso

• Ambiente operativo

• Attributi delle specifiche

– Tipo di formalizzazione

• Informali

• Semiformali

• Formali

– Grado di approfondimento

• Affermare

• Descrivere

• Spiegare

41

Security Target

• Politica di sicurezza o Product Rationale

• Funzioni di sicurezza

• Meccanismi (opzionale)

• Robustezza minima dei meccanismi

• Livello di valutazione

42

Valutazione

• Controllo della idoneità delle funzioni e

dei meccanismi

• Controllo della consistenza delle

funzioni e meccanismi ovvero della

loro capacità di lavorare bene insieme;

• Esame della robustezza dei meccanismi

• Esame della vulnerabilità connessa ad

aspetti di costruzione

• Esame della facilità d’uso

• Esame della vulnerabilità connessa ad

aspetti operativi

• Controllo dei requisiti

• Controllo del disegno architetturale

• Controllo del disegno di dettaglio

• Controllo dell’installazione

• Controllo dell’ambiente di sviluppo

• Controllo della documentazione

operativa

• Controllo dell’ambiente operativo

• Esecuzione dei test di penetrazione

• Stesura del rapporto di valutazione

(ETR)

43

Preparare la

documentazione

per la valutazione

SPONSOR

Eseguire la

valutazione

Rilasciare il

rapporto di

certificazione

Politica di Sicurezza Tecnologica

Obiettivi di Sicurezza

Documentazione TOE

VALUTATORE

ENTE

CERTIFICATORE

Politica di Sicurezza Aziendale

Requisiti

Document.

Certificato

Rapporto di

valutazione (ETR)

Processo di valutazione

Generic Headings

• Identificazione e autenticazione

• Controllo accessi

• Accountability

• Audit

• Riutilizzo di risorse

• Accuratezza

• Affidabilità del servizio

• Scambio dati

• Ogni Generic

Heading è quindi

dettagliato nelle

contromisure

(funzioni) di dettaglio

relative (es.: backup,

crittografia, ecc.)

45

La metodologia in pratica

46

Fase 1: Raccolta dati

• Nel Piano di Sicurezza il vero bene da proteggere sono

le informazioni e su di esse si concentrano tutte le

attività

• Fasi di attività:

– Esame della Politica di Sicurezza

– Classificazione dei dati

– Rilevazione della struttura informatica

– Distribuzione dei dati nei sistemi

– Analisi delle minacce e degli attacchi

47

Esame della Politica di Sicurezza

• Politica di sicurezza aziendale: l’insieme di norme, regole, consuetudini che regolano come i beni aziendali

vengono gestiti, protetti e distribuiti all’interno dell’organizzazione. Tali norme spesso sono sintetizzate in un

documento aziendale

• Politica di sicurezza di sistema: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da

un sistema, che illustra l’insieme di norme, regole, consuetudini che regolano come le informazioni rilevanti per la

sicurezza (sensitive) ed altre risorse sono gestite, protette e distribuite all’interno dello specifico sistema. Il

documento fa riferimento agli eventuali documenti di politica di sicurezza aziendale e tecnologica. Il documento

dovrebbe identificare gli obiettivi di sicurezza del sistema e le relative minacce e dovrebbe coprire tutti gli aspetti di sicurezza relativi al sistema, inclusi quelli associati alla misure di sicurezza fisica, procedurale e del personale

• Politica di sicurezza tecnologica: l’insieme di norme, regole, consuetudini che regolano l’elaborazione delle

informazioni rilevanti per la sicurezza (sensitive) e l’uso di altre risorse da parte dell’hardware e software di un

sistema informativo. Tali norme possono essere suddivise in più documenti dedicati a specifiche tecnologie per esempio reti locali, trasmissione dati, stazioni di lavoro personali, ecc. Il documento fa riferimento alla politica di

sicurezza aziendale e dovrebbe essere predisposto quando si introducono nuove tecnologie

• Product rationale: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da un prodotto, che

dovrebbe fornire all’eventuale acquirente le informazioni necessarie a valutare se il prodotto può soddisfare gli

obiettivi di sicurezza e a definire cosa altro deve essere fatto affinché tali obiettivi possano essere raggiunti completamente. Quindi il documento dovrebbe identificare le modalità d’uso del prodotto, l’ambiente a cui è

indirizzato e le minacce previste in tale ambiente

48

Classificazione dei dati

• I dati e le informazioni devono essere disponibili

in una forma possibilmente strutturata

Label Description Comment

Data set

Data set #1

Data set #2

…

…

…

…

…

Data set n

49

Classificazione dei dati (cont.)

• Ai responsabili dei dati e manager aziendali viene chiesto di riempire degli opportuni questionari in cui si richiede di valutare la sensibilità dei dati gestiti o utilizzati rispetto ai parametri canonici di integrità, riservatezza e disponibilità con

un valore 1, 2 o 3

• Il questionario che ogni soggetto intervistato riceve contiene solo gli elementi di propria competenza

Data set Relevance

Integrity Confiden-

tiality

Availability

Data set #1 3 3 3

Data set #2 1 1 2

Data set #3 1 2 2

Data set #4 2 2 1

Data set #5 1 1 1

50


• I valori attribuiti sono sommati in modo ponderato (Σ/n) e scalati per

evitare numeri decimali (x 10, x100, ecc.)

• L’obiettivo è di dividerli in tre macro-classi (High, Medium, Low)

per ogni parametro di sensibilità

• Alla fine si ottiene la figura seguente

V1 Integrity

High H

Medium M

Low L

V2 Confidentiality

High H

Medium M

Low L

V3 Availability

High H

Medium M

Low L

51


• Successive analisi ed interviste eliminalo le eventuali situazioni di incongruenza (i manager desiderano che un certo gruppo sia posizionato, ad esempio per ragioni strategiche aziendali, in una classe diversa da quella spettante dall’elaborazione)

Data set #1

0 50 80

Data set Integrity Value

95

70

70

45

35

H

L

M

Data set #2

Data set #3

Data set #4

Data set #5

Data set #6

Data set #7

Data set #8

48

92

42

52


• Il risultato finale è un report di questo tipo:

Integrity Confidentiality Availability

Data set

Data set #1 H M M

Data set #2 L M L

… … … …

… … … …

… … … …

… … … …

… … … …

Data set n M L L

53

Rilevazione della struttura informatica

• Attraverso interviste e questionari si ottiene una rappresentazione del sistema informativo, distinguendo

tra livelli omogenei e sistemi che rivestono particolare

importanza

• Ad esempio:

– HOST (Mainframe)

– RETE (Rete Geografica Aziendale)

– MINICOMPUTER (Sistemi Dipartimentali)

– LAN (Local Area Network)

– WORKSTATION (Personal Computer)

– SISTEMI DI BACK-UP

54

Distribuzione dei dati nei sistemi

• La sensibilità di ogni archivio di dati è la stessa per ogni sistema in cui è presente o elaborato, e pari al valore

precedentemente determinato:

IntegrityData set Architectural levels

Host WAN Mini LAN WS Tape room

Data set #1 H H H H

Data set #2 L L

… … … … … … …

… … … … … … …

Data set n M M M

55

Distribuzione dei dati nei sistemi (cont.)

• Analoghe tabelle vengono costruire per i restanti parametri di sensibilità: Confidentiality

Data set Architectural levels


Data set #1 M M M M

Data set #2 M M

… … … … … … …

… … … … … … …

Data set n L L

AvailabilityData set Architectural levels


Data set #1 M M M M

Data set #2 L L

… … … … … … …

… … … … … … …

Data set n L L

56


• La sensibilità di ogni sistema informatico viene definita pari a quella dei dati presenti o elaborati di valore più

elevato:

In te g r ity

D a ta s e t A r c h ite c tu r a l le v e ls

H o s t W A N M in i L A N W S T a p ero o m

D a ta s e t

# 1H H H H

D a ta s e t

# 2L L

… … … … … … …

… … … … … … …

D a ta s e tn

M M M

57


• La sensibilità del sistema informatico può essere diversa rispetto ai tre parametri di sicurezza:

C o n fid e n t ia l i ty

D a ta s e t A rc h ite c tu ra l le v e ls

H o s t W A N M in i L A N W S T a p ero o m

D a ta s e t# 1

M M M M

D a ta s e t

# 2M M

… … … … … … …

… … … … … … …

D a ta s e t

# 5L L

A v a i la b il i ty

D a ta s e t A rc h ite c tu ra l le v e ls

H o s t W A N M in i L A N W S T a p e

ro o m

D a ta s e t# 1

M M M M

D a ta s e t# 2

L L

… … … … … … …

… … … … … … …

D a ta s e t# 5

L L

58


• Se un sistema non contiene o elabora dati critici o

sensibili, il suo valore è “non classificato” ed è

ignorato

• In base ai risultati conseguiti nei passi precedenti è

possibile costruire la tavola riepilogativa finale:


Arch. level

Host H M M

WAN H M M

Mini H M M

LAN M M L

WS … … L

Tape room H M M

59

Analisi delle minacce e degli attacchi

• “ Evento non desiderato, sia deliberato che accidentale, che potrebbe in qualsiasi modo arrecare danno direttamente o indirettamente”

• Sono possibili molte classificazioni delle minacce in grado di agire su un sistema. Una è la seguente:

– FURTI• Azioni di appropriazione di apparati, impianti, tabulati, supporti magnetici, o copie di dati

e/o programmi, sottratti all’azienda con finalità diverse. Per ciò che concerne i dati ed i programmi non necessariamente finalizzati alla divulgazione all’esterno

– FRODI O MALVERSAZIONI (COMPUTER CRIME)• Azioni finalizzate ad arrecare un danno alla azienda sia per ricavarne profitti personali

illeciti, o per terzi, sia per attivare azioni di ritorsione, intimidazione o comunque compromissori per la missione o per l’immagine dell’azienda stessa

– DANNEGGIAMENTO• Eventi ti tipo fisico o logico e che comportano danni tali da provocare la perdita di

affidabilità fino all’interruzione del servizio

60


– MANIPOLAZIONI DI DATI E/O PROGRAMMI• Azioni vandaliche in grado di arrecare danno all’azienda senza finalità conclamate

(rientrerebbero altrimenti nelle frodi)

– PERDITA DI PRIVACY• Azioni, sia accidentali che procurate, che possono comunque l’accesso ad

informazioni riservate o che se non utilizzate dai diretti interessati possono essere suscettibili di erronee o fuorvianti interpretazioni

– ERRORI SUI DATI E PROGRAMMI• Errori derivanti sia dalla mancanza di adeguati test e collaudi al software prima

della messa in esercizio, sia derivanti da mancanza di controlli adeguati sui dati immessi nel sistema.

– UTILIZZO ILLEGALE DI SOFTWARE• Azioni di inserimento di software non legale e comunque, anche se legale, non

autorizzato dalla struttura responsabile del S.I.

– DIVULGAZIONE DI DATI E PROGRAMMI• Minaccia particolare posta in una posizione intermedia tra la frode ed il furto.

L’azione infatti può avvenire in assenza di danni per l’azienda e rappresentare in tal caso non una frode vera e propria bensì un furto attuato tramite copia illegittima dello stesso. Qualora l’evento porti nocumento all’azienda si tratta di una frode vera e propria perpetrata con modalità tipiche del furto

61


– UTILIZZO ILLEGALE DI RISORSE• Utilizzo illecito delle risorse aziendali, costituendo di fatto un abuso nei confronti

dell’azienda stessa o una appropriazione indebita di beni immateriali

– AVARIE AI SISTEMI• Malfunzionamenti del sistema, sia sull’hardware che sul software, in grado di

compromettere l’affidabilità del sistema stesso.

– INAGIBILITA’ DEI LOCALI• Condizioni di impraticabilità, temporanea o definitiva, dei locali dove operano i sistemi o

dove sono depositati gli archivi off-line necessari ad un esercizio affidabile del sistema. L’inagibilità cui si fa riferimento è quella che dipende dalle infrastrutture ausiliarie e logistiche di supporto ove i sistemi sono collocati

62


• Le minacce in grado di agire sui sistemi si attuano mediante diverse tipologie di attacchi, come ad esempio:

– Accesso non autorizzato a dati e programmi

– Intercettazione delle informazioni in transito sulle linee di

comunicazione

– Analisi del traffico sulla rete locale

– Abuso di privilegi

– Furto di supporti o documenti

– Modifica di dati e programmi

– Inserimento di virus

– Ecc.

LL’’analisi condotta in azienda consente di determinare analisi condotta in azienda consente di determinare

quali sono gli attacchi possibili e le modalitquali sono gli attacchi possibili e le modalitàà di attuazionedi attuazione63

Fase 2: Elaborazione

• ITSEC prevede di definire gli obiettivi di sicurezza come insieme

delle funzioni di sicurezza (Security Function) atte a contrastare

gli attacchi

• Fasi di attività:

– Analisi degli obiettivi sulle classi di sensibilità dei dati

– Determinazione delle funzioni di sicurezza

– Determinazione dei meccanismi

– Grado di robustezza dei meccanismi

– Grado di confidenza (assurance) richiesto

64

Analisi degli obiettivi sulle classi di sensibilità dei dati

• Gli obiettivi (reazione agli attacchi) sono precisati per le tre classi di sensibilità dei dati:

Obiettivi di sicurezza H M LAccesso non autorizzato a dati e programmi x x x

Intercettazione delle informazioni in transito sulle linee di

comunicazione

x

Analisi del traffico sulla rete locale x x

Abuso di privilegi x

Furto di supporti o documenti x x x

Modifica di dati e programmi x

Inserimento di virus x x

65

Determinazione delle funzioni di sicurezza

• I criteri ITSEC, pur lasciando libertà di scelta delle funzioni di sicurezza, ne

suggeriscono l'ordinamento in gruppi. A tal fine raccomandano (ma non

impongono) l'uso dei seguenti otto gruppi generici (generic headings):

– identification and authentication

– access control

– accountability

– audit

– object reuse

– accuracy

– reliabilty of service

– data exchange

• A queste si aggiungono un gruppo di funzioni di tipo organizzativo e un

altro logistico

66

Determinazione delle funzioni di sicurezza

• Gli obiettivi di sicurezza vengono tradotti nelle funzioni di sicurezza

necessarie ad attuarli (una per ogni parametro di sicurezza: integrità,

riservatezza, disponibilità):

• Permettendo di costruire la seguente tabella:

Obiettivi di sicurezza Funzioni di sicurezzaAccesso non autorizzato a dati e

programmi

Access Control

Intercettazione delle informazioni in

transito sulle linee di comunicazione

Access Control

Identification and Authentication

Organizzazione

Analisi del traffico sulla rete locale Accountability

Access Control

Funzioni logistiche

Abuso di privilegi Access Control

Organizzazione

Furto di supporti o documenti Organizzazione

Funzioni logistiche

Modifica di dati e programmi Access Control

Reliability of service

Inserimento di virus Organizzazione

Accountability

67

Determinazione delle funzioni di sicurezza (cont.)

Sensitivity classes HIGH MEDIUM LOW

Security

parameters

Security

functions

I C A I C A I C A

Identification and Authentication X X X X X X

G Access control X X X X X X

E Data access control X X X X X X

N. Accountability X X X X X X

/ Audit X X X X X X

H Object reuse X

E Accuracy X X X

A Reliability of service X X X X X X

D. Data exchange X X

Rules and responsibilities

definition

X X X X X X

O Procedures for system utilisation X X X X X X

R Procedures for system management X X X X X X X X X

G Training X X X

Communication activity to make

users aware of security needs

X X X X X X X X X

Passive detection systems X X

L Active detection systems X X

O Physical access control systems X X X X X X

G UPS X X X X

General building structures X X

68

Determinazione dei meccanismi

• Dal confronto tra la tabella relativa alla sensibilità dei sistemi informatici e quella delle funzioni...

• si determina quali funzioni di sicurezza e con quale efficacia (H, M, L, pari alla sensibilità dei dati da proteggere) devono essere adottate per ogni sistema per ogni parametro (integrità, riservatezza, disponibilità)

Sensitivity classes HIGH MEDIUM LOW

Security

parameters

Security

functions

I C A I C A I C A

Identification and Authentication X X X X X X

G Access control X X X X X X

E Data access control X X X X X X

N. Accountability X X X X X X

/ Audit X X X X X X

H Object reuse X

E Accuracy X X X

A Reliability of service X X X X X X

D. Data exchange X X

Rules and responsibilities

definition

X X X X X X

O Procedures for system utilisation X X X X X X

R Procedures for system management X X X X X X X X X

G Training X X X

Communication activity to make

users aware of security needs

X X X X X X X X X

Passive detection systems X X

L Active detection systems X X

O Physical access control systems X X X X X X

G UPS X X X X

General building structures X X


Arch. level

Host H M M

WAN H M M

Mini H M M

LAN M M L

WS … … L

Tape room H M M

69

Determinazione dei meccanismi

• I meccanismi di sicurezza attuano le funzioni

previste

• Si cerca di utilizzare quelli certificati

• Sono scelti sulla base di considerazioni

economiche, a parità di grado di robustezza

offerta

• Non esiste un metodo preciso per la loro

adozione: l’esperienza e la capacità dell’esperto

decidono

70

Grado di robustezza dei meccanismi

• La robustezza dei meccanismi è definita con precisione in ITSEC

• Può essere Alta, Media o Bassa, che rappresentano crescenti

livelli di resistenza ad un attacco diretto

• ITSEM definisce le modalità di determinazione del grado di robustezza per i generic headings validi anche per quelli relativi alle funzioni logistiche, basate su:

– tempo a disposizione per effettuare l’attacco

– complicità necessaria

– esperienza tecnica posseduta

– attrezzatura utilizzata

• Per i meccanismi di tipo organizzativo si può utilizzare la seguente tabella:

71

Grado di robustezza dei meccanismi

Grado dirobustezza

Funzioniorganizzative

Ruoli e re-sponsabilità

Norme diutilizzo

Procedure digestione

Formazione Sensibilizza-zione e

comunica-zione

BASE Definiti Generale

MEDIA Definiti Descrizionegenerale

Descrizionegenerale

Generale

ALTA Definiti Descrizionedettagliata

conformalizzazio

ne

Descrizionedettagliata

Specifica perla sicurezza

Specifica

• BASE: definiti ruoli e responsabilità

• MEDIO: definiti ruoli e responsabilità. Descritto utilizzo e gestione delle funzioni di

sicurezza

• ALTO: definiti ruoli e responsabilità. Descritto in dettaglio utilizzo e gestione delle

funzioni di sicurezza, addestramento alla sicurezza

72

Grado di confidenza (assurance) richiesto

• ITSEC definisce sette livelli (E0..E6) di

confidenza (assurance) del sistema di sicurezza

rispetto alla sua capacità di attuare le funzioni

previste

• Ogni livello rappresenta crescenti livelli di

confidenza

• Il livello di confidenza è influenzato da diversi

fattori, tra cui la completezza e approfondimento

della documentazione

73

Valutazione economica della

sicurezza

74

Aspetti generali

• Le contromisure (meccanismi) di sicurezza determinate dall’applicazione della

metodologia devono essere scelte in base a:

– una valutazione economica e quantitativa dei costi connessi al rischio residuo

– al costo delle contromisure stesse

avendo per obiettivo quello di raggiungere la soluzione che

presenta il costo minore• In realtà è molto difficile adottare un tale approccio perché se da un lato è possibile

determinare con esattezza il costo dei sistemi di protezione, dall’altro è

estremamente difficile calcolare il costo della loro efficacia, cioè del rischio evitato

• Si tratta di un costo previsto, che dipende dalla volontà di qualcuno di causare un

danno (o dalla probabilità di accadimento di un evento naturale) e il fallimento del

sistema di contromisure

75

Valutazione del costo del rischio

• Il calcolo del “costo del rischio” è effettuato tramite l’analisi del valore

economico e del grado di sensibilità dei dati, come determinato

dall’applicazione della metodologia

• In precedenza i data-set sono stati classificati secondo la loro sensibilità,

ora ai responsabili aziendali si chiede di indicare (ponendo un segno sulla

colonna opportuna) se il data-set è importante o essenziale per

l’organizzazione dal punto di vista del costo

SECURITY QUESTIONNAIRE

DATA CLASSIFICATION DEI ACCORDING TO

THEIR VALUE AND SENSITIVITY

Information system............................................................

VALUE SENSITIVITY

Important Essential Sensitivity class Risk class Cove-rage

grade

Relevant data list

1

2

3

4

5

6

7

76

Valore del sistema informativo

Sistema informativo........................................................

Stimare il valore del sistema informativo per l’azienda, l’individuo e il danneggiatore, utilizzando i seguenti parametri:

0 = trascurabile 4 = circa 10.000 Euro 1 = circa 10 Euro 5 = circa 100 .000 Euro 2 = circa 100 Euro 6 = circa 1 milione di Euro 3 = circa 1.000 Euro 7 = circa 10 milioni di Euro

A. Valore per l’azienda Parametro V

Costo di ricostruzione ...........................................

Costo di penalizzazione ...........................................

Opportunità perdute ...........................................

Impossibilità a prendere decisioni ...........................................

Altro ...........................................

B. Valore per l’individuo

Reputazione ...........................................

Libertà civili ...........................................

Credito ...........................................

Altro ...........................................

C. Valore per il danneggiatore

Risorsa da vendere ...........................................

Appropriazione ...........................................

Vendetta ...........................................

Miglioramento del credito, stipendio, posizione ...........................................

Competitività ...........................................

Vantaggio politico ...........................................

Altro ...........................................

77

Probabilità di accadimento di un evento dannoso

Sistema informativo........................................................

Valutare le probabilità di ciascuno degli eventi sotto indicati utilizzando i seguenti parametri:

0 = impossibile 4 = 1 volta ogni 30 giorni 1 = 1 volta ogni 100 anni 5 = 1 volta ogni 3 giorni 2 = 1 volta ogni 10 anni 6 = 3 volte al giorno 3 = 1 volta all’anno 7 = 30 volte al giorno

A. Disastri Parametro R

Naturali ...........................................

Danni all’hardware e al software ...........................................

Incuria umana ...........................................

B. Violazione della riservatezza

Curiosità ...........................................

Ottenimento di informazioni per ragioni politiche o legali...........................................

Rivelazione involontaria di informazioni riservate ...........................................

C. Dolo

Saccheggio e sabotaggio ...........................................

Utente malintenzionato ...........................................

Appropriazione indebita ...........................................

Spionaggio industriale ...........................................

78

Esposizione annua

• Dalla somministrazione dei questionari precedenti si può determinare quello

riassuntivo, dove in ogni riga si può indicare la media dei risultati ottenuti o il

caso peggiore tra essi (per effettuare, ad esempio, delle simulazioni):

SECURITY QUESTIONNAIRE

INFORMATION SYSTEMS VALUES AND PROBABILITY OF HAPPENING OF A DAMAGING

EVENT

VALUE (V) RISK (R)

Information system Company Person Saboteur Integrity Confidential-

ity

Availability

1 (A) (B) (C) (1) (2) (3)

2

3

4

5

6

7

79

Esposizione annua (cont.)

• Dal significato attribuito ai parametri V e R si ha:

• L’esposizione annua (in Euro) è ovviamente il prodotto del valore del sistema informativo (in Euro) e della probabilità annua di accadimento dell’evento dannoso:

• Dove:

– E = “esposizione annua” in Euro;

– V = valore del sistema informativo (colonne A oppure B, o C del prospetto)

– R = probabilità di accadimento dell’evento dannoso (dal prospetto precedente,

colonne 1 oppure 2, o 3).

Valore del sistema informativo = 10(V) [Euro]

Probabilità annua = 10(R - 3)

E = 10(V+R)

80

Esposizione annua (cont.)

• Con tale procedimento si perviene ad un prospetto riassuntivo, in cui l ’ esposizione annua è suddivisa, per comodità di analisi, nelle categorie: disastro (colonne 1 e A del prospetto precedente), violazione di riservatezza (colonne 2 e B) e dolo (colonne 3 e C)

ESPOSIZIONE ANNUA

AMMONTARE DELL’ESPOSIZIONE ANNUA RELATIVA AL LIVELLO DI SICUREZZA DI OGNI

SISTEMA INFORMATIVO

ESPOSIZIONE ANNUA (LIRE)

Disastro Violazione

riservatezza

Dolo Totale

Sistema informativo

1

2

3

4

5

6

7

81

Esempio di calcolo

• A titolo di esempio si consideri la seguente analisi:

– La perdita di un file comporta un costo di € 1.000 per ricostruirlo (V = 3) e accade una volta ogni 30 giorni (R = 4):

E = 10(4 + 3 - 3) = 10.000 Euro/anno

– Un incendio comporta una perdita di 1 milione di Euro (V = 6) e la sua probabilità di accadimento è una volta ogni 100 anni (R = 1):

E = 10(1 + 6 - 3) = 10.000 Euro/anno

– La ripartenza di un elaboratore fallita per un errore di un operatore comporta un costo di Euro 19 (V = 1); se ciò accade 30 volte al giorno (R = 7), la corrispondente esposizione è:

E = 10(7 + 1 - 3) = 100.000.000 Euro/anno

82

Scelta del grado di sicurezza

• Il problema della scelta del grado di sicurezza consiste nell’individuare,

tra le possibili combinazioni di sistemi di salvaguardia, l’alternativa

ritenuta “migliore” in base al criterio dei costi e benefici. A tale scopo,

può essere utilizzato il metodo che comporta la determinazione del

“costo totale atteso” per ogni alternativa

• Dove:

– Xi(K) la quota di ammortamento annua relativa al costo dell’installazione del

generico sistema di sicurezza K

– Xg(K) il costo annuale di gestione dello stesso

– Y(K) l’esposizione annuale dovuta al costo del rischio connesso con

l’adozione di tale sistema di sicurezza

– T(K) il suo costo totale annuo

T(K) = Xi(K) + Xg(K) + Y(K)

83

Scelta del grado di sicurezza (cont.)

• A causa degli alti costi di realizzazione, la determinazione del “miglior”

sistema di sicurezza sarà generalmente basata sul confronto dei costi

totali dei sistemi alternativi relativi ad un periodo di circa 5 anni. La

relazione precedente può quindi essere espressa come:

• dove Ftn è il fattore attuale relativo all’anno n-esimo, cioè il valore

attuale di una lira dell’anno n-esimo, al tasso di interesse t. La relazione

separa i costi di installazione da quelli ricorrenti; il fattore Ftn riporta i

costi futuri al valore attuale consentendone il confronto

T(K) = Xi(K) + Fnt

n 1

5

====

∑∑∑∑ (Xgn(K) + Yn(K))

84


• Si possono quindi prendere in esame un certo numero di sistemi di

sicurezza determinandone le componenti di costo. Se si contraddistinguere

con un indice K più elevato i sistemi più sofisticati, è evidente che al

crescere di K aumenteranno i costi di installazione e gestione X(K), con:

• mentre si ridurrà il costo del rischio Y(K) con:

X(K) = Xi(K) + Fnt

n 1

5

====

∑∑∑∑ Xgn(K)

Y(K) = Fnt

n 1

5

====

∑∑∑∑ Yn(K)

85


• I risultati potranno quindi essere riportati in un grafico:

a

b

2 3 4 510 K

costi

X(K)

Y(K)

X(K) + Y(K)

86


• Dall’esame del caso ipotizzato nella figura, il sistema di sicurezza che comporta

il minimo costo totale atteso risulterebbe quello numero 4. Tuttavia, in

considerazione dell’aleatorietà della determinazione del costo del rischio, è

consigliabile interpretare il risultato di un’analisi del tipo proposto. In particolare,

se l’adozione di un sistema di sicurezza più sofisticato (n. 4 anziché n. 3)

comporta una riduzione del costo totale (a) modesta rispetto all’incremento di

costo del sistema di sicurezza (b), potrebbe risultare opportuno dare la

preferenza al sistema di sicurezza di grado inferiore

• Il procedimento di ottimizzazione può apparire eccessivamente teorico. In effetti

non sempre l’analisi dei costi e dei benefici può essere applicata in modo

quantitativamente rigoroso al problema di scelta del miglior livello di sicurezza

nell’IT. Vi sono tuttavia numerosi problemi, anche di portata più limitata, che

possono essere affrontati con tale metodologia, ottenendo ottimi risultati concreti

87

88

Domande?

TCSEC

Trusted Computer System Evaluation

Criteria

“ORANGE BOOK”

89

TCSEC – Orange Book

• CARATTERISTICHE

– SISTEMI MULTIUTENTE

– ORIENTATO ALLA RISERVATEZZA

– PREVEDE UN UNICO LIVELLO CHE

DEFINISCE SIA I REQUISITI DI SICUREZZA

CHE DI CONFIDENZA

– NON PREVEDE PRODOTTI

90

TCSEC – Orange Book

•• 44 DIVISIONI DIVISIONI 7 CLASSI7 CLASSI

• D Protezione minima D

• C Protezione discrezionale C1, C2

• B Protezione mandatoria B1, B2, B3

• A Protezione verificata A1

91

92

Requirements

Applicationimpact

Classificazione TCSEC “Orange Book”

D

C2

B1

B2

E3

A1

DOESN’T MEET

ANY

OTHER LEVEL;

DI

SC

R

ET

IO

N

AR

Y

CO

NT

R

OL

LE

D

LA

BE

L

LE

D

ST

RU

C

TU

RE

D

SE

CU

R

. D

OM

A

IN

S

VE

RI

F

IE

D

D

ES

IG

N

HIGH

LOW

C1

TCSEC - Orange Book

• Aspetti considerati

– Politica di sicurezza

– Accountability

– Confidenza (assurance)

– Qualità documentazione

93

Criteri TCSEC

• Orientati alla riservatezza (approccio militare)

• 7 classi: D, C1, C2, B1, B2, B3, A1D, C1, C2, B1, B2, B3, A1

• Appartenenza ad una classe sulla base di:

– politica di sicurezza

– audit (accountability)

– fiducia (assurance)

– documentazione

94

Criteri TCSEC (cont.)

• Classe (D) Protezione minima

• Classe (C) Protezione discrezionale

– C1 - restrizione d’accesso

– C2 - controllo accessi

• Classe (B) Protezione mandatoria

– B1 - protezione con etichette

– B2 - protezione strutturata

– B3 - domini di sicurezza

• Classe (A) Protezione certificata

– A1 - Progetto certificato

95

Determinazione delle Evaluation Class

96

Determine Mode

of Operation

Determine Minimum

User Clearance

Determine Maximum

Data Sensitivity

Rating

Determine Risk

Index

Determine Minimum

Security Evaluation

Class

Modes of Operation

97

Clearance

Access

Approval

Need-to-know

= All users = Some users

Dedicated System

High

Multilevel Compart-

mented

Partitioned

Minimum User Clearance

98

RATING

(Rmin)MINIMUM USER CLEARANCE

Uncleared (U)

Not Cleared but Authorized Access to Sensitive Unclassified (N)

Confidential (C)

Secret (S)

Top Secret (TS)/Current Background Investigation (BI)

Top Secret (TS)/Current Special Background Investigation (SBI)

One Category (1C)

Multiple Categories (MC)

0

1

2

3

4

5

6

7

Maximum Data Sensitivity

99

Maximum Data

Sensitivity Ratings

Without Categories

Unclassified

Not Classified but

Sensitive

Confidential

Secret

Top Secret

RATING

(Rmax)

0

1

2

3

5

2

3

4

6

7

5

Not Applicable

N With One or More Categories

C With One or More Categories

S With One or More Categories With No

More Than One Category Containing

Secret Data

S With Two or More Categories

Containing Secret Data

Maximum Data Sensitivity

With Categories

TS With One or More Categories With No

More Than One Category Containing

Secret or Top Secret Data

TS With Two or More Categories

Containing Secret or TS Data

RATING

(Rmax )

Calcolo del Risk Index

• If Rmin < Rmax

– Risk Index = Rmax - Rmin

• If Rmin > Rmax

– Risk Index = 1, if there are categories on the

system to which some users are not authorized

access

– 0, otherwise

100

Rmax = system’s maximum data sensitivity

Rmin = system’s minimum user clearance

Minimum Security Evaluation Class

101

RISK

INDEXMode of Operation

0

0

1

2

3

4

5

6

7

Dedicated

System High

Compartmented, Multilevel

Compartmented, Multilevel

Multilevel

Multilevel

Multilevel

Multilevel

Multilevel

No Prescribed Min

C2

B1

B2

B3

A1

*

*

*

No Prescribed Min

C2

B1

B2

B2

B3

A1

*

*

Minimum Criteria

Class for Open

Environments

Minimum Criteria

Class for Closed

Environments

Criteri CTCPEC (cont.)

• Il livello di valutazione conseguito da un prodotto esprime la fiducia complessiva che può essere riposta nel prodotto stesso

• E’ riferito complessivamente all’insieme di tutte le funzionalità di sicurezza offerte e descritte per mezzo dei criteri funzionali

• Il risultato della valutazione è una lista i cui elementi sono coppe serviceservice--levellevel (es.: CD-2, CR-1, ID-1, IS-1, IT-1, WA-1, WI-1, T-2 è la valutazione equivalente di un sistema TCSEC C2)

• Approccio molto sistematico

• Rigido perché considera un ben preciso insieme di funzionalità

102

Criteri CC (Common Criteria)

• Fanno propri alcuni concetti alla base dei criteri preesistenti

• Gli aspetti di assurance vengono separati da quelli funzionali come in ITSEC

• I Common Criteria contengono essenzialmente iprincipi tecnici fondamentali — di validità generale, chiari e flessibili – per descrivere e valutare:

•• RequisitiRequisiti funzionalifunzionali

•• RequisitiRequisiti di di affidabilitaffidabilitàà

103

Criteri CC

• Requisiti funzionali

– Tali requisiti sono descritti in modo organico e strutturato per due tipologie di situazioni:

• Protection Profile (PP) — Si riferiscono a famiglie o categorie di prodotti e ambienti generici senza riferimenti a specifici prodotti o sistemi.

• Security Target (ST) — Si riferisce ad uno specifico prodotto o sistema di cui si conoscono le specifiche di sicurezza.

– Tutti i requisiti di sicurezza (specifiche, descrizione, collegamenti, interdipendenze, ecc.) che si possono comporre nei PP e ST sono contenuti in un catalogo dei requisiti funzionali della sicurezza

104

Criteri CC

– Struttura Protection

Profile/Security Target

• Introduction

• TOE description

• Security environment

– Assumptions

– Threats

– Organizational security

– Policies

– Security objectives

• Security requirements

– Functional req’ts

– Assurance req’ts

• TOE summary

specification

• Rationale

105

Criteri CC

106

Classi funzionali per Classi funzionali per

i requisiti di i requisiti di

sicurezzasicurezza

Criteri CC (cont.)

107

Classe Nome

ACM Configuration Management

ADO Delivery & Operation

ADV Development

AGD Guidance Documents

ALC Life Circle Support

ATE Tests

AVA Vulnerability Assessment

APE Protection Profile Evaluation

ASE Security Target Evaluation

AMA Maintenance of Assurance

LL’’assuranceassurance viene trattata viene trattata

definendo 10 definendo 10 classi dei requisiti classi dei requisiti

che concorrono a determinare che concorrono a determinare

ll’’affidabilitaffidabilitàà della sicurezzadella sicurezza

Criteri CC (cont.)

• I livelli di valutazione dei CC sono 7 e vengono

definiti con la sigla EAL (Evaluation Assurance

Levels) (AL-0, ..., AL-7)

108

EAL1 functionally testedEAL2 structurally testedEAL3 methodically testedEAL4 methodically tested and checkedEAL5 semiformally designed and testedEAL6 semiformally verified designed and testedEAL7 formally verified designed and tested

Livello