Week 7 Kriteria penilaian

1
Week 7Kriteria penilaian
2
Pengenalan

• Cara jaminan produk
• Jaminan olh pengilang/pembuat/pemberiperkhidmatan
• Uji sendiri sistem tersebut
• Bergantung kpd criteria penilaian drp pihak ketiga

3
Coth kriteria penilaian

• Orange book olh Amerika Syarikat
• Information Technology Security Evaluation
  Criteria(ITSEC)
• Federal Criteria(NIST92)
• The common criteria (CCITSE)

4
Orange book
5
Orange book

• Trusted Computer System Evaluation Criteria
  (TCSEC) is a United States Government Department
  of Defense (DoD) standard that sets basic
  requirements for assessing the effectiveness of
  computer security controls built into a computer
  system. The TCSEC was used to evaluate, classify
  and select computer systems being considered for
  the processing, storage and retrieval of
  sensitive or classified information.
• The TCSEC, frequently referred to as the Orange
  Book

6
Tujuan Orange Book

• Garis panduan kpd pengguna utk menilai darjah
  kepercayaan pd sistem keselamatan komputer.
• Garis panduan kpd pengilang/ pembuat sistem
  keselamatan komputer
• Asas keperluan keselamatan khusus bg suatu sistem
  keselamatan komputer.

7
ITSEC

• In May 1990, France, Germany, the Netherlands and
  the United Kingdom published the Information
  Technology Security Evaluation Criteria (ITSEC)
  based on existing work in their respective
  countries. Following extensive international
  review, Version 1.2 was subsequently published in
  June 1991 by the Commission of the European
  Communities for operational use within evaluation
  and certification schemes.
• The ITSEC is a structured set of criteria for
  evaluating computer security within products and
  systems. The product or system being evaluated,
  called the target of evaluation, is subjected to
  a detailed examination of its security features
  culminating in comprehensive and informed
  functional and penetration testing.

8
NIST92

• Refer to PDF file

9
Apakah sasaran didalam penilaian?

• Produk atau Sistem
• Bagi penilaian produk perlu mencari satu set
  generik(keserupaan) yang boleh diterima. Security
  classes didlm orange book dan profail
  perlindungan(protection profiles) pd Federal
  Criteria blh digunakan
• Bagi penilaian sistem ITSEC blh gunakan.

10
Apakah tujuan penilaian?

• Berdasarkan kpd Orange Book, ia dpt membezakan
• PenilaianMenilai samaada suatu produk mempunyai
  kesemua keselamatan yg dinyatakan.
• Pensijilanmenilai samaada produk yg dinilai itu
  sesuai utk aplikasi tertentu.
• Akreditasimencadangkan suatu produk yg telah
  mendpt pensijilan blh digunakan dlm aplikasi
  tertentu.

11
Apakah kaedah penilaian?
Berorientasi audit
Penyiasatan
12

• Kaedah pennyiasatan
• Menilai dan menguji produk
• Kos tinggi dan masa yg lama?melibatkan pakar
• Kaedah berorientasi audit
• Melihat kpd dokumentasi dan dokumentasi pengujian
• Kos murah
• Coth lain piawai kualiti(quality standard), ISO
  9000, repeatablility, reproducibility.

13
Struktur kriteria penilaian

• Kebolehfungsian
• Ciri keselematan pd sistem tersebut spt
  pengauditan, authentikasi dan sbgnya.
• Keberkesanan
• Adakah semua mekanisme keselamatan yg digunakan
  relevan dan sesuai dgn keperluan yg diberikan?
• Jaminan
• Kesempurnaan penilaian.
• Didlm Orange Book, ianya mempertimbangkan
  ketiga-tiga aspek serentak dlm definasi kelas
  keselamatan manakala ITSEC menakrifkan
  ketiga-tiga ini berasingan.

14
Organisasi yg bertanggungjawab dlm proses
penilaian

• Dilakukan olh agensi kerajaan
• Coth di Malaysia SIRIM
• Jika dikelolakan olh kerajaan?lambat, kakitangan
  berhijrah ke swasta
• Penilaian olh pihak swasta lebih cepat ttp perlu
  dibayar.
• Kebykan negara maju, penilaian dilakukan olh
  pihak swasta

15
Kos dan faedah penilaian

• Yuran dibayar utk penilaian
• Masa yg diambil utk mendptkan bukti penilaian,
  utk latihan penilai dan perundingan dgn kumpulan
  penilaian.
• Faedah penilaian blh dipasarkan dgn adanya
  sijil?pengguna lebih yakin

16
Piawai kualiti

• Adalah penilaian berorientasikan audit yg menilai
  bagaimana suatu produk dibangunkan tanpa sebrg
  rujukan kpd produk tersebut.
• Pendekatan spt ini semakin popular.
• Cth ISO 9000, ISO 9004, ISO 9001.

17
ISO 9000

• Bersamaan dgn BS5750(BS?British Standard).
• Menjelaskan konsep asas kualiti dan menyediakan
  garis panduan utk mencapai kualiti ini.
• Blh digunakan utk pengurusan kualitii dlman dan
  luaran

18
ISO 9004

• Menghuraikan set elemen asas supaya sistem
  kualiti dpt dibangunkan dan diimplementasikan utk
  tujuan pengurusan kualiti dlman.
• Pemilihan elemen yg relevan bergantung kpd faktor
  spt pasaran produk, sifat produk, proses
  pengeluaran dan keperluan pengguna.

19
ISO 9001

• Keperluan sistem kualiti yg digunakan utk kontrak
  di antara dua pihak yg memerlukan demonstrasi
  kebolehan pembekal utk merekabentuk dan
  membekalkan suatu produk atau perkhidmatan .

20
Soalan

• Jelaskan Piawai kualiti(Quality Standards) serta
  berikan cth-cthnya.
• Huraikan mengenai Orange Book.
• Apakan kos dan faedah penilaian?
• Jelaskan organisasi yg bertanggungjawab dlm
  proses penilaian.
• Apakah kaedah dan struktur kaedah penilaian?
• Berikan cth kriteria penilaian dan jelaskan
  sasaran dan tujuan didlm penilaian?