Schutzprofile nach CC. Beispiel einer Operator Station zur Erfassung und Steuerung von Prozeßdaten

Transkript

1 Schutzprofile nach CC Beispiel einer Operator Station zur Erfassung und Steuerung von Prozeßdaten Marcel Weinand 01888/

2 Orange Book (TCSEC) 1985 Kriterienwerk CC - ISO Common Criteria for Information Technology Security Evaluation (Gemeinsame Kriterien für f r die Prüfung und Bewertung der Sicherheit von Informationstechnik) Canadian Criteria (CTCPEC) 1993 UK Confidence Levels 1989 ITSEC 1991 Federal Criteria Draft 1993 Common Criteria v v ISO V2.1 German Criteria French Criteria 2

3 Internationale Anerkennung: Zertifikate nach Common Criteria Zertifikate von Internationalen Zertifizierungsstellen Grundlage: Internationale Abkommen Europäisches Abkommen (1998) / Common Criteria + ITSEC / alle Evaluierungsstufen / 12 europ. Nationen Internationales Abkommen (2000) / Common Criteria / bis zu EAL4 / 17 Nationen weltweit 3

4 ZERTIFIZIERENDE UND ANERKENNENDE NATIONEN NUR ANERKENNENDE NATIONEN USA Kanada Australien / Neuseeland Israel Frankreich Deutschland Großbritannien Japan Schweden Spanien 4 Internationale Anerkennung von -Zertifkaten Norwegen Niederlande Griechenland Italien Finnland Österreich Ungarn in der Türkei Informationstechnik

5 Strategische Bedeutung der CC Konsequenzen der US-Directive #11: IT-Marktführer wie Microsoft, IBM, HP, Oracle etc. lassen ihre komplette Produktplattform nach CC zertifizieren. Deutsche Hersteller müssen ihre Produkte für US-Gov t-markt ebenfalls zertifizieren lassen. Kompletter IT-Angebotsmarkt betroffen, da IT-Security zunehmend integraler Bestandteil von Betriebssystemen u. Systemlösungen wird. Den gegenwärtig hohen Zertifizierungsaufwand können IT- Marktführer tragen, Wettbewerber jedoch nicht ohne Weiteres. In 2-3 Jahren werden die US-IT-Marktführer in EU/D die Zertifizierung ihres kompletten Produktportfolios aktiv vermarkten. 5

6 Sinn und Zweck Nachweis der Sicherheitseigenschaften von IT-Produkten Verbesserung der Qualität und Sicherheit von IT-Infrastrukturen Neutrale, vertrauenswürdige Prüfung und Bewertung Wahrung nationaler Sicherheitsinteressen Unterstützung der deutschen IT-Sicherheitsindustrie Randbedingungen Wozu Zertifizierung? Keine generelle gesetzliche Auflage zum Einsatz zertifizierter Produkte Durchsetzung der Produkt-Zertifizierung nur mit Mitteln des Marktes möglich Ausnahme: Verschlusssachenbereich / Geheimschutz Hauptziel: Beseitigung von Schwachstellen 6

7 Aufwände zur Sicherheit durch IT-Hersteller Wer treibt Aufwände zur IT-Sicherheit? Beide Extreme sind zertifizierbar. Voraussetzung: Definition der Anwendung/Verarbeitung, der Daten und deren Werte, der Bedrohungen, der zutreffenden Gesetze, Aufwände zur Sicherheit durch IT-Anwender 7 Definition aller zu erreichender Sicherheitsziele

8 Anwendererwartung an die IT-Sicherheit! Ziel: Entlastung des IT- Anwenders von Auflagen je besser die IT-Sicherheit, desto weniger sind zusätzliche Maßnahmen in der IT-Umgebung notwendig Realisierung der IT- Sicherheit muss sich zunehmend auf die IT verlagern 8

9 Was ist eine Zertifizierung? Definition nach DIN EN Maßnahme??? durch unparteiischen Dritten, die aufzeigt, daß angemessenes Vertrauen besteht, daß ein ordnungsgemäß bezeichnetes Erzeugnis, Verfahren oder eine ordnungsgemäß bezeichnete Dienstleistung in Übereinstimmung mit einer bestimmten Norm oder einem anderen normativen Dokument ist. durch das BSI unter Einbeziehung akkreditierter und lizenzierter Prüfstellen das aufzeigt, daß angemessenes Vertrauen besteht, daß ein ordnungsgemäß bezeichnetes IT-Produkt??? 9

10 Konstrukte der CC (Lastenheft / Pflichtenheft) Das Schutzprofil (Protection Profile PP) Die Sicherheitsvorgaben (Security Target ST)

11 Konstrukte der CC Das Schutzprofil (Protection( Profile PP) CC-Zitate zum Schutzprofil Die CC wurden verfasst um sicherzustellen, dass die Prüfung und Bewertung den Bedürfnissen der Anwender entspricht, denn dies ist der Hauptzweck und die Rechtfertigung des Evaluierungsverfahrens. Anwender können die Evaluierungsergebnisse auch dazu nutzen, unterschiedliche Produkte und Systeme miteinander zu vergleichen. Die CC bieten Anwendern, vor allem Anwendergruppen und Interessensgemeinschaften, eine von der Implementierung unabhängige Struktur, genannt Schutzprofil (PP- Protection Profile), mit der diese ihre speziellen Anforderungen an IT- Sicherheitsmaßnahmen eines TOE (EVG) ausdrücken können. (Zitat, CC, Kapitel 3)

12 CC orientieren sich an klassischen QM-Verfahren Soll-Vorgabe Produkt/Verfahren Anforderungen Schutzprofil Ist-Situation Produkt/Verfahren Umsetzung aller Anforderungen Sicherheitsvorgaben Evaluierung 12

13 Merkmale Protection Profiles (PP) PP basiert auf einem Sicherheitskonzept Enthält Beschreibung der angenommen Einsatzumgebung sowie die vorgesehene Nutzung PP deckt alle genannten Sicherheitsziele vollständig ab durch kompletten Satz von Anforderungen an die IT-Sicherheits-Funktionalität Anforderungen an die Vertrauenswürdigkeit Verwendbar für unterschiedliche Realisierungen Abstraktionsgrad ist unabhängig von der Implementierung hohe Flexibilität durch Platzhalter und Operationen 13

14 Bedeutung eines PP Zertifizierte Schutzprofile werden national oder von der ISO registriert Zertifizierte Schutzprofile werden international anerkannt Schutzprofile haben den Charakter einer Norm oder eines normativen Dokuments Vorteile: Produkte, die auf einem PP basieren, haben ein gemeinsames Sicherheitskonzept IT-Anwender: Formulierung ihres realen Sicherheitsbedarfs Hersteller: Erkennen des Marktbedarfs Hersteller können die Anforderungen der Schutzprofile nachweislich durch ein Zertifikat erfüllen 14

15 Vordefiniertes Sicherheitskonzept als Bestandteil des PP/ST Beschreibung des zu evaluierenden Gegenstandes EVG aus Anwendersicht Annahmen zur Einsatzumgebung Bedrohungen Organisatorische Sicherheitspolitik Sicherheitsziele 15 Sicherheitsanforderungen

16 Das Security Target ST (Sicherheitsvorgaben) Beschreibt ein konkretes Produkt ist verpflichtend für eine Zertifizierung ist implementierungsabhängig wird vom Hersteller erstellt Für r einen konkreten EVG hoher Grad an Gemeinsamkeiten zwischen PP und ST Das ST kann ein PP nachweislich erfüllen 16

17 PP/ST-Einf Einführung EVG-Beschreibung Sicherheitsziele (Objectives) PP/ST-Identifikation PP/ST-Übersicht Postulat der Übereinstimmung mit den CC Annahmen / Bedrohungen Organisatorische Sicherheitspolitik (OSP) Sicherheitsziele für den EVG Sicherheitsziele für die Umgebung EVG-Sicherheits Sicherheits- umgebung IT-Sicherheits Sicherheits- anforderungen EVG- Sicherheitsanforderungen Funktionale SFR & Vertrauenswürdigkeit SAR Sicherheitsanforderungen an IT-Umgebung 17 EVG-Übersichts bersichtsspezifikation TSS PP-Postulate Postulate Erklärungen rungen EVG-Sicherheitsfunktionen (TSF) Maßnahmen zur Vertrauenswürdigkeit (Rationale) PP-Verweis/PP-Anpassung/PP-Ergänzung Erklärung der Sicherheitsziele Erklärung der Sicherheitsanforderungen Erklärung der EVG-Übersichtsspezifikation Erklärung der PP-Postulate

18 Was ist Vertrauen in die IT-Sicherheitsleistung? CC Definition: Begründete Überzeugung, daß der EVG seine Sicherheitsleistung erbringt. EVG: Evaluationsgegenstand TOE: Target of Evaluation 18

19 Vertrauen in die Wirksamkeit der IT-Sicherheitsfunktionen Eigentümer erwirken die reduziert werden können durch wissen u. U. von haben Interesse an streben an die Minimierung von zur Reduzierung von Gegenmaßnahmen die behaftet sein Schwachstellen führen zu können mit Urheber von Bedrohungen Risiken erzeugen Bedrohungen erhöhen die von für Werte(n) 19 streben den Mißbrauch an von und/oder können Schaden verursachen an

20 Vertrauen in die Wirksamkeit der IT-Sicherheitsfunktionen Eigentümer erwirken die reduziert werden können durch wissen u. U. von Urheber von Bedrohungen haben Interesse an Gegenmaßnahmen erzeugen streben an die Minimierung von Bedrohungen zur Reduzierung von Schwachstellen die behaftet sein können mit führen zu erhöhen die von Risiken für Werte(n) streben den Mißbrauch an von und/oder können Schaden verursachen an 20

21 Prinzipien der Kriterien Das Vertrauen in ein Produkt steigt mit zunehmendem Prüfaufwand zunehmender Kenntnis des Produktes der Exaktheit der Prüfmethode Die Sicherheitskriterien bieten: verschiedene Prüftiefen mit abgestuftem Prüfaufwand Dokumentationsanforderung steigt mit der Prüftiefe steigende Anforderungen an die Prüfmethoden 21

22 22 Assurance Components by Evaluation Assurance Level Class Family EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 Die EAL-Stufen Assurance Assurance Configuration ACM_AUT management ACM_CAP ACM_SCP Delivery and ADO_DEL operation ADO_IGS ADV_FSP ADV_HLD ADV_IMP Development ADV_INT ADV_LLD ADV_RCR ADV_SPM Guidance AGD_ADM documents AGD_USR ALC_DVS Life cycle ALC_FLR support ALC_LCD ALC_TAT ATE_COV Tests ATE_DPT ATE_FUN ATE_IND AVA_CCA Vulnerability AVA_MSU assessment AVA_SOF AVA_VLA AMA_AMP Assurance AMA_CAT maintenance AMA_EVD AMA_SIA ADO_IGS.2 ADV_LLD.2 AVA_CCA.3

23 23 Maßnahme Definition Zertifizierung durch unparteiischen Dritten, die aufzeigt, daß angemessenes Vertrauen besteht, daß ein ordnungsgemäß bezeichnetes Erzeugnis, Verfahren oder eine ordnungsgemäß bezeichnete Dienstleistung in Übereinstimmung mit einer bestimmten Norm oder einem anderen normativen Dokument ist. nach DIN Durchführung des in den CC beschriebenen Prüfverfahrens durch das BSI unter Einbeziehung akkreditierter und lizenzierter Prüfstellen das aufzeigt, daß angemessenes Vertrauen besteht, dass das ordnungsgemäß bezeichnete IT-Produkt mit der im Protection Profile (oder Security Target) spezifizierten IT-Sicherheit vollständig übereinstimmt

24 Standard zur Erstellung von Standards für r IT-Sicherheit CC sind ein Standard zur Erstellung von IT- Sicherheitsstandards (normativen Dokumenten) in hoher Qualität in Form von Schutzprofilen (PP) und Sicherheitsvorgaben (ST) Sie definieren die Anforderungen an die funktionale IT-Sicherheit (Produktklassen oder reale Produkte) Prüfung zum Nachweis der Vertrauenswürdigkeit in die IT- Sicherheitsfunktionalität 24

25 PP-Erstellung für f r eine OS (Beispiel) Vorgehen: Eingrenzung des Problems Erfassen der Anwendung mit ihren Werten (Daten Prozesse, besonders zu schützende Anlagenteile...) Erfassen der Einsatzumgebung (räumlich, personell, physikalisch...) Eingrenzung auf ein Produkt oder eine Produktkomposition 25

26 Beispiel 1. Eingrenzung des Problems Operator- Station OS Server PC PC TCP/IP Bedienstationen Kontroll- Netz PNK 26

27 Vorgehen 2. Wovon reden wir? Abgrenzung des Produktes (EVG) Aufgabenbeschreibung Die Überwachung und Steuerung von Prozessen geschieht in der pharmazeutisch-chemischen Industrie mit Prozessleitsystemen. Diese Prozessleitsysteme sind aufgebaut aus prozessnahen Komponenten (PNK) und Operator Stations OS zur Anzeige von Messgrössen und für Bedieneingriffe. 27

28 Vorgehen: 2 Relevante der Komponenten Operator- Station OS Server PC PC TCP/IP Bedienstationen Kontroll- Netz PNK 28

29 Beispiel 3. Wovon reden wir? Abgrenzung des Produktes (EVG) Aufgabenbeschreibung Dieses PP definiert die Sicherheitsanforderungen an eine Operator Station. Diese wird entweder in einer Client-Server- Architektur oder in einem Einzelplatzsystem aufgebaut. Es wird davon ausgegangen, dass die Anzeigen zur Echtzeitüberwachung der zu steuernden Anlagen nicht zu schützen sind, sondern dass jeder, der Zugang zu den Sichtgeräten hat, diese Informationen sehen darf. Lediglich steuerungstechnische Eingriffe sind auf das zuständige Personal einzuschränken. 29

30 Beispiel 4. Umgebung der OS typische Einsatzumgebung (Realität) Rahmenbedingungen in der Einsatzumgebung Während die OS, also der eigentliche Server, in einem besonders geschützten Raum steht (üblicherweise als Schaltraum bezeichnet) sind die Anzeigegeräte mit den zugehörigen Eingabemöglichkeiten (üblicherweise Tastatur und Maus) in Räumen positioniert, zu denen viele Personen Zugang haben können (Messwarte). 30

31 Beispiel 5. Welche Werte sind zu schützen? Die Anzeige des Anlagenzustandes wird im Sinne der Vertraulichkeit der angezeigten Informationen als unkritisch gesehen. Die Anzeige des Anlagenzustandes wird im Sinne der Integrität der angezeigten Informationen als kritisch gesehen. Die Aktionen zur Steuerung der Anlage, die von hier aus möglich sind, dürfen nur von entsprechenden Rollen durchgeführt werden und sind als kritisch einzustufen. 31

32 Beispiel 6. Der Wert der Werte Die OS ist über das Intranet an Betriebsführungssysteme zur Rückmeldung von Verbräuchen, Produktionsaufträgen, Ausbeute, Mengen, Qualitätsdaten, usw. angeschlossen. Qualitätsdaten können auch vom Internet in das Kontrollnetz, also in die andere Richtung als Steuerungsvorgaben fließen. 32

33 Beispiel 7. Rollendefinition Auflistung der dem EVG bekannten Rollen mit ihren Rechten Meister: kann Bedienungen auf Einzelgeräte steuern und durchführen (Servicebetrieb, Probleme bei der Automatik) Bediener: kann die implementierte Automatik bedienen (Dosierung, etc.)... 33

34 Annahmen an die Einsatzumgebung Der EVG selbst steht abgeschlossen in einem Schaltraum (dieser ist in der Regel nicht zugänglich), Zugang hat der Wartungstechniker und eigenes Personal, von dem keine Bedrohung ausgeht es werden organisatorische Maßnahmen ergriffen zur Durchführung des Backups über das Kontrollnetz werden keine Bedrohungen ausgeübt... 34

35 Unerwünschte nschte Ereignisse: Bedrohungen Auflistung aller Ereignisse, die verhindert werden müssen (Bedrohungsanalyse) Es gibt eine Störung (Betriebssituation) am EVG geben, die einen Zugang unmöglich macht. Über den Remote-Access über das Intranet/Internet erlangt eine unberechtigte Person Zugriff auf die OS

36 Sicherheitsziele Jeder Bedrohung und jeder Annahme muss ein Sicherheitsziel zugeordnet werden: OE.Raum: Da die Hardware des EVG sich selbst nicht schützen kann, muss sie in einem geschützten Raum stehen. O.Denial-of-Service (DoS): durch Beschränkung auf notwendige Kommunikationsmechanismen und Sourcecode-Prüfung der Pufferverwaltung werden die Erfolgsaussichten eines Angriffes reduziert... 36

37 Zusammenfassung des Beispiels Die PP-Struktur zwingt den Verfasser zu einem streng logischen Vorgehen Die PP-Struktur erzwingt die klare Abgrenzung des Problems und erzwingt eine granulare Vorgehensweise bei der Ermittlung der Sicherheitsziele Die Sicherheitsziele werden durch vordefinierte Textbausteine aus dem Katalog der CC in eindeutige Anforderungen an die IT- Sicherheitstechnik formuliert Die PP-Struktur erzwingt eine Eigenanalyse des Verfassers durch Begründung aller Anforderungen 37

38 Prozessorientiertes Vorgehen zur PP-erstellung Wissen über den EVG Zeit der PP-Erstellung 38

39 CC and ISO/IEC related websites commoncriteriaportal.org

40 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat III2.3 Marcel Weinand Godesberger Allee D Bonn Tel: Fax: