- Tytuł:
-
Ontology based model of the common criteria evaluation evidences
Model materiału dowodowego do oceny zabezpieczeń według metodyki Wspólne Kryteria bazujący na ontologii - Autorzy:
- Białas, A.
- Powiązania:
- https://bibliotekanauki.pl/articles/375854.pdf
- Data publikacji:
- 2013
- Wydawca:
- Polska Akademia Nauk. Czytelnia Czasopism PAN
- Tematy:
-
Common Criteria
IT security evaluation
knowledge engineering
modelling
ontology
assurance methods - Opis:
-
The paper presents a new ontology-based approach to the elaboration and management of evidences prepared by developers for the IT security evaluation process according to the Common Criteria standard. The evidences concern the claimed EAL (Evaluation Assurance Level) for a developed IT product or system, called TOE (Target of Evaluation), and depend on the TOE features and its development environment. Evidences should be prepared for the broad range of IT products and systems requiring assurance. The selected issues concerning the author's elaborated ontology are discussed, such as: ontology domain and scope definition, identification of terms within the domain, identification of the hierarchy of classes and their properties, creation of instances, and an ontology validation process. This work is aimed at the development of a prototype of a knowledge base representing patterns for evidences.
Artykuł przedstawia wybrane zagadnienia dotyczące modelu materiału dowodowego wykorzystywanego w procesie oceny i certyfikacji zabezpieczeń informatycznych. Model opracowano w oparciu o metody inżynierii wiedzy i metodykę "Wspólne Kryteria" (ISO/IEC 15408 Common Criteria). Zakres i szczegółowość materiału dowodowego, przedkładanego wraz z produktem informatycznym (sprzęt, oprogramowanie, w tym układowe, system informatyczny) do oceny w niezależnym, akredytowanym laboratorium są implikowane przez zadeklarowany dla produktu poziom uzasadnionego zaufania EAL (Evaluation Assurance Level). EAL1 to wartość minimalna, EAL7 - maksymalna. Każdemu z poziomów EAL odpowiada pewien spójny zbiór wymagań uzasadniających zaufanie, czyli pakiet komponentów SAR (Security Assurance Requiremeni) - Tab.l. Większość z ponad tysiąca ocenionych produktów posiada certyfikaty EAL3-EAIA Oceniany pod względem wiarygodności swych zabezpieczeń, produkt informatyczny zwany jest przedmiotem oceny (TOE - Target of Evaluation). Na wstępie należy dla niego opracować materiał dowodowy o nazwie zadanie zabezpieczeń (ST - Security Target), który stanowi podsumowanie przeprowadzonych analiz bezpieczeństwa produktu i zawiera wykaz funkcji zabezpieczających, które należy zaimplementować w produkcie informatycznym na zadeklarowanym arbitralnie dla niego poziomie EAL, by zasoby informacji były w wystarczający sposób chronione przed zagrożeniami. W drugim etapie wypracowywany jest obszerny materiał dla samego produktu (projekt TOE, jego interfejsów, sposób implementacji, dokumentacja uruchomieniowa i użytkowa, testy, ocena podatności, itp.) i środowiska rozwojowego, w którym ten produkt powstaje (procesy rozwojowe w cyklu życia, zabezpieczenia środowiska rozwojowego, narzędzia, zarządzanie konfiguracją, usterkami i dostawą dla użytkownika, itp.). Artykuł zawiera wprowadzenie do metodyki Common Criteria, przegląd dotychczasowych badań, w tym badań własnych, w zakresie ontologii, modelowania pojęć i procesów tej metodyki. Całość metodyki Common Criteria zawarto w modelu wyrażonym za pomocą ontologii środków specyfikacji (SMO - Specification Means Ontology), jednak w głównej części artykułu (Rozdział 4) uwagę skupiono na fragmencie modelu odnoszącym się do materiału dowodowego dla samego TOE (bez ST). Przedstawiono proces tworzenia ontologii zgodnie z klasycznym podejściem [3] i z wykorzystaniem popularnego narzędzia [18]. Pokazano, jak opracowano rozbudowaną hierarchię klas, opisano własności klas i ich ograniczenia, a także, jak tworzono bazę wiedzy zawierającą środki specyfikacji. Artykuł rozwiązuje problem organizacji (struktury i zawartości) wzorców materiału dowodowego, tworząc dla nich szablony i instrukcje wypełnienia ich treścią dotyczącą opracowywanego produktu informatycznego. Opracowaną ontologie poddawano testom w toku tworzenia. Ontologie SMO wykorzystano więc jako model materiału dowodowego, implikowanego przez komponenty SAR należące dla poszczególnych pakietów EAL. Model ten, po poddaniu go walidacji i rewizji, może być podstawą do budowy aplikacji użytkowych dla twórców materiału dowodowego. - Źródło:
-
Theoretical and Applied Informatics; 2013, 25, 2; 69-91
1896-5334 - Pojawia się w:
- Theoretical and Applied Informatics
- Dostawca treści:
- Biblioteka Nauki
Artykuł