metodologie di risk analysis -...
TRANSCRIPT
Metodologie di Risk Analysis:panoramica sulle metodologie e standard
Un approccio pragmatico
Prof. Ing. Claudio Cilli
CIA, CISA, CISM, CISSP, CGEIT, CSSLP, CIRISC, M.Inst.ISP
http://mastersicurezza.uniroma1.it
http://di.uniroma1.it
TCPUDP
802.3 / 802.2
HDLC
EIA/TIA-232V.35
IP
Presentation
Application
Session
TCP/IPTCP/IP
• Reliable or unreliable delivery
• Error correction before retransmit
• Combines bits into bytes and
bytes into frames
• Access to media using MAC address
• Error detection not correction
• Move bits between devices
• Specifies voltage, wire speed and
pin-out cables
Transport
Data Link
Physical
Network Provide logical addressing which
routers use for path determination
HTTPFTP
SSL
2
TCPUDP
802.3 / 802.2
HDLC
EIA/TIA-232V.35
IP
Presentation
Application
Session
TCP/IPTCP/IP
• Reliable or unreliable delivery
• Error correction before retransmit
• Combines bits into bytes and
bytes into frames
• Access to media using MAC address
• Error detection not correction
• Move bits between devices
• Specifies voltage, wire speed and
pin-out cables
Transport
Data Link
Physical
Network Provide logical addressing which
routers use for path determination
HTTPFTP
SSL
3
multifunz.
distribuitoSISTEMA SISTEMA ……
INTERNET - IL sistema distribuito
• Riflessioni sulla crisi dell’11 settembre 2001-WTC
contesto: NYC = nodo superconnesso
– 74 TELCO Carrier– 100 Int’l Internet Carrier con link diretti a 71 paesi
Interconnessione effettuata:• al NYIX – New York Internet Exchange• nei “ Carrier hotels” per collegamenti tra operatori presenti
nello stesso palazzo
5
INTERNET - IL sistema distribuito
Riflessioni sulla crisi dell’11 settembre 2001- WTC
1.la Rete nel complesso ha dimostrato la sua forte adattabilità nonostante i
danni alle infrastrutture (anche ICT) ed al picco di traffico in seguito
all’evento (accesso a siti web informativi- scambio di messaggi)
2.la Rete ha dimostrato una notevole resilienza agli attacchi fisici, anche se in alcune componenti del “sistema” la ridondanza è stata inadeguata
3.molti dei problemi, a 8-12 ore dall’evento, erano il risultato della
mancanza di un piano di continuità operativo che potesse garantire, ad
esempio:
• accesso o controllo remoto dei Data Centers
• consegna del carburante per i generatori elettrici !!!
4.la Rete ha garantito comunicazioni efficaci (e-mail ed instant messages) a fronte della congestione della rete telefonica.
6
INTERNET - IL sistema distribuito
• Il routing Internet è ritornato alla quasi normalità nel giro di 15 minuti dal collasso della Torre Sud WTC
• Circa il 2% delle routes non ritornano normali per almeno 24 ore:
– alcune erano riferite a soggetti presenti al WTC
– altre erano riferite ad ISP di Italia (!!), Germania, Romania e Sud Africa
• I veri problemi sono stati tutti legati alla sicurezza informatica
7
Sicurezza IT: componenti di base
• Sicurezza delle transazioni
• Sicurezza dei dati e delle
applicazioni
• Sicurezza delle comunicazioni
AutenticazioneAutenticazione
AutorizzazioneAutorizzazione
Non RipudioNon Ripudio
RiservatezzaRiservatezza
IntegritIntegritàà
8
Evoluzione degli attacchi
Grado di
conoscenza tecnica
necessaria
Grado di
conoscenza tecnica
necessaria
Livello di sofisticazione
degli strumentidi hacking
Livello di sofisticazione
degli strumentidi hacking
Sofisticazione del pacchetto/impersonificazione
(packet spoofing/forging)
200019901980
Password semplici
Codice autoreplicante
Password crack
Vulnerabilita’conosciute
Disabilitazioneaudit
Back Doors
Dirottamento di Sessione(session Hijacking)
Sniffer
Diagnostici invisibiliAltaAlta
BassaBassa
oggi
9
Una possibile classificazione
• Disclosure Attack
• Masquerading Attack
• Integrity Attack
• Denial of Service Attack
• Software Forgery/Poisoning Attack
• Blended Threats
10
Disclosure Attack
• Esempio: Packet sniffingPacket sniffing
MITTENTE DESTINATARIO
INTRUSO
messaggio
osserva
11
Masquerading Attack
• Esempio: IP spoofing / Shadow serverIP spoofing / Shadow server
MITTENTE DESTINATARIO
INTRUSO
Messaggio falsificato
MITTENTE DESTINATARIO
INTRUSO
Messaggio
12
Integrity Attack
• Esempio: Connection hijacking / Data Connection hijacking / Data
spoofingspoofing
MITTENTE DESTINATARIO
INTRUSO
Messaggio originale
Messaggio falsificato
13
DenialDenial of Service Attackof Service Attack
INTRUSO(Master)
SLAVES
Destinatario
Mittente
Esempio: SMURF, Trin00, Ping of Death, SMURF, Trin00, Ping of Death,
TcpTcp SynSyn flood flood ……
14
Software forgery/poisoning Attack(aka MALICIOUS CODE ATTACK)
INTRUSOhttp
irc
es. Canali di trasmissione
del virus Propagazione inconsapevole da parte degli utenti
Esempio: Trojan horse, Trojan horse, Backdoor,VirusBackdoor,Virus
15
Blended Threats
Ospite infetto
es. Canali di trasmissione
del codice (autopropagazione) Autopropagazione del codice
Combinano le caratteristiche di virus, worm, Trojan horse con le vulnerabilità dei server e di
Internet per iniziare, trasmettere e propagare un attacco (autopropagazione)
Esempio: NIMDA, CODE REDNIMDA, CODE RED
Sfruttano le vulnerabilità delle tecnologie adottate
16
Qual’è impatto degli attacchi?
•• Interruzione dei serviziInterruzione dei servizi– Perdita di guadagni
– Perdita di produttività
– Maggiori costi per il ripristino
•• Esposizione a procedimenti giudiziariEsposizione a procedimenti giudiziari– Come testimone o come imputato(*)
•• Perdita di immaginePerdita di immagine
** Bisogna dimostrare la diligenza nel minimizzare l’esposizione agli attacchi
17
Un approccio metodologico…
18
Sicurezza IT
• Implementare la Sicurezza in un determinato contesto vuol
dire:Risorse da proteggereRisorse da proteggere
MinacceMinacce
VulnerabilitàVulnerabilità
Le specifiche di sicurezzaLe specifiche di sicurezza
IndividuareIndividuare
IndividuareIndividuare
IndividuareIndividuare
DeterminareDeterminare
Il livello accettabile di rischio
Il livello accettabile di rischio
Definire Definire
Un sistema sicuro Un sistema sicuro èè dunque un sistema che rispetta una dunque un sistema che rispetta una serie di specifiche di sicurezzaserie di specifiche di sicurezza
19
Valutazione
• In linea generale la valutazione consente di
rispondere, in maniera probabilistica circa la
capacità di un sistema (assurance) di rispettare
determinate specifiche di sicurezza
• Emerge dunque la necessità, tra utilizzatore e
fornitore di sistemi IT di definire criteri e
metodologie per la valutazione delle specifiche
di sicurezza richieste da un sistema
20
Certificazione
• La valutazione eseguita da una terza parte indipendente (Organismo di Certificazione), sulla base di standard e metodologie riconosciute per le quali l’organismo è stato accreditato da un Ente di Accreditamento, consente di ottenere la CERTIFICAZIONE
21
Certificazione
Gestore dello schema
Criteri e standardEnti di accreditamento
Enti di certificazione
Laboratori di verificaProdotto/processo
da certificare
Certificazio-
ne
22
Panoramica storica
• Standard attuali
– TCSEC (Trusted Computer Security Evaluation Criteria o Orange Book,
del 1985)
– ITSEC (Information Techonology Security Evaluation Criteria, del 1991)
Francia, Germania, Olanda e Regno Unito
– CTCPEC (Canadian Trusted Computer Product Evaluation Criteria, del
1993) finalizzato a conciliare i concetti del TCSEC e del ITSEC
– FC (Federal Criteria for Information Technology Security, draft del 1993)
volto a unificare il modello Nord Americano con quello Europeo
– Common Criteria: Stati Uniti, Canada, Francia, Germania, Olanda e
Regno Unito, in collaborazione con l’ISO (International Organization for
Standardization)
23
Panoramica storica
• La caratteristica comune è che il livello di assurance deve essere stimato da un valutatore imparziale e, come
precisato dai diversi criteri, dipende:
– dalle caratteristiche dell’oggetto da valutare
– dal rigore con cui il valutatore analizza l’oggetto della valutazione e la sua documentazione
– dalla severità dei requisiti che vengono imposti dai criteri sia sulla stesura della documentazione necessaria alla valutazione sia sull’ambiente e sul processo di sviluppo dell’oggetto stesso
24
Panoramica storica
• Approccio simile a quello seguito nell’area del controllo di qualità ed implica:
– la valutazione può essere condotta solo se si conosce a priori a quale
livello di assurance si ambisce
– le azioni che il valutatore deve compiere dipendono da tale livello
• I criteri definiscono una metrica per l’assurance:
– aspetti e documentazione da considerare
– azioni che il valutatore deve compiere
– requisiti sull’ambiente e sul processo di sviluppo
– modalità di descrizione dell’oggetto da valutare
– funzioni di sicurezza che deve offrire
– mirano a soddisfare tutte le esigenze (utilizzatori, produttori, valutatori)
– precisano ruoli, compiti ed aspettative
25
Panoramica storica
Canada, prime
iniziative
1989 - 1993
CTCPEC 3
1993
TCSEC (USA)
1983 - 1985
NIST - MSFR
1990
Federal Criteria
1992
Progetto
Common Criteria 1993
Common Criteria
ver. 1.0 1996
Common Criteria
ver. 2.0 1998
ISO 15408
01/12/1999
Iniziative europee
nazionali e regionali
1989 - 1993
ISO 17799
12 /2000
ITSEC
1992
BS 7799
1995
ISO 27002
12 /200526
Risk Management
• Processo relativo all’identificazione, valutazione,
controllo e riduzione dei rischi nei sistemi
informativi
• Obiettivo: identificare aree specifiche dove le
protezioni sono necessarie per prevenire
deliberate o accidentali divulgazioni non
autorizzate, modifiche, uso non autorizzato delle
informazioni, o negazione del servizio
27
Quadro di sintesi
Cost BenefitAnalysis
Risk AnalysisCountermeasure
Selection
Security Test & Evaluation
CountermeasureImplementation
PenetrationTesting
CertificationSystemsReview
Contingency Planning
28
Relazioni nella gestione del rischio
29
SICUREZZA = PROCESSO DINAMICO
• Evoluzione delle strategie di attacco
• Disponibilità di strumenti innovativi per contrastare gli attacchi
• Gestione Incidenti di sicurezza
AnalisiAnalisi
rischiorischio
AttuazioneAttuazione
misuremisure
VerificaVerifica
sicurezzasicurezza
30
Risk Management Methods
• Austrian IT Security Handbook
• Control Objectives for Information and Related Technology (CObIT)
• CCTA Risk Assessment and Management
• Methodology (CRAMM)
• Dutch A&K Analysis
• EBIOS
• ETSI
• Factor Analysis of Information Risk Management (FIRM)
• Failure Modes and Effects Analysis (FMEA)
• Facilitated Risk Assessment Process (FRAP)
• Information Risk Assessm,ent Methodologies (IRAM)
• ISAMM
• Information Security Forum (ISF) Methods
• ISO TR 13335 (a Techniocalo Report which is a precursor to ISO/IEC 27005)
• ISO/IEC 27001
• ISO/IEC 31000
• IT Grundschutz
• Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT)
• MEHARI
• MIGRA
• NIST SP 800-30
• NIST SP 800-39
• NSA IAM / IEM / IA-CMM
• OCTAVE
• Open Source Security Testing Methodology Manual (OSSTMM)
• Practical Threat Analysis (PTA)
• Simple to Apply Risk Assessment (SARA)
• Security Officers Managemtn and Analysis Project (SOMAP)
• Simplified Process for Risk Identification (SPRINT)
31
Risk Management Tools
• Risk Management Tools
– Acuity Stream
– Archer
– Axur
– Callio
– Casis
– Citicus ONE
– Cobra
– CRAMM
– EAR / PILAR
– EBIOS
– GSTool
– GxSGSI
– ISAMM
– MIGRA
– Modulo Risk Manager
– OCTAVE
– Proteus Enterprise
– RA2 Art of Risk
– Resolver Ballot
– Resolver Risk
– Risicare
– Riskwatch
– RM Studio
– Risk Manager
– RiskOptix
– RSAM
– vsRisk
– …
32
Le metodologie vanno confrontate…
Sono idonee le formule?
• IS Risk Analysis Based on a Business Model uses the following:
Che fare?
• Si tratta di scegliere una metodologia pratica
– Di facile utilizzo
– Che dia risultati concreti
– Adattabile
– In accordo con almeno uno standard consolidato, ma
quale?
• La scelta è caduta su ITSEC per la sua
semplicità, coerenza… e perché europeo!
35
ITSEC
Information Technology Security Evaluation Criteria
36
Criteri ITSEC
• ITSEC (Information Technology Security
Evaluation Criteria) Gruppo di lavoro misto F,
UK, D, NL
• Finalizzato alla “valutazione” di sistemi o di
prodotti specifici
• Non sono norme ma criteri: identificano le
verifiche da eseguire nel corso della valutazione
37
Criteri ITSEC (cont.)
• Formale: cioè basata su azioni note, imparziali,
ripetibili, riproducibili (metodologie)
• Hanno come oggetto le contromisure IT, anche
se il contesto dell'ambiente di esercizio deve
essere descritto con tutte le contromisure anche
di altro genere
• Introduce il concetto di “T.O.E.” (Target of
Evaluation)
38
Criteri ITSEC
• Il “Target of Evaluation” viene analizzato separatamente nelle sue due componenti:
– Funzionalità di sicurezza
previste
– Livello di “assurance” per le
funzionalità
• T.O.E.:– Sistema
• Scopo specifico
• Ambiente operativo noto
– Prodotto
• Si può acquistare da solo
• Può essere incorporato in piùsistemi
39
assurance
FunzionalitàCorrettezza
Efficacia
Criteri ITSEC
• Assurance, due obiettivi:
– efficacia delle funzioni di sicurezza per contrastare le minacce
– correttezza nella realizzazione delle funzioni e dei meccanismi di
sicurezza (assurance)
• 7 livelli (E0, E1, ..., E6) di valutazione dell’assurance
40
10 classi di funzionalità
predefinite
Analisi di due elementi
• Efficacia
– 3 gradi di robustezza
• Aspetto di costruzione
• Aspetto operativo
• Correttezza
– 6 livelli di valutazione
• Aspetto di costruzione
• Processo di sviluppo
• Ambiente di sviluppo
• Aspetto operativo
• Documentazione d’uso
• Ambiente operativo
• Attributi delle specifiche
– Tipo di formalizzazione
• Informali
• Semiformali
• Formali
– Grado di approfondimento
• Affermare
• Descrivere
• Spiegare
41
Security Target
• Politica di sicurezza o Product Rationale
• Funzioni di sicurezza
• Meccanismi (opzionale)
• Robustezza minima dei meccanismi
• Livello di valutazione
42
Valutazione
• Controllo della idoneità delle funzioni e
dei meccanismi
• Controllo della consistenza delle
funzioni e meccanismi ovvero della
loro capacità di lavorare bene insieme;
• Esame della robustezza dei meccanismi
• Esame della vulnerabilità connessa ad
aspetti di costruzione
• Esame della facilità d’uso
• Esame della vulnerabilità connessa ad
aspetti operativi
• Controllo dei requisiti
• Controllo del disegno architetturale
• Controllo del disegno di dettaglio
• Controllo dell’installazione
• Controllo dell’ambiente di sviluppo
• Controllo della documentazione
operativa
• Controllo dell’ambiente operativo
• Esecuzione dei test di penetrazione
• Stesura del rapporto di valutazione
(ETR)
43
Preparare la
documentazione
per la valutazione
SPONSOR
Eseguire la
valutazione
Rilasciare il
rapporto di
certificazione
Politica di Sicurezza Tecnologica
Obiettivi di Sicurezza
Documentazione TOE
VALUTATORE
ENTE
CERTIFICATORE
Politica di Sicurezza Aziendale
Requisiti
Document.
Certificato
Rapporto di
valutazione (ETR)
Processo di valutazione
Generic Headings
• Identificazione e autenticazione
• Controllo accessi
• Accountability
• Audit
• Riutilizzo di risorse
• Accuratezza
• Affidabilità del servizio
• Scambio dati
• Ogni Generic
Heading è quindi
dettagliato nelle
contromisure
(funzioni) di dettaglio
relative (es.: backup,
crittografia, ecc.)
45
La metodologia in pratica
46
Fase 1: Raccolta dati
• Nel Piano di Sicurezza il vero bene da proteggere sono
le informazioni e su di esse si concentrano tutte le
attività
• Fasi di attività:
– Esame della Politica di Sicurezza
– Classificazione dei dati
– Rilevazione della struttura informatica
– Distribuzione dei dati nei sistemi
– Analisi delle minacce e degli attacchi
47
Esame della Politica di Sicurezza
• Politica di sicurezza aziendale: l’insieme di norme, regole, consuetudini che regolano come i beni aziendali
vengono gestiti, protetti e distribuiti all’interno dell’organizzazione. Tali norme spesso sono sintetizzate in un
documento aziendale
• Politica di sicurezza di sistema: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da
un sistema, che illustra l’insieme di norme, regole, consuetudini che regolano come le informazioni rilevanti per la
sicurezza (sensitive) ed altre risorse sono gestite, protette e distribuite all’interno dello specifico sistema. Il
documento fa riferimento agli eventuali documenti di politica di sicurezza aziendale e tecnologica. Il documento
dovrebbe identificare gli obiettivi di sicurezza del sistema e le relative minacce e dovrebbe coprire tutti gli aspetti di sicurezza relativi al sistema, inclusi quelli associati alla misure di sicurezza fisica, procedurale e del personale
• Politica di sicurezza tecnologica: l’insieme di norme, regole, consuetudini che regolano l’elaborazione delle
informazioni rilevanti per la sicurezza (sensitive) e l’uso di altre risorse da parte dell’hardware e software di un
sistema informativo. Tali norme possono essere suddivise in più documenti dedicati a specifiche tecnologie per esempio reti locali, trasmissione dati, stazioni di lavoro personali, ecc. Il documento fa riferimento alla politica di
sicurezza aziendale e dovrebbe essere predisposto quando si introducono nuove tecnologie
• Product rationale: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da un prodotto, che
dovrebbe fornire all’eventuale acquirente le informazioni necessarie a valutare se il prodotto può soddisfare gli
obiettivi di sicurezza e a definire cosa altro deve essere fatto affinché tali obiettivi possano essere raggiunti completamente. Quindi il documento dovrebbe identificare le modalità d’uso del prodotto, l’ambiente a cui è
indirizzato e le minacce previste in tale ambiente
48
Classificazione dei dati
• I dati e le informazioni devono essere disponibili
in una forma possibilmente strutturata
Label Description Comment
Data set
Data set #1
Data set #2
…
…
…
…
…
Data set n
49
Classificazione dei dati (cont.)
• Ai responsabili dei dati e manager aziendali viene chiesto di riempire degli opportuni questionari in cui si richiede di valutare la sensibilità dei dati gestiti o utilizzati rispetto ai parametri canonici di integrità, riservatezza e disponibilità con
un valore 1, 2 o 3
• Il questionario che ogni soggetto intervistato riceve contiene solo gli elementi di propria competenza
Data set Relevance
Integrity Confiden-
tiality
Availability
Data set #1 3 3 3
Data set #2 1 1 2
Data set #3 1 2 2
Data set #4 2 2 1
Data set #5 1 1 1
50
Classificazione dei dati (cont.)
• I valori attribuiti sono sommati in modo ponderato (Σ/n) e scalati per
evitare numeri decimali (x 10, x100, ecc.)
• L’obiettivo è di dividerli in tre macro-classi (High, Medium, Low)
per ogni parametro di sensibilità
• Alla fine si ottiene la figura seguente
V1 Integrity
High H
Medium M
Low L
V2 Confidentiality
High H
Medium M
Low L
V3 Availability
High H
Medium M
Low L
51
Classificazione dei dati (cont.)
• Successive analisi ed interviste eliminalo le eventuali situazioni di incongruenza (i manager desiderano che un certo gruppo sia posizionato, ad esempio per ragioni strategiche aziendali, in una classe diversa da quella spettante dall’elaborazione)
Data set #1
0 50 80
Data set Integrity Value
95
70
70
45
35
H
L
M
Data set #2
Data set #3
Data set #4
Data set #5
Data set #6
Data set #7
Data set #8
48
92
42
52
Classificazione dei dati (cont.)
• Il risultato finale è un report di questo tipo:
Integrity Confidentiality Availability
Data set
Data set #1 H M M
Data set #2 L M L
… … … …
… … … …
… … … …
… … … …
… … … …
Data set n M L L
53
Rilevazione della struttura informatica
• Attraverso interviste e questionari si ottiene una rappresentazione del sistema informativo, distinguendo
tra livelli omogenei e sistemi che rivestono particolare
importanza
• Ad esempio:
– HOST (Mainframe)
– RETE (Rete Geografica Aziendale)
– MINICOMPUTER (Sistemi Dipartimentali)
– LAN (Local Area Network)
– WORKSTATION (Personal Computer)
– SISTEMI DI BACK-UP
54
Distribuzione dei dati nei sistemi
• La sensibilità di ogni archivio di dati è la stessa per ogni sistema in cui è presente o elaborato, e pari al valore
precedentemente determinato:
IntegrityData set Architectural levels
Host WAN Mini LAN WS Tape room
Data set #1 H H H H
Data set #2 L L
… … … … … … …
… … … … … … …
Data set n M M M
55
Distribuzione dei dati nei sistemi (cont.)
• Analoghe tabelle vengono costruire per i restanti parametri di sensibilità: Confidentiality
Data set Architectural levels
Host WAN Mini LAN WS Tape room
Data set #1 M M M M
Data set #2 M M
… … … … … … …
… … … … … … …
Data set n L L
AvailabilityData set Architectural levels
Host WAN Mini LAN WS Tape room
Data set #1 M M M M
Data set #2 L L
… … … … … … …
… … … … … … …
Data set n L L
56
Distribuzione dei dati nei sistemi (cont.)
• La sensibilità di ogni sistema informatico viene definita pari a quella dei dati presenti o elaborati di valore più
elevato:
In te g r ity
D a ta s e t A r c h ite c tu r a l le v e ls
H o s t W A N M in i L A N W S T a p ero o m
D a ta s e t
# 1H H H H
D a ta s e t
# 2L L
… … … … … … …
… … … … … … …
D a ta s e tn
M M M
57
Distribuzione dei dati nei sistemi (cont.)
• La sensibilità del sistema informatico può essere diversa rispetto ai tre parametri di sicurezza:
C o n fid e n t ia l i ty
D a ta s e t A rc h ite c tu ra l le v e ls
H o s t W A N M in i L A N W S T a p ero o m
D a ta s e t# 1
M M M M
D a ta s e t
# 2M M
… … … … … … …
… … … … … … …
D a ta s e t
# 5L L
A v a i la b il i ty
D a ta s e t A rc h ite c tu ra l le v e ls
H o s t W A N M in i L A N W S T a p e
ro o m
D a ta s e t# 1
M M M M
D a ta s e t# 2
L L
… … … … … … …
… … … … … … …
D a ta s e t# 5
L L
58
Distribuzione dei dati nei sistemi (cont.)
• Se un sistema non contiene o elabora dati critici o
sensibili, il suo valore è “non classificato” ed è
ignorato
• In base ai risultati conseguiti nei passi precedenti è
possibile costruire la tavola riepilogativa finale:
Integrity Confidentiality Availability
Arch. level
Host H M M
WAN H M M
Mini H M M
LAN M M L
WS … … L
Tape room H M M
59
Analisi delle minacce e degli attacchi
• “ Evento non desiderato, sia deliberato che accidentale, che potrebbe in qualsiasi modo arrecare danno direttamente o indirettamente”
• Sono possibili molte classificazioni delle minacce in grado di agire su un sistema. Una è la seguente:
– FURTI• Azioni di appropriazione di apparati, impianti, tabulati, supporti magnetici, o copie di dati
e/o programmi, sottratti all’azienda con finalità diverse. Per ciò che concerne i dati ed i programmi non necessariamente finalizzati alla divulgazione all’esterno
– FRODI O MALVERSAZIONI (COMPUTER CRIME)• Azioni finalizzate ad arrecare un danno alla azienda sia per ricavarne profitti personali
illeciti, o per terzi, sia per attivare azioni di ritorsione, intimidazione o comunque compromissori per la missione o per l’immagine dell’azienda stessa
– DANNEGGIAMENTO• Eventi ti tipo fisico o logico e che comportano danni tali da provocare la perdita di
affidabilità fino all’interruzione del servizio
60
Analisi delle minacce e degli attacchi
– MANIPOLAZIONI DI DATI E/O PROGRAMMI• Azioni vandaliche in grado di arrecare danno all’azienda senza finalità conclamate
(rientrerebbero altrimenti nelle frodi)
– PERDITA DI PRIVACY• Azioni, sia accidentali che procurate, che possono comunque l’accesso ad
informazioni riservate o che se non utilizzate dai diretti interessati possono essere suscettibili di erronee o fuorvianti interpretazioni
– ERRORI SUI DATI E PROGRAMMI• Errori derivanti sia dalla mancanza di adeguati test e collaudi al software prima
della messa in esercizio, sia derivanti da mancanza di controlli adeguati sui dati immessi nel sistema.
– UTILIZZO ILLEGALE DI SOFTWARE• Azioni di inserimento di software non legale e comunque, anche se legale, non
autorizzato dalla struttura responsabile del S.I.
– DIVULGAZIONE DI DATI E PROGRAMMI• Minaccia particolare posta in una posizione intermedia tra la frode ed il furto.
L’azione infatti può avvenire in assenza di danni per l’azienda e rappresentare in tal caso non una frode vera e propria bensì un furto attuato tramite copia illegittima dello stesso. Qualora l’evento porti nocumento all’azienda si tratta di una frode vera e propria perpetrata con modalità tipiche del furto
61
Analisi delle minacce e degli attacchi
– UTILIZZO ILLEGALE DI RISORSE• Utilizzo illecito delle risorse aziendali, costituendo di fatto un abuso nei confronti
dell’azienda stessa o una appropriazione indebita di beni immateriali
– AVARIE AI SISTEMI• Malfunzionamenti del sistema, sia sull’hardware che sul software, in grado di
compromettere l’affidabilità del sistema stesso.
– INAGIBILITA’ DEI LOCALI• Condizioni di impraticabilità, temporanea o definitiva, dei locali dove operano i sistemi o
dove sono depositati gli archivi off-line necessari ad un esercizio affidabile del sistema. L’inagibilità cui si fa riferimento è quella che dipende dalle infrastrutture ausiliarie e logistiche di supporto ove i sistemi sono collocati
62
Analisi delle minacce e degli attacchi
• Le minacce in grado di agire sui sistemi si attuano mediante diverse tipologie di attacchi, come ad esempio:
– Accesso non autorizzato a dati e programmi
– Intercettazione delle informazioni in transito sulle linee di
comunicazione
– Analisi del traffico sulla rete locale
– Abuso di privilegi
– Furto di supporti o documenti
– Modifica di dati e programmi
– Inserimento di virus
– Ecc.
LL’’analisi condotta in azienda consente di determinare analisi condotta in azienda consente di determinare
quali sono gli attacchi possibili e le modalitquali sono gli attacchi possibili e le modalitàà di attuazionedi attuazione63
Fase 2: Elaborazione
• ITSEC prevede di definire gli obiettivi di sicurezza come insieme
delle funzioni di sicurezza (Security Function) atte a contrastare
gli attacchi
• Fasi di attività:
– Analisi degli obiettivi sulle classi di sensibilità dei dati
– Determinazione delle funzioni di sicurezza
– Determinazione dei meccanismi
– Grado di robustezza dei meccanismi
– Grado di confidenza (assurance) richiesto
64
Analisi degli obiettivi sulle classi di sensibilità dei dati
• Gli obiettivi (reazione agli attacchi) sono precisati per le tre classi di sensibilità dei dati:
Obiettivi di sicurezza H M LAccesso non autorizzato a dati e programmi x x x
Intercettazione delle informazioni in transito sulle linee di
comunicazione
x
Analisi del traffico sulla rete locale x x
Abuso di privilegi x
Furto di supporti o documenti x x x
Modifica di dati e programmi x
Inserimento di virus x x
65
Determinazione delle funzioni di sicurezza
• I criteri ITSEC, pur lasciando libertà di scelta delle funzioni di sicurezza, ne
suggeriscono l'ordinamento in gruppi. A tal fine raccomandano (ma non
impongono) l'uso dei seguenti otto gruppi generici (generic headings):
– identification and authentication
– access control
– accountability
– audit
– object reuse
– accuracy
– reliabilty of service
– data exchange
• A queste si aggiungono un gruppo di funzioni di tipo organizzativo e un
altro logistico
66
Determinazione delle funzioni di sicurezza
• Gli obiettivi di sicurezza vengono tradotti nelle funzioni di sicurezza
necessarie ad attuarli (una per ogni parametro di sicurezza: integrità,
riservatezza, disponibilità):
• Permettendo di costruire la seguente tabella:
Obiettivi di sicurezza Funzioni di sicurezzaAccesso non autorizzato a dati e
programmi
Access Control
Intercettazione delle informazioni in
transito sulle linee di comunicazione
Access Control
Identification and Authentication
Organizzazione
Analisi del traffico sulla rete locale Accountability
Access Control
Funzioni logistiche
Abuso di privilegi Access Control
Organizzazione
Furto di supporti o documenti Organizzazione
Funzioni logistiche
Modifica di dati e programmi Access Control
Reliability of service
Inserimento di virus Organizzazione
Accountability
67
Determinazione delle funzioni di sicurezza (cont.)
Sensitivity classes HIGH MEDIUM LOW
Security
parameters
Security
functions
I C A I C A I C A
Identification and Authentication X X X X X X
G Access control X X X X X X
E Data access control X X X X X X
N. Accountability X X X X X X
/ Audit X X X X X X
H Object reuse X
E Accuracy X X X
A Reliability of service X X X X X X
D. Data exchange X X
Rules and responsibilities
definition
X X X X X X
O Procedures for system utilisation X X X X X X
R Procedures for system management X X X X X X X X X
G Training X X X
Communication activity to make
users aware of security needs
X X X X X X X X X
Passive detection systems X X
L Active detection systems X X
O Physical access control systems X X X X X X
G UPS X X X X
General building structures X X
68
Determinazione dei meccanismi
• Dal confronto tra la tabella relativa alla sensibilità dei sistemi informatici e quella delle funzioni...
• si determina quali funzioni di sicurezza e con quale efficacia (H, M, L, pari alla sensibilità dei dati da proteggere) devono essere adottate per ogni sistema per ogni parametro (integrità, riservatezza, disponibilità)
Sensitivity classes HIGH MEDIUM LOW
Security
parameters
Security
functions
I C A I C A I C A
Identification and Authentication X X X X X X
G Access control X X X X X X
E Data access control X X X X X X
N. Accountability X X X X X X
/ Audit X X X X X X
H Object reuse X
E Accuracy X X X
A Reliability of service X X X X X X
D. Data exchange X X
Rules and responsibilities
definition
X X X X X X
O Procedures for system utilisation X X X X X X
R Procedures for system management X X X X X X X X X
G Training X X X
Communication activity to make
users aware of security needs
X X X X X X X X X
Passive detection systems X X
L Active detection systems X X
O Physical access control systems X X X X X X
G UPS X X X X
General building structures X X
Integrity Confidentiality Availability
Arch. level
Host H M M
WAN H M M
Mini H M M
LAN M M L
WS … … L
Tape room H M M
69
Determinazione dei meccanismi
• I meccanismi di sicurezza attuano le funzioni
previste
• Si cerca di utilizzare quelli certificati
• Sono scelti sulla base di considerazioni
economiche, a parità di grado di robustezza
offerta
• Non esiste un metodo preciso per la loro
adozione: l’esperienza e la capacità dell’esperto
decidono
70
Grado di robustezza dei meccanismi
• La robustezza dei meccanismi è definita con precisione in ITSEC
• Può essere Alta, Media o Bassa, che rappresentano crescenti
livelli di resistenza ad un attacco diretto
• ITSEM definisce le modalità di determinazione del grado di robustezza per i generic headings validi anche per quelli relativi alle funzioni logistiche, basate su:
– tempo a disposizione per effettuare l’attacco
– complicità necessaria
– esperienza tecnica posseduta
– attrezzatura utilizzata
• Per i meccanismi di tipo organizzativo si può utilizzare la seguente tabella:
71
Grado di robustezza dei meccanismi
Grado dirobustezza
Funzioniorganizzative
Ruoli e re-sponsabilità
Norme diutilizzo
Procedure digestione
Formazione Sensibilizza-zione e
comunica-zione
BASE Definiti Generale
MEDIA Definiti Descrizionegenerale
Descrizionegenerale
Generale
ALTA Definiti Descrizionedettagliata
conformalizzazio
ne
Descrizionedettagliata
Specifica perla sicurezza
Specifica
• BASE: definiti ruoli e responsabilità
• MEDIO: definiti ruoli e responsabilità. Descritto utilizzo e gestione delle funzioni di
sicurezza
• ALTO: definiti ruoli e responsabilità. Descritto in dettaglio utilizzo e gestione delle
funzioni di sicurezza, addestramento alla sicurezza
72
Grado di confidenza (assurance) richiesto
• ITSEC definisce sette livelli (E0..E6) di
confidenza (assurance) del sistema di sicurezza
rispetto alla sua capacità di attuare le funzioni
previste
• Ogni livello rappresenta crescenti livelli di
confidenza
• Il livello di confidenza è influenzato da diversi
fattori, tra cui la completezza e approfondimento
della documentazione
73
Valutazione economica della
sicurezza
74
Aspetti generali
• Le contromisure (meccanismi) di sicurezza determinate dall’applicazione della
metodologia devono essere scelte in base a:
– una valutazione economica e quantitativa dei costi connessi al rischio residuo
– al costo delle contromisure stesse
avendo per obiettivo quello di raggiungere la soluzione che
presenta il costo minore• In realtà è molto difficile adottare un tale approccio perché se da un lato è possibile
determinare con esattezza il costo dei sistemi di protezione, dall’altro è
estremamente difficile calcolare il costo della loro efficacia, cioè del rischio evitato
• Si tratta di un costo previsto, che dipende dalla volontà di qualcuno di causare un
danno (o dalla probabilità di accadimento di un evento naturale) e il fallimento del
sistema di contromisure
75
Valutazione del costo del rischio
• Il calcolo del “costo del rischio” è effettuato tramite l’analisi del valore
economico e del grado di sensibilità dei dati, come determinato
dall’applicazione della metodologia
• In precedenza i data-set sono stati classificati secondo la loro sensibilità,
ora ai responsabili aziendali si chiede di indicare (ponendo un segno sulla
colonna opportuna) se il data-set è importante o essenziale per
l’organizzazione dal punto di vista del costo
SECURITY QUESTIONNAIRE
DATA CLASSIFICATION DEI ACCORDING TO
THEIR VALUE AND SENSITIVITY
Information system............................................................
VALUE SENSITIVITY
Important Essential Sensitivity class Risk class Cove-rage
grade
Relevant data list
1
2
3
4
5
6
7
76
Valore del sistema informativo
Sistema informativo........................................................
Stimare il valore del sistema informativo per l’azienda, l’individuo e il danneggiatore, utilizzando i seguenti parametri:
0 = trascurabile 4 = circa 10.000 Euro 1 = circa 10 Euro 5 = circa 100 .000 Euro 2 = circa 100 Euro 6 = circa 1 milione di Euro 3 = circa 1.000 Euro 7 = circa 10 milioni di Euro
A. Valore per l’azienda Parametro V
Costo di ricostruzione ...........................................
Costo di penalizzazione ...........................................
Opportunità perdute ...........................................
Impossibilità a prendere decisioni ...........................................
Altro ...........................................
B. Valore per l’individuo
Reputazione ...........................................
Libertà civili ...........................................
Credito ...........................................
Altro ...........................................
C. Valore per il danneggiatore
Risorsa da vendere ...........................................
Appropriazione ...........................................
Vendetta ...........................................
Miglioramento del credito, stipendio, posizione ...........................................
Competitività ...........................................
Vantaggio politico ...........................................
Altro ...........................................
77
Probabilità di accadimento di un evento dannoso
Sistema informativo........................................................
Valutare le probabilità di ciascuno degli eventi sotto indicati utilizzando i seguenti parametri:
0 = impossibile 4 = 1 volta ogni 30 giorni 1 = 1 volta ogni 100 anni 5 = 1 volta ogni 3 giorni 2 = 1 volta ogni 10 anni 6 = 3 volte al giorno 3 = 1 volta all’anno 7 = 30 volte al giorno
A. Disastri Parametro R
Naturali ...........................................
Danni all’hardware e al software ...........................................
Incuria umana ...........................................
B. Violazione della riservatezza
Curiosità ...........................................
Ottenimento di informazioni per ragioni politiche o legali...........................................
Rivelazione involontaria di informazioni riservate ...........................................
C. Dolo
Saccheggio e sabotaggio ...........................................
Utente malintenzionato ...........................................
Appropriazione indebita ...........................................
Spionaggio industriale ...........................................
78
Esposizione annua
• Dalla somministrazione dei questionari precedenti si può determinare quello
riassuntivo, dove in ogni riga si può indicare la media dei risultati ottenuti o il
caso peggiore tra essi (per effettuare, ad esempio, delle simulazioni):
SECURITY QUESTIONNAIRE
INFORMATION SYSTEMS VALUES AND PROBABILITY OF HAPPENING OF A DAMAGING
EVENT
VALUE (V) RISK (R)
Information system Company Person Saboteur Integrity Confidential-
ity
Availability
1 (A) (B) (C) (1) (2) (3)
2
3
4
5
6
7
79
Esposizione annua (cont.)
• Dal significato attribuito ai parametri V e R si ha:
• L’esposizione annua (in Euro) è ovviamente il prodotto del valore del sistema informativo (in Euro) e della probabilità annua di accadimento dell’evento dannoso:
• Dove:
– E = “esposizione annua” in Euro;
– V = valore del sistema informativo (colonne A oppure B, o C del prospetto)
– R = probabilità di accadimento dell’evento dannoso (dal prospetto precedente,
colonne 1 oppure 2, o 3).
Valore del sistema informativo = 10(V) [Euro]
Probabilità annua = 10(R - 3)
E = 10(V+R)
80
Esposizione annua (cont.)
• Con tale procedimento si perviene ad un prospetto riassuntivo, in cui l ’ esposizione annua è suddivisa, per comodità di analisi, nelle categorie: disastro (colonne 1 e A del prospetto precedente), violazione di riservatezza (colonne 2 e B) e dolo (colonne 3 e C)
ESPOSIZIONE ANNUA
AMMONTARE DELL’ESPOSIZIONE ANNUA RELATIVA AL LIVELLO DI SICUREZZA DI OGNI
SISTEMA INFORMATIVO
ESPOSIZIONE ANNUA (LIRE)
Disastro Violazione
riservatezza
Dolo Totale
Sistema informativo
1
2
3
4
5
6
7
81
Esempio di calcolo
• A titolo di esempio si consideri la seguente analisi:
– La perdita di un file comporta un costo di € 1.000 per ricostruirlo (V = 3) e accade una volta ogni 30 giorni (R = 4):
E = 10(4 + 3 - 3) = 10.000 Euro/anno
– Un incendio comporta una perdita di 1 milione di Euro (V = 6) e la sua probabilità di accadimento è una volta ogni 100 anni (R = 1):
E = 10(1 + 6 - 3) = 10.000 Euro/anno
– La ripartenza di un elaboratore fallita per un errore di un operatore comporta un costo di Euro 19 (V = 1); se ciò accade 30 volte al giorno (R = 7), la corrispondente esposizione è:
E = 10(7 + 1 - 3) = 100.000.000 Euro/anno
82
Scelta del grado di sicurezza
• Il problema della scelta del grado di sicurezza consiste nell’individuare,
tra le possibili combinazioni di sistemi di salvaguardia, l’alternativa
ritenuta “migliore” in base al criterio dei costi e benefici. A tale scopo,
può essere utilizzato il metodo che comporta la determinazione del
“costo totale atteso” per ogni alternativa
• Dove:
– Xi(K) la quota di ammortamento annua relativa al costo dell’installazione del
generico sistema di sicurezza K
– Xg(K) il costo annuale di gestione dello stesso
– Y(K) l’esposizione annuale dovuta al costo del rischio connesso con
l’adozione di tale sistema di sicurezza
– T(K) il suo costo totale annuo
T(K) = Xi(K) + Xg(K) + Y(K)
83
Scelta del grado di sicurezza (cont.)
• A causa degli alti costi di realizzazione, la determinazione del “miglior”
sistema di sicurezza sarà generalmente basata sul confronto dei costi
totali dei sistemi alternativi relativi ad un periodo di circa 5 anni. La
relazione precedente può quindi essere espressa come:
• dove Ftn è il fattore attuale relativo all’anno n-esimo, cioè il valore
attuale di una lira dell’anno n-esimo, al tasso di interesse t. La relazione
separa i costi di installazione da quelli ricorrenti; il fattore Ftn riporta i
costi futuri al valore attuale consentendone il confronto
T(K) = Xi(K) + Fnt
n 1
5
====
∑∑∑∑ (Xgn(K) + Yn(K))
84
Scelta del grado di sicurezza (cont.)
• Si possono quindi prendere in esame un certo numero di sistemi di
sicurezza determinandone le componenti di costo. Se si contraddistinguere
con un indice K più elevato i sistemi più sofisticati, è evidente che al
crescere di K aumenteranno i costi di installazione e gestione X(K), con:
• mentre si ridurrà il costo del rischio Y(K) con:
X(K) = Xi(K) + Fnt
n 1
5
====
∑∑∑∑ Xgn(K)
Y(K) = Fnt
n 1
5
====
∑∑∑∑ Yn(K)
85
Scelta del grado di sicurezza (cont.)
• I risultati potranno quindi essere riportati in un grafico:
a
b
2 3 4 510 K
costi
X(K)
Y(K)
X(K) + Y(K)
86
Scelta del grado di sicurezza (cont.)
• Dall’esame del caso ipotizzato nella figura, il sistema di sicurezza che comporta
il minimo costo totale atteso risulterebbe quello numero 4. Tuttavia, in
considerazione dell’aleatorietà della determinazione del costo del rischio, è
consigliabile interpretare il risultato di un’analisi del tipo proposto. In particolare,
se l’adozione di un sistema di sicurezza più sofisticato (n. 4 anziché n. 3)
comporta una riduzione del costo totale (a) modesta rispetto all’incremento di
costo del sistema di sicurezza (b), potrebbe risultare opportuno dare la
preferenza al sistema di sicurezza di grado inferiore
• Il procedimento di ottimizzazione può apparire eccessivamente teorico. In effetti
non sempre l’analisi dei costi e dei benefici può essere applicata in modo
quantitativamente rigoroso al problema di scelta del miglior livello di sicurezza
nell’IT. Vi sono tuttavia numerosi problemi, anche di portata più limitata, che
possono essere affrontati con tale metodologia, ottenendo ottimi risultati concreti
87
88
Domande?
TCSEC
Trusted Computer System Evaluation
Criteria
“ORANGE BOOK”
89
TCSEC – Orange Book
• CARATTERISTICHE
– SISTEMI MULTIUTENTE
– ORIENTATO ALLA RISERVATEZZA
– PREVEDE UN UNICO LIVELLO CHE
DEFINISCE SIA I REQUISITI DI SICUREZZA
CHE DI CONFIDENZA
– NON PREVEDE PRODOTTI
90
TCSEC – Orange Book
•• 44 DIVISIONI DIVISIONI 7 CLASSI7 CLASSI
• D Protezione minima D
• C Protezione discrezionale C1, C2
• B Protezione mandatoria B1, B2, B3
• A Protezione verificata A1
91
92
Requirements
Applicationimpact
Classificazione TCSEC “Orange Book”
D
C2
B1
B2
E3
A1
DOESN’T MEET
ANY
OTHER LEVEL;
DI
SC
R
ET
IO
N
AR
Y
CO
NT
R
OL
LE
D
LA
BE
L
LE
D
ST
RU
C
TU
RE
D
SE
CU
R
. D
OM
A
IN
S
VE
RI
F
IE
D
D
ES
IG
N
HIGH
LOW
C1
TCSEC - Orange Book
• Aspetti considerati
– Politica di sicurezza
– Accountability
– Confidenza (assurance)
– Qualità documentazione
93
Criteri TCSEC
• Orientati alla riservatezza (approccio militare)
• 7 classi: D, C1, C2, B1, B2, B3, A1D, C1, C2, B1, B2, B3, A1
• Appartenenza ad una classe sulla base di:
– politica di sicurezza
– audit (accountability)
– fiducia (assurance)
– documentazione
94
Criteri TCSEC (cont.)
• Classe (D) Protezione minima
• Classe (C) Protezione discrezionale
– C1 - restrizione d’accesso
– C2 - controllo accessi
• Classe (B) Protezione mandatoria
– B1 - protezione con etichette
– B2 - protezione strutturata
– B3 - domini di sicurezza
• Classe (A) Protezione certificata
– A1 - Progetto certificato
95
Determinazione delle Evaluation Class
96
Determine Mode
of Operation
Determine Minimum
User Clearance
Determine Maximum
Data Sensitivity
Rating
Determine Risk
Index
Determine Minimum
Security Evaluation
Class
Modes of Operation
97
Clearance
Access
Approval
Need-to-know
= All users = Some users
Dedicated System
High
Multilevel Compart-
mented
Partitioned
Minimum User Clearance
98
RATING
(Rmin)MINIMUM USER CLEARANCE
Uncleared (U)
Not Cleared but Authorized Access to Sensitive Unclassified (N)
Confidential (C)
Secret (S)
Top Secret (TS)/Current Background Investigation (BI)
Top Secret (TS)/Current Special Background Investigation (SBI)
One Category (1C)
Multiple Categories (MC)
0
1
2
3
4
5
6
7
Maximum Data Sensitivity
99
Maximum Data
Sensitivity Ratings
Without Categories
Unclassified
Not Classified but
Sensitive
Confidential
Secret
Top Secret
RATING
(Rmax)
0
1
2
3
5
2
3
4
6
7
5
Not Applicable
N With One or More Categories
C With One or More Categories
S With One or More Categories With No
More Than One Category Containing
Secret Data
S With Two or More Categories
Containing Secret Data
Maximum Data Sensitivity
With Categories
TS With One or More Categories With No
More Than One Category Containing
Secret or Top Secret Data
TS With Two or More Categories
Containing Secret or TS Data
RATING
(Rmax )
Calcolo del Risk Index
• If Rmin < Rmax
– Risk Index = Rmax - Rmin
• If Rmin > Rmax
– Risk Index = 1, if there are categories on the
system to which some users are not authorized
access
– 0, otherwise
100
Rmax = system’s maximum data sensitivity
Rmin = system’s minimum user clearance
Minimum Security Evaluation Class
101
RISK
INDEXMode of Operation
0
0
1
2
3
4
5
6
7
Dedicated
System High
Compartmented, Multilevel
Compartmented, Multilevel
Multilevel
Multilevel
Multilevel
Multilevel
Multilevel
No Prescribed Min
C2
B1
B2
B3
A1
*
*
*
No Prescribed Min
C2
B1
B2
B2
B3
A1
*
*
Minimum Criteria
Class for Open
Environments
Minimum Criteria
Class for Closed
Environments
Criteri CTCPEC (cont.)
• Il livello di valutazione conseguito da un prodotto esprime la fiducia complessiva che può essere riposta nel prodotto stesso
• E’ riferito complessivamente all’insieme di tutte le funzionalità di sicurezza offerte e descritte per mezzo dei criteri funzionali
• Il risultato della valutazione è una lista i cui elementi sono coppe serviceservice--levellevel (es.: CD-2, CR-1, ID-1, IS-1, IT-1, WA-1, WI-1, T-2 è la valutazione equivalente di un sistema TCSEC C2)
• Approccio molto sistematico
• Rigido perché considera un ben preciso insieme di funzionalità
102
Criteri CC (Common Criteria)
• Fanno propri alcuni concetti alla base dei criteri preesistenti
• Gli aspetti di assurance vengono separati da quelli funzionali come in ITSEC
• I Common Criteria contengono essenzialmente iprincipi tecnici fondamentali — di validità generale, chiari e flessibili – per descrivere e valutare:
•• RequisitiRequisiti funzionalifunzionali
•• RequisitiRequisiti di di affidabilitaffidabilitàà
103
Criteri CC
• Requisiti funzionali
– Tali requisiti sono descritti in modo organico e strutturato per due tipologie di situazioni:
• Protection Profile (PP) — Si riferiscono a famiglie o categorie di prodotti e ambienti generici senza riferimenti a specifici prodotti o sistemi.
• Security Target (ST) — Si riferisce ad uno specifico prodotto o sistema di cui si conoscono le specifiche di sicurezza.
– Tutti i requisiti di sicurezza (specifiche, descrizione, collegamenti, interdipendenze, ecc.) che si possono comporre nei PP e ST sono contenuti in un catalogo dei requisiti funzionali della sicurezza
104
Criteri CC
– Struttura Protection
Profile/Security Target
• Introduction
• TOE description
• Security environment
– Assumptions
– Threats
– Organizational security
– Policies
– Security objectives
• Security requirements
– Functional req’ts
– Assurance req’ts
• TOE summary
specification
• Rationale
105
Criteri CC
106
Classi funzionali per Classi funzionali per
i requisiti di i requisiti di
sicurezzasicurezza
Criteri CC (cont.)
107
Classe Nome
ACM Configuration Management
ADO Delivery & Operation
ADV Development
AGD Guidance Documents
ALC Life Circle Support
ATE Tests
AVA Vulnerability Assessment
APE Protection Profile Evaluation
ASE Security Target Evaluation
AMA Maintenance of Assurance
LL’’assuranceassurance viene trattata viene trattata
definendo 10 definendo 10 classi dei requisiti classi dei requisiti
che concorrono a determinare che concorrono a determinare
ll’’affidabilitaffidabilitàà della sicurezzadella sicurezza
Criteri CC (cont.)
• I livelli di valutazione dei CC sono 7 e vengono
definiti con la sigla EAL (Evaluation Assurance
Levels) (AL-0, ..., AL-7)
108
EAL1 functionally testedEAL2 structurally testedEAL3 methodically testedEAL4 methodically tested and checkedEAL5 semiformally designed and testedEAL6 semiformally verified designed and testedEAL7 formally verified designed and tested
Livello