Biztonság és Common Criteria (CC)
A VIK Wikiből
(IRFZhBiztonsag szócikkből átirányítva)
Ez az oldal a korábbi SCH wikiről lett áthozva.
Ha úgy érzed, hogy bármilyen formázási vagy tartalmi probléma van vele, akkor, kérlek, javíts rajta egy rövid szerkesztéssel!
Ha nem tudod, hogyan indulj el, olvasd el a migrálási útmutatót.
A kockázat modellezésének 3 síkja
- az IT vagyon értéke
- veszély
- védtelenség
A védtelenség fokozatai
- Természetes védtelenség
- Potenciális védtelenség (létezése sejthető, de nem kezelt)
- Kihasználható védtelenség (adott környezetben kihasználható)
- Nem kihasználható védtelenség (adott környezetben sem kihasználható)
- Maradék védtelenség (adott környezetben nem, de más környezetben kihasználható)
Védtelenség elemzés
ábra!
Természetes védtelenség
- Lehetővé teszi a visszaélést minimális
- felismeréssel
- képességgel
- képzettséggel
- eszközzel
- Maga a biztonságpolitika utalhat rá
- A közös területek használatából adódhat
- Az azonosítási rendből következhet
Lehetséges támadások:
- Lehallgatás
- Hálózati támadás
- Belső támadások
- HW/SW forgalmazásban
- Fizikai behatolás
- Technológiai támadások
Lehallgatás
- Nyilvános médiák monitorozása (rádió, műhold, mikrohullám, publikus hálózat)
- A támadás típusai
- Forgalom ellenőrzés
- plain text típusú kommunikációk megfigyelése
- Gyengén kódolt kommunikációk visszafejtése
- ID-k, login-ok, és password-ök elfogása
Ellenintézkedések
- Védett hálózat, védett jelszó, public key
- Érzékeny adatok erős kódolása
Alapfenyegetettségek (CRAMM)
- rendelkezésre állás elvesztése
- sértetlenség elvesztése
- bizalmasság elvesztése
- hitelesség elvesztése
Elfogadható kockázat mátrix
- kárérték - gyakorisági érték összevetése
A p paraméterű kockázati mátrix azt jelenti, hogy azon esetekben, ahol a kár gyakoriságának és nagyságának összege <p, azokat elfogadjuk, a nagyobb összegű mezőkre meg azt mondjuk, hogy nem elfogadható. Mindig úgy fogják kérni, hogy mondjuk 2-es mátrixot légyszi.
- nem szorzata? -- palacsint - 2006.06.06.
thx to Baba
Pl egy 5-ös mátrix
kárérték | 4+ | n | n | n | n | n | n |
^ | *4* | e | e | n | n | n | n |
^ | *3* | e | e | e | n | n | n |
^ | *2* | e | e | e | e | n | n |
^ | *1* | e | e | e | e | e | n |
^ | *0* | e | e | e | e | e | e |
^ | 0- | e | e | e | e | e | e |
0- | *0* | *1* | *2* | *3* | *4* | ||
^ | ^ | gyakorisági érték |
Mi a CC?
- Nemzetközileg elfogadott keretrendszer az IT biztonság területén
- Közös struktúra és nyelv a termékek/rendszerek IT biztonsági követelményeinek kifejezésére
- Szabványos IT biztonsági követelmény összetevők és csomagok gyűjteménye
- Nemzetközileg elfogadott értékelési módszertan, besorolási rendszer