Valutazione della sicurezza: cosa c'è oltre ai criteri comuni?

Question

Valutazione della sicurezza: cosa c'è oltre ai criteri comuni?

#1 da (5 voti)

6

ACME crea un prodotto che viene utilizzato in alcune applicazioni sensibili alla sicurezza. Non ci sono particolari norme di sicurezza o standard di settore nel dominio di questo prodotto. Il ramo aziendale di ACME vorrebbe affermare che "siamo il 150% più sicuri dei nostri concorrenti". I clienti di ACME sarebbero più inclini a credere che se la richiesta fosse sostenuta da una sorta di valutazione indipendente. Il braccio etico di ACME apprezzerebbe se tale valutazione indipendente avesse effettivamente confermato qualcosa sulla sicurezza del prodotto ACME.

Sembra che la risposta sia avere il prodotto ACME sottoposto a qualche forma di certificazione, il candidato più ovvio è una certificazione Common Criteria. Questo sembra un processo scoraggiante; non c'è nemmeno un profilo di protezione esistente su cui aggrapparsi, e la certificazione CC introduce un ampio ritardo tra il momento in cui una versione del prodotto viene finalizzata e il tempo in cui può essere rilasciata. Anche CC sembra convalidare la metodologia più della sicurezza. Sono state fondate queste opinioni un po 'disinformate su CC? Ci sono alternative a CC?

Il governo francese ha recentemente introdotto una " certificazione di sicurezza di primo livello " (CSPN ), che si basa su un approccio più leggero rispetto a CC: grosso modo, un valutatore approvato dal governo spende un numero predefinito di giorni-uomo facendo attacchi grigi rispetto a un PP. Sembrerebbe una soluzione ideale, tranne per il fatto che CSPN è completamente sconosciuto al di fuori della Francia. Esiste una certificazione più riconosciuta a livello internazionale analoga a CSPN?

compliance

posta Gilles 07.12.2011 - 03:07

fonte

1 risposta

Leggi altre domande sui tag compliance

Come utilizzare OAuth con Active Directory Ingress RFC1918 spoofing: come gestirlo?

score 5 · Answer 1

Sono un valutatore CC con CGI Canada. Spero di poter rispondere ad alcune delle tue domande.

Non sono del tutto certo che CC sia la scelta più ovvia. I criteri comuni - almeno per lo schema canadese - non possono essere semplicemente acquistati (questo potrebbe essere diverso in altre giurisdizioni, ma penso che la Francia sia simile). Il prodotto deve supportare la posizione di sicurezza del governo del Cdn. Ciò significa che se prodotti simili non sono in uso nel governo Cdn, nell'infrastruttura critica e nei servizi associati e non sono considerati come una delle poche tecnologie emergenti che verranno implementate, è improbabile che si possa anche avviare un programma CC.

Detto ciò, supponiamo che tu abbia un prodotto che potrebbe andare nel programma CC. Non c'è alcuna clausola che stabilisce che il prodotto deve essere finalizzato prima che il programma CC possa iniziare. C'è solo la clausola che il prodotto non cambia nelle specifiche mentre la valutazione è in corso. È del tutto normale che uno sviluppatore sviluppi attivamente un prodotto mentre è sottoposto a una valutazione. Questa metodologia di valutazione just-in-time è molto efficiente e popolare.

Per quanto riguarda la CC che si concentra maggiormente sulla metodologia più che sulla "sicurezza" reale, tenere presente che infosec è più di un semplice test di penetrazione. È un esame completo di tutti gli inquilini che fanno parte del portare un prodotto attraverso il ciclo di vita. Ciò include la sicurezza fisica e logica dell'ambiente di sviluppo, la sicurezza della supply chain, le pratiche di assunzione delle risorse umane, la metodologia di sviluppo e ovviamente le valutazioni di sicurezza del prodotto stesso inclusa una profonda comprensione del design, dell'architettura, delle specifiche funzionali e - in alcuni casi - una revisione del codice sorgente.

A questo proposito, CC è simile ad altre valutazioni. Dai un'occhiata a PCI-DSS (gestione della carta di credito): hanno sicurezza fisica, processi di sviluppo, assunzione delle risorse umane, ecc. Anche lì.

Capisco che vuoi distinguerti, e ci sono alcune altre valutazioni che potrebbero essere più interessanti per te come le certificazioni di settore (quasi tutte le industrie ne hanno una), un test di penetrazione riconosciuto (se è qui che pensi sei debole) e persino recensioni indipendenti del codice sorgente.