Terminologia di valutazione della sicurezza

1

Sto imparando sui profili di protezione, gli obiettivi di sicurezza e l'obiettivo delle valutazioni, e queste mi sembrano idee molto astratte. Qualcuno potrebbe spiegare con esempi come funzionano in pratica? Ad esempio, cosa significa essere indipendenti dall'implementazione?

Di solito queste cose vengono fatte prima o dopo la creazione di un sistema o di un software? Quali sono i criteri comuni?

Non ho la parte su come qualcosa può essere indipendente dall'implementazione, ma si tratta ancora di un prodotto specifico? Inoltre, questo è più focalizzato su un prodotto IT esistente o sullo sviluppo di un software?

    
posta Celeritas 11.12.2015 - 02:29
fonte

1 risposta

3

Common Criteria è uno standard internazionale per la valutazione della sicurezza di un artefatto software. A seconda del livello esatto ( EAL ) di CC in uso, questo può includere informazioni sui processi utilizzati durante lo sviluppo del software come oltre a testare alcuni degli aspetti di sicurezza del software.

Poiché i sistemi software sono così complessi, non è sempre possibile convalidarli per intero. In quanto tale, solo una parte di un sistema può essere oggetto di valutazione. Questa parte è chiamata Target of Evaluation o TOE.

CC fornisce solo linee guida generali su ciò che è importante monitorare durante lo sviluppo e i test. Ogni tipo di prodotto software può avere requisiti specifici. Profili di protezione (PP) sono un insieme di requisiti concordati per un tipo specifico di software e EAL. Ad esempio, potrebbe esserci un PP per un server Web per EAL 1, 2, 3, ecc. Per ciascun EAL, esso specificherà le caratteristiche richieste, la documentazione e i test che il TOE deve soddisfare per raggiungere tale EAL.

Un target di sicurezza (ST) specifica la funzionalità prevista dell'applicazione. Ad esempio, se si dispone di un'app Web, è probabile che soddisfi alcuni o tutti i requisiti per un server Web PP, un database PP e alcuni requisiti specifici del prodotto.

    
risposta data 12.12.2015 - 03:18
fonte

Leggi altre domande sui tag