You can edit almost every page by Creating an account. Otherwise, see the FAQ.

Protection Profile

Uit EverybodyWiki Bios & Wiki
Ga naar:navigatie, zoeken

Een Protection Profile ( PP ) is een document dat wordt gebruikt kan worden als onderdeel van het certificeringsproces volgens ISO/IEC 15408 en de Common Criteria (CC).

De Common Criteria for Information Technology Security Evaluation (ook wel Common Criteria of CC genoemd) is een internationale norm (ISO / IEC 15408) voor computerbeveiligingscertificering. De huidige versie is 2022.

Bij de certificatie van een IT beveiligings produkt volgens Common Criteria worden de volgende aspecten getest:

Voorbeelden van beveilgings functionaliteit zijn: cryptografie, toegangscontrolle, logging

Voorbeelden van de borging zijn: versiebeheer bij de onwikkeling, beveiliging van de ontwikkelings- en productie omgeving, instructies voor de gebruiker hoe het product veilig geinstalleerd en gebruikt moet worden, maar ook hoeveel inspanning er voor een aanvaller nodig is om de beveiliging te breken.

Beide aspecten voor een concreet product worden in het beveiligings doel (ST Security Target) vastgelegd, samen met bedrijgingen die het product afweert, de vereisten aan, en aannamen over de omgeving. Bij voorbeeld, het product moet in een beveiligd rekencentrum opgesteld worden, de administrator is te vertrouwen, de logs worden regelmatig bekeken.

Een ontwikkelaar mag een ST naar eigen goeddunken schrijven, solang aan de eisen van de CC voldaan wordt (verplichte elementen in de inhoud, aan de afhankelijkheden tussen de SFRs moet voldaan zijn, enz.). Een voorbeeld van een afhankelijkheid is: als logging specificieert is, moet ook een betrouwbare klok specificeerd worden.

Om te vermeiden dat er zeer veel producten met licht verschillende beveilingingsaspecten in de markt gezet worden, kan een ST gebaseerd worden op een Protection Profile ( PP ). Een PP is een raamwerk voor de constructie van een ST. Als de generieke vorm van een Security Target (ST), wordt het doorgaans gemaakt door een gebruikersgemeenschap en biedt het de minimale specificatie van de gewenste beveiligings functies en borging.

In een PP staat bij voorbeeld: "Na [vul een getal > 1 en < 10 in] mislukte aanmeldpogingen: [vul de acties in]". In het ST wordt het dan geconcretiseerd tot: "Na 5 mislukte aanmeldpogingen: wordt de aanmelding voor 3 minuten geblokkerd en wordt er een melding in de logfile geschreven".

Een PP specificeerd het "Evaluatie Betrouwbaarheidsniveau (EAL Evaluation Assurance Level)" Een EAL komt overeen met een pakket van beveiligingseisen (SAR's, zie hierboven) dat de volledige ontwikkeling, productie en levering van een product dekt, allemaal met een bepaald niveau van striktheid.

Een PP moet gecertificeerd worden alvorens het in een evaluatie gebruikt worden kan. Alle gecertificeerde PPs staan op de "Common Criteria" website.

Een ST op een of meer PPs baseren heeft voordelen: voor de ontwikkelaar dat alle vereiste elementen al aanwezig zijn, en voor de gebruikers dat gemakkelijker is om gecertificeerde producten te vergelijken. In Europa wordt vaak een "strikte" overeenkomst met een PP geeist: de ontwikkelaar moet ten minste alles van het PP in het ST overnemen, maar kan ook extra SFRs en SARs toevoegen.


Dit artikel "Protection Profile" is uit Wikipedia. De lijst van zijn auteurs is te zien in zijn historische   en/of op de pagina Edithistory:Protection Profile.



Read or create/edit this page in another language[bewerken]