...

ISO/IEC 15408 – Common Criteria

Picture of Dariusz Rycek

Dariusz Rycek

Cyberbezpieczeństwo - certyfikacja

Niedawno na Linkedin  opublikowaliśmy nasz wpis o temacie ujętym w tytule niniejszego wpisu, którego komentarze wzbudziły burzliwą dyskusję na temat standaryzacji i nieporządku panującym w strukturach ISO, rynku ekspertów i certyfikacji – w sumie niespójne z przedmiotem anonsu. Ale takie to już są media społecznościowe. Naszą intencją jest popularyzowanie standardów i to co wnoszą dobrego do otoczenia biznesowego, a nawet jeśli i w tym obszarze pojawiają się jakieś nietrafione propozycje, to zawsze pozostaje nam nasz rozum i umiejętność ich przyjęcia oraz wykorzystania, albo odrzucenia. Na tym polega kompetencja i profesjonalizm aby wykorzystywać wiedzę w praktyce.

Nie sposób jednak przejść obojętnie obok norm z serii „common criteria”, czyli rodziny ISO/IEC 15408 od 1 części do 5, gdyż są to dokumenty odniesienia dla wszystkich tych, których dotyka temat certyfikacji wyrobów służących cyberbezpieczeństwu, a która została zapowiedziana w rozporządzeniu unijnym Cybersecurity Act [Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)]. Opóźniona 2 miesiące publikacja norm jest jednym z ważniejszych wydarzeń w komitecie ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection, gdyż poprzedna edycja miała już ponad 10 letnią tradycję, co przy tak dynamicznie zmieniającym się otoczeniu w tym zakresie może budzić wątpliwości aktualności rozwiązań pod certyfikację, ale to akturat załatwiły „Common criteria v. 1.2” z 2017 roku, bo biznes nie lubi pustki. Więcej na temat w zakresie działań związanych z certyfikacją pod kątem cyberbezpieczeństwa można poczytać na stronie: https://www.kso3c.pl .

ISO 27001, ISO 22301, ISO 20000

ISO 15408 - nowe wcielenie

My natomiast pozwolimy sobie przybliżyć temat zakresu standardów z wydanej właśnie rodziny serii norm ISO/IEC 15408, gdyż jest to poważna, duża i wymagająca lektura. Nie sposób też wpisem informacyjnym przybliżyć szeroko temat opisany w sumie na ponad 700 stronach wspominanych norm. Rodzinę ISO/IEC 15408 stanowią wymienione poniżej normy:

  1. ISO/IEC 15408-1:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 1: Introduction and general model [Kryteria oceny bezpieczeństwa IT – Część 1: Wprowadzenie i model ogólny] (poprzednia edycja 2009),
  2. ISO/IEC 15408-2:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 2: Security functional components [Kryteria oceny bezpieczeństwa IT – Część 2: Funkcjonalne składniki bezpieczeństwa] (poprzednia edycja 2008),
  3. ISO/IEC 15408-3:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 3: Security assurance components [Kryteria oceny bezpieczeństwa IT – Część 3: Składniki zapewnienia bezpieczeństwa] (poprzednia edycja 2008),
  4. ISO/IEC 15408-4:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 4: Framework for the specification of evaluation methods and activities [Kryteria oceny bezpieczeństwa IT – Część 4: Ramowa specyfikacja metod i działań oceniających] (pierwsza edycja),
  5. ISO/IEC 15408-5:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 5: Pre-defined packages of security requirements [Kryteria oceny bezpieczeństwa IT – Część 5: Wstępnie zdefiniowane pakiety wymagań bezpieczeństwa] (pierwsza edycja).
ISO 15408 ISO 27001 ISO 22301

Normy związane z ISO 15408

Zagadnienia w tym zakresie są mocno ze sobą powiązane, dlatego też zapowiedź tych norm została poprzedzona wydaniem norm, które mają charakter posiłkowy a przedstawiają koncepcję, powiązania, metodykę.  Mam tu taj na myśli w pierwszej kolejności normy z grupy tematycznej „Security techniques” czy też  “Competence requirements for information security testers and evaluators” oraz „Criteria and methodology for security evaluation of biometric systems”, takie jak:

  1. ISO/IEC TR 22216:2022 – Information security, cybersecurity and privacy protection — New concepts and changes in ISO/IEC 15408:2022 and ISO/IEC 18045:2022,
  2. ISO/IEC 18045:2022 – Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation, a także
  3. ISO/IEC 19896-1:2018 – IT security techniques — Competence requirements for information security testers and evaluators — Part 1: Introduction, concepts and general requirements,
  4. ISO/IEC 19896-2:2018 – IT security techniques — Competence requirements for information security testers and evaluators — Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers,
  5. ISO/IEC 19896-3:2018 – IT security techniques — Competence requirements for information security testers and evaluators — Part 3: Knowledge, skills and effectiveness requirements for ISO/IEC 15408 evaluators,
  6. ISO/IEC 19989-1:2020 – Information security — Criteria and methodology for security evaluation of biometric systems — Part 1: Framework,
  7. ISO/IEC 19989-2:2020 – Information security — Criteria and methodology for security evaluation of biometric systems — Part 2: Biometric recognition performance,
  8. ISO/IEC 19989-3:2020 – Information security — Criteria and methodology for security evaluation of biometric systems — Part 3: Presentation attack detection,… I na pewno inne także.

Nie chodzi tutaj aby listować wszystkie normy powiązane, gdyż stworzylibyśmy iluzję siatki połączeń, która nie pokazywała by istoty zagadnienia certyfikacji i wymagań w tym obszarze. Natomiast chcąc poznać architekturę modelu warto zapoznać się przynajmniej z dwiema pierwszymi normami z powyższej listy, bo pozostałe stanowią już  rozwinięcie kontekstu, którego tematu dotyczą.

ISO 27001 ISO 22301 ISO 20000

ISO/IEC TR 22216:2022. Norma ta ma charakter stricte posiłkowy, gdyż jest próbą wytłumaczenia koncepcji powiązań norm serii 15408 oraz 18045, albowiem obydwie należą do tej samej grupy „Evaluation criteria for IT security”. Niniejszy dokument ma więc na celu zapewnienie informacji i wsparcia dla użytkowników serii ISO/IEC 15408:2022 i ISO/IEC 18045:2022. Grupa odbiorców tego dokumentu obejmuje:

  • strony zapewniające bezpieczeństwo konsumentów;
  • twórców produktów informatycznych oraz osoby piszące cele bezpieczeństwa;
  • ekspertów ds. przedmiotu społeczności technicznej (SME) opracowujący Pakiety, Profile ochrony, metodologie oceny i inne dokumenty pomocnicze;
  • oceniających;
  • systemy oceny i instytucje oceniające;
  • konsultantów, w tym twórców narzędzi wspomagających;
  • inne osoby, w tym zaangażowane w porozumienia o wzajemnym uznawaniu oraz środowiska akademickie. Oczekuje się, że odbiorcy tego dokumentu znają CC 3.1 i CEM 3.1.

Mamy więc tutaj takie rozdziały jak: Główne nowe pojęcia wprowadzone w serii 15408 oraz 18045, Zastosowanie norm 15408 do konkretnych potrzeb, Zmiany w serii norm w odniesieniu po poprzedniej edycji. Wiele z tych tematów ilustrowana jest rysunkami oraz tabelami, które wizualizują temat czyniąc go prostszym i bardziej przystępnym.

ISO/IEC 18045:2022. Ta blisko 440 stronicowa norma pod tytułem „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Kryteria oceny bezpieczeństwa IT – Metodyka oceny bezpieczeństwa IT” została wydana w kolejnej rewizji zaledwie pod dwóch latach od poprzedniego wydania. Docelowymi odbiorcami tego dokumentu są przede wszystkim ewaluatorzy stosujący serię ISO/IEC 15408 oraz certyfikatorzy potwierdzający działania ewaluacyjne. A także sponsorzy oceny, deweloperzy, autorzy profili ochrony (PP), PP-Module, PP-Configuration i security target (ST) oraz inne strony zainteresowane bezpieczeństwem IT, którzy mogą stanowić drugorzędną grupę odbiorców. Dokument ten jest przeznaczony do stosowania w połączeniu z serią ISO/IEC 15408.

Oprócz samej treści normy w które u jęto klasy oceny ważne informacje wnikają z załączników – lista działań związanych z metodologią, które mogą być obsługiwane przez poszczególne systemy znajduje się w załączniku A, a np. nieformalna ocena podatności w kolejnym załączniku B.

Gdy przyjdzie nam rzucić na warsztat tematykę certyfikacji wyrobów pod kątem cyberbezpieczeństwa to czeka nas lektura blisko  1500 stron norm głównych i związanych.

Drugą część tego artykułu przedstawimy w kolejnym wpisie, po uprzednim zapoznaniu się z kolejnymi kilkuset stronami ujętymi w normach rodziny 15408-i, gdzie i=[1,…,5]

Zapraszamy do współpracy
Zespół Centre of Excellence / QSCert

Scroll to Top