Profil de protecție - Protection Profile

Un profil de protecție ( PP ) este un document utilizat ca parte a procesului de certificare conform ISO / IEC 15408 și Criteriile comune (CC). Ca formă generică a unui obiectiv de securitate (ST), este creat de obicei de către un utilizator sau o comunitate de utilizatori și oferă o specificație independentă de implementare a cerințelor de securitate a asigurării informațiilor . Un PP este o combinație de amenințări, obiective de securitate, ipoteze, cerințe funcționale de securitate (SFR), cerințe de asigurare a securității (SAR) și rațiuni.

Un PP specifică criterii generice de evaluare a securității pentru a fundamenta pretențiile furnizorilor unei familii date de produse din sistemul informațional. Printre altele, acesta specifică de obicei nivelul de asigurare a evaluării (EAL), numărul 1 până la 7, care indică profunzimea și rigurozitatea evaluării de securitate, de obicei sub forma documentației și testării justificative, că un produs îndeplinește cerințele de securitate specificate în PP.

Institutul Național de Standarde și Tehnologie (NIST) și Agenția Națională de Securitate (ANS) , au fost de acord să coopereze cu privire la dezvoltarea validate SUA guvernamentale PPs.

Scop

Un PP afirmă riguros o problemă de securitate pentru o anumită colecție de sistem sau produse, cunoscută sub denumirea de țintă de evaluare (TOE) și de a specifica cerințele de securitate pentru a rezolva această problemă fără a dicta modul în care aceste cerințe vor fi implementate. Un PP poate moșteni cerințe de la unul sau mai multe alte PP.

Pentru a obține un produs evaluat și certificat în conformitate cu CC, vânzătorul de produse trebuie să definească o țintă de securitate (ST) care poate respecta unul sau mai multe PP-uri. În acest fel, un PP poate servi drept șablon pentru ST-ul produsului.

Zonele cu probleme

Deși EAL este cel mai ușor de comparat pentru laici, simplitatea sa este înșelătoare, deoarece acest număr este destul de lipsit de sens, fără a înțelege implicațiile de securitate ale PP-urilor și ST-urilor utilizate pentru evaluare. Tehnic, compararea produselor evaluate necesită evaluarea atât a EAL, cât și a cerințelor funcționale. Din păcate, interpretarea implicațiilor de securitate ale PP pentru aplicația dorită necesită o expertiză foarte puternică în domeniul securității IT. Evaluarea unui produs este un lucru, dar a decide dacă evaluarea CC a unui produs este adecvată pentru o anumită aplicație este cu totul alta. Nu este evident ceea ce agenția de încredere deține profunzimea expertizei în domeniul securității IT necesare evaluării aplicabilității sistemelor produselor evaluate de Criteriile comune

Problema aplicării evaluărilor nu este nouă. Această problemă a fost abordată cu zeci de ani în urmă de un proiect de cercetare masiv care a definit caracteristicile software care ar putea proteja informațiile, a evalua puterea acestora și a mapat caracteristicile de securitate necesare riscurilor specifice mediului de operare. Rezultatele au fost documentate în seria Rainbow . În loc să separe cerințele EAL și funcționale, Orange Book a urmat o abordare mai puțin avansată, care definește capacitățile de protecție funcțională și cerințele adecvate de asigurare ca o singură categorie. Șapte astfel de categorii au fost definite în acest fel. Mai mult, Cartea Galbenă a definit o matrice de medii de securitate și a evaluat riscul fiecăruia. A stabilit apoi exact ce mediu de securitate era valabil pentru fiecare dintre categoriile Orange Book. Această abordare a produs o carte de bucate nepăsătoare, pentru a determina dacă un produs poate fi utilizat într-o anumită aplicație. Pierderea acestei tehnologii de aplicație pare să fi fost o consecință nedorită a înlocuirii Cartii portocalii de către Criteriile comune.

Dispozitive de securitate cu PP

Validat guvernul SUA PP

  • Anti-Virus
  • Recuperare cheie
  • Managementul certificatelor
  • Jetoane
  • Baze de date
  • Firewall-uri
  • Sistem de operare
  • IDS / h

PP validat neguvernamental PP

  • Carduri inteligente
  • Sisteme de vot electronic la distanță
  • Mediu de execuție de încredere

linkuri externe

Referințe