Benutzerbestimmbare Informationsflusskontrolle (SU)
Contents
1. durchsetzen FMT_MSA 3 2 Die TSF m ssen keiner Rolle gestatten bei der Erzeugung ei nes Objekts oder von Informationen alternative Anfangswerte zu spezifizieren die die vorgegebenen Standardwerte ersetzen Abh ngigkeiten FMT_MSA Management der Sicherheitsattribute FMT SMR 1 Sicherheitsrollen Die Komponente wird durch folgende Elemente verfeinert FMT MSA 3 a Bereitstellung freiz giger Standardwerte bedeutet f r das Si cherheitsattribut Kontrollstatus dass der Wert dieses Attributs auf Weak gesetzt wird falls sich das Objekt an einem Da tenort befindet oder erzeugt wird der nicht zu kontrollieren ist FMT MSA 3 b Bereitstellung freiz giger Standardwerte bedeutet f r das Si cherheitsattribut Sicherheitslevel dass bei Generierung eines neuen Subjekts bspw beim Starten einer Applikation der Wert dieses Attributs auf Low gesetzt wird Zuweisung SFP f r Zugriffskontrolle SFP f r Informationsflusskontrolle 4 Auswahl einschr nkenden freiz gigen anderen Eigenschaften Zuweisung autorisierten identifizierten Rollen 4 September 2002 47195 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FMT_MTD 1A Management der TSF Daten Ist hierarchisch zu Keinen anderen Komponenten FMT_MTD 1A 1 Die TSF m ssen die F higkeit zum Modifizieren L schen und Erg nzen von RuleData und anderen TSF Data auf den E2. Anwendungsbemerkung 18 Der Nachweis der Erf llung der Sicherheitsziele OE Qualification OE NoCapture und OE NoVirus ist vom Hersteller zu erbringen Sie k nnen durch geeignete Schulungsma nahmen sowie durch Umsetzung von Ma nah men des IT Grundschutzes durchgesetzt werden O InformationFlow Die Komponenten FDP _IFC 1 FDP_IFF 1 FDP_ETC 1 und FDP_ITC 1 sichern dass angeforderte Informationsfl sse innerhalb des IT Systems und aus dem IT System her aus bzw in dieses hinein in bereinstimmung mit der vermittels der RuleData pr zi sierten EVG Sicherheitspolitik kontrolliert werden Die Komponenten FMT_MTD 1A und FMT_MTD 3 sichern insbesondere die Zuverl ssigkeit der RuleData in Bezug auf die Vertr glichkeit der formulierten Informationsflussvorschriften Die Komponenten FMT_MTD 1A FMT_MTD 3 FMT_MSA 1l und FMT _ MSA 3 si chern die Zuverl ssigkeit der Sicherheitsattribute Die Komponenten FPT_ITT l FIA_UID 2 und FMT SMR 2 sichern die Zuverl ssigkeit der Informationen und der Rollenzuweisung anhand derer gem FDP _IFF 1 entschieden wird ob ein angefor derter Informationsfluss erlaubt ist oder verweigert wird Die Komponente FMT_MOF gew hrleistet unterst tzt von FPT_RVM Il und FPT_SEP 1 dass die Funktionen zur Durchsetzung der EVG Sicherheitspolitik immer aktiv sind und nicht umgangen werden k nnen Die Komponente AVA_MSU 3 tr gt zur Durchsetzung der EVG Sicherheitspolitik bei indem sie den IT Benutzer und den EVG
3. Deutsches fm ga arg Forschungszentrum l d f r K nstliche f f Intelligenz GmbH Sichere Software Common Criteria Schutzprofil Benutzerbestimmbare Informationsflusskontrolle SU DiG Discretionary Inf Anaan Paanta Flow Control Zertifizierungs ID BSI PP 0007 Identifikator 01345 BISS SU Versions Nr 2 01 Erstellungsdatum 4 September 2002 Verfasser Dr Steffen Lange Dr Andreas Nonnengart Christian St ble Roland Vogt Deutsches Forschungszentrum f r K nstliche Intelligenz DFKI GmbH Transferzentrum Sichere Software Stuhlsatzenhausweg 3 66123 Saarbr cken 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 2 95 4 September 2002 Common Criteria Schutzprofil BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Inhaltsverzeichnis 1 2 PP Einf hrung 1 1 PP Identifikation 1 2 PP bersicht 1 3 PP Organisation EVG Beschreibung 2 1 Art des Produkts 2 2 IT Leistungsmerkmale 2 3 EVG Abgrenzung 2 4 Betriebsumgebung 2 5 EVG Sicherheitspolitik 2 5 1 Begriffsbestimmung 2 5 2 Sicherheitsprinzipien Security Principles 2 5 3 Sicherheitscharakteristika Security Characteristics EVG Sicherheitsumgebung 3 1 Beschreibung der Rollen und Werte 3 1 1 Rollen 3 1 2 Werte 3 1 2 1 Prim rwerte 3 1 2 2 Sekund rwerte 3 2 Annahmen 3 3 Bedrohungen 3 3 1 Urheber von Bedrohungen 3 3 2 Prim rbedrohungen 3 3 3 Sekund r
4. Die offenen Abh ngigkeiten f r FCS_COP I ver pflichten den ST Autor solche Anforderungen zu erg nzen Dies betrifft insbesondere den wichtigen Bereich des Managements der kryptographischen Schl ssel Familie FMT_CKM 104 Zitat aus Common Criteria Teil 2 Anhang H 3 Absatz 1046 Wenn der Entwickler eine klare Defi nition der sicheren Werte und den Grund warum diese als sicher angesehen werden k nnen bereitgestellt hat kann die Abh ngigkeit f r FMT_MTD 3 von ADV _SPM 1 begr ndet entfallen 4 September 2002 87 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Nr CC Komponente Abh ngigkeit Aufgel st durch 1 FAU GEN 1 FPT_STM 1 Nr 27 2 FAU SAR I FAU GEN I Nr 1 3 FAU SAR 2 FAU SAR 1 Nr 2 4 FAU SAR 3 FAU SAR 1 Nr 2 5 FAU SEL 1 FAU GEN 1 Nr 1 FMT MTD l Nr 18b 6 FAU STG 1 FAU GEN 1 Nr 1 7 FAU STG 3 FAU STG 1 Nr 6 8 FDP ETC l FDP IFC 1 Nr 9 9 FDP IFC 1 FDP IFF 1 Nr 10 10 FDP_IFF l FDP IFC 1 Nr 9 FMT _MSA 3 Nr 17 11 FDP ITC 1 FDP _IFC 1 Nr 9 FMT MSA 3 Nr 17 12 FIA UAU I FIA UID 1 Nr 13 13 FIA UID 1 keine 14 FIA_UID 2 keine 15 FMT_MOF 1 FMT_SMF 1 Nr 2
5. Version 2 01 7 2 2 Abh ngigkeiten der funktionalen Sicherheitsanforderungen Tabelle 12 gibt eine bersicht ber die funktionalen Sicherheitsanforderungen dieses Schutzprofils und ihrer Abh ngigkeiten F r jede Abh ngigkeit ist angegeben ob und durch welche andere funktionale Anforderung dieses Schutzprofils sie aufgel st wird Es sei angemerkt dass die Abh ngigkeiten von FCS_COP 1A FCS_COP 1F auf FDP _ITC 1 und FCS_CKM 1 alternativ zu erf llen sind Bei allen anderen alternativen Abh ngigkeiten sind nur die jeweils ausgew hlten Alternativen angegeben Die Abh ngigkeiten sind f r alle Komponenten mit Ausnahme f r FMT_MTD 3 und FCS_COP 1A FCS_COP 1F aufgel st FMT_MTD 3 Die Abh ngigkeit von ADV _SPM 1 ist nicht aufgel st worden weil durch das Verfei nerungselement FMT_MTD 3 a eine klare Definition der sicheren Werte gegeben ist Die Begr ndung f r diese Definition ergibt sich direkt aus der Spezifikation der EVG Sicherheitspolitik vgl Kap 2 5 Gem Common Criteria kann daher die Abh ngig keit entfallen FCS_COP 1A FCS_COP IF Die Abh ngigkeiten f r FCS_COP 1A FCS_COP IF sind nicht aufgel st worden weil f r die Realisierung des kryptographischen Betriebs eine Vielzahl von m glichen Alternativen besteht Es ist daher nicht zweckm ig in diesem Schutzprofil detaillierte Anforderungen an die Kombination des kryptographischen Betriebs mit der spezifizier ten Sicherheitspolitik zu stellen
6. sselungsverfahren wird durchgesetzt dass UserData sowohl innerhalb des IT Systems als auch w hrend der bertragung vor unberechtigter Kenntnisnahme ge sch tzt werden O Manipulation Unter Verwendung von Signierverfahren wird durch gesetzt dass die Manipulation von UserData innerhalb des IT Systems oder w hrend der bertragung nicht unbemerkt bleibt Erl uterung Die Formulierung der Sicherheitsziele O Disclosure und O Manipulation ist identisch zu den entsprechenden Sicherheitszielen f r die Umgebung Dieses ist in bereinstimmung mit den Common Criteria erforderlich da beide Sicherheitsziele teilweise dem TOE EVG und teilweise dessen Umgebung zuzuordnen sind W hrend die Auswahl der Informationsflussvorschriften Aufgabe des TOE EVG ist werden die durch die Informationsflussvorschriften festgelegten kryptographischen Operationen in dessen Umgebung ausgef hrt O Support Der TOE EVG unterst tzt die T tigkeit eines EVG Administrators indem e beim Erzeugen einer neuen Informationsflussregel auf m gliche Konflikte mit bereits vorhandenen Informationsflussregeln hin gewiesen wird e Ausdrucksmittel z B Wildcards zur Verf gung gestellt wer den die die Definition von Informationsflussregeln vereinfa chen e stattgefundene und abgewiesene Informationsfl sse protokol lierbar sind und damit Informationen zur Validierung der einge stellten Informationsflussregeln zur Verf gung gestellt werden Erl uterung
7. 2 01 3 EVG Sicherheitsumgebung 3 1 Beschreibung der Rollen und Werte 3 1 1 Rollen Der TOE EVG kennt folgende Rollen EVG Administrator Ein EVG Administrator bernimmt die sicherheits spezifische Konfiguration und Deaktivierung des TOE EVG Die Aufgabe des EVG Administrator umfasst insbesondere die Festlegung der Informationsflussregeln und die Protokollauswertung IT Administrator Ein IT Administrator installiert den TOE EVG und pflegt das brige IT System IT Benutzer Ein IT Benutzer benutzt das IT System wie gewohnt Im Weiteren werden Benutzer die nicht dazu berechtigt sind eine der genannten Rollen anzunehmen unautorisierte Benutzer genannt Anwendungsbemerkung 4 Der TOE EVG soll die Rollen IT Benutzer und IT Administrator voneinander abgrenzen Hierzu kann vorgesehen werden dass der TOE EVG einen Wartungs und einen Normalmodus unterscheidet Jeder Benutzer der im Normalmodus Zugang zum TOE EVG hat agiert in der Rolle IT Benutzer w hrend ein Benutzer der im Wartungsmodus Zugang zum TOE EVG hat in der Rolle IT Administrator agiert Anwendungsbemerkung 5 Die Rolle EVG Administrator kann in mehrere Rollen aufgeteilt werden bspw um die Festlegung der Informationsflussregeln auf mehrere Verantwortungsbereiche zu verteilen Der ST Autor muss daf r sorgen dass die Konsi stenz der eingestellten Informationsflussregeln trotzdem gewahrt bleibt M gliche An s tze hierf r bestehen bspw in der Vergab
8. 4 September 2002 35 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 CC Komponente Protokollierbares Ereignis zus tzliche protokol lierungsrelevante Information FAU_SEL 1 Alle Modifizierungen der Protokollie rungs Konfiguration die w hrend des Betriebs der Protokolldatenerfassungs Funktionen auftreten ET IE FDP_ETC 1 Erfolgreicher Export von Informationen FDP _IFF 1 Entscheidungen angeforderte Informati ausgew hlte Infor onsfl sse zu erlauben mationsflussregel Sicherheitsattribute explizite Autorisierung a einschlie lich der Benutzerattribute ee rungsmechanismus FIA UID 1 Misslungener Gebrauch des Benutzer identifikationsmechanismus einschlie lich der bereitgestellten Benutzeridentit t FIA UID 2 Misslungener Gebrauch des Benutzer identifikationsmechanismus einschlie lich der bereitgestellten Benutzeridentit t O FMT _MTD 3 Alle zur ckgewiesenen Werte von TSF Daten FMT _ SMR 2 Modifizierungen der Gruppe von Benut zern die Teil einer Rolle sind Misslungene Versuche des Gebrauchs einer Rolle aufgrund bestimmter Bedin FTA_SSL 3 Tabelle 7 Ereignisse f r den Protokollierungsgrad Minimal 8 Aufgenommen gem der Final Interpretation 065 der CC 36 95 4 September 2002 iD Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflus
9. 4 September 2002 41 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FDP _IFF 1 5 Die TSF m ssen einen Informationsfluss auf Grundlage folgen der Regeln a Alle Informationsfl sse mit dem Bildschirm und der Tastatur sind zu erlauben b Informationsfl sse sind zu erlauben wenn die in den Regeln CWI ii oder CW2 ii formulierten Voraussetzungen erf llt sind und diese von einem hierzu berechtigten Benut zer mindestens der EVG Administrator explizit autorisiert wurden Sicherheitsprinzip P5 explizit autorisieren FDP _IFF 1 6 Die TSF m ssen einen Informationsfluss auf Grundlage folgen der Regeln a Alle Informationsfl sse mit Objekten deren Sicherheitsattri but Kontrollstatus den Wert Strong hat sind zu verwei gern sofern diese nicht von einer der Rollen EVG Administrator oder IT Benutzer angefordert werden explizit verweigern Abh ngigkeiten FDP_IFC 1 Teilweise Informationsflusskontrolle FMT_MSA 3 Initialisierung statischer Attribute Erl uterung Eine Beschreibung der SFP der benutzerbestimmbaren Informations flusskontrolle einschlie lich der zitierten Sicherheitsprinzipien und charakteristika fin det sich in Abschnitt 2 5 4 Zuweisung auf Sicherheitsattributen basierende Regeln die Informationsfl sse explizit autorisieren 25 Zuweisung auf Sicherheitsattributen basierende Regeln die Information
10. D3 sowie in Regel R3 die Orte D3 und D4 genannt Die Tabelle ordnet den dargestellten Datenorten die je weils spezifischsten Informationsflussregeln zu Dabei ist insbesondere zu beachten dass sich die Mengen der in den Informationsflussregeln R2 und R3 genannten Da tenorte berschneiden Da jeweils der Datenort D3 genannt wird sind somit sowohl R2 als auch R3 spezifischste Informationsflussregeln f r D3 Kr Abbildung 2 Illustration zum Begriff spezifischste Informationsflussregel RI D4 lt x xx J x 14 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 berlappungen verschiedener Informationsflussregeln wie in Abbildung 2 sind insbe sondere bei Verwendung von Wildcards f r die Bezeichnung von Datenorten sinnvoll um auf einfache Weise generelle Informationsflussregeln formulieren zu k nnen zu denen in anderen Regeln Ausnahmen beschrieben sind Selbstverst ndlich m ssen Kon flikte zwischen berlappenden Informationsflussregeln vermieden bzw aufgel st wer den Zum einen soll f r jeden von einem konkreten Subjekt angeforderten Informations fluss h chstens eine einzige unter den spezifischsten Regeln zust ndig sein Da je nach anforderndem Subjekt verschiedene Informationsflussregeln zur Anwendung kommen soll zum anderen die Anwendung dieser Regeln a
11. EVG Administrator identifiziert wird Die TSF m ssen erfordern dass jeder Benutzer erfolgreich als EVG Administrator identifiziert wurde bevor f r diesen jegli che andere TSF vermittelte Aktionen erlaubt werden Abh ngigkeiten Keine Abh ngigkeiten FIA_UID 2 Benutzeridentifikation vor jeglicher Aktion Ist hierarchisch zu FIA_UID 1 FIA_UID 2 1 Die TSF m ssen erfordern dass jeder Benutzer erfolgreich als IT Benutzer oder IT Administrator identifiziert wurde bevor f r diesen jegliche andere TSF vermittelte Aktionen erlaubt werden Abh ngigkeiten Keine Abh ngigkeiten 31 Zuweisung Liste der von den TSF vermittelten Aktionen 32 Verfeinerung 33 Verfeinerung 4 Verfeinerung 4 September 2002 45 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 5 1 1 4 Klasse FMT Sicherheitsmanagement FMT_MOF l Management des Verhaltens der Sicherheitsfunktionen Ist hierarchisch zu Keinen anderen Komponenten FMT_MOF l l Die TSF m ssen die F higkeit zum Deaktivieren der Funk tionen zur Durchsetzung der SFP der benutzerbestimmbaren Informationsflusskontrolle auf den EVG Administrator be schr nken Abh ngigkeiten FMT_SMR 1 Sicherheitsrollen FMT_MSA 1 Management der Sicherheitsattribute Ist hierarchisch zu Keinen anderen Komponenten FMT _MSA 1 1 Die TSF m ssen die SFP der benutzerbestimmbaren Infor m
12. EVG Administrator agiert werden k nnen 30 95 4 September 2002 u ga Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 4 2 Sicherheitsziele f r die Umgebung OE Disclosure Unter Verwendung von Verschl sselungsverfahren wird durchgesetzt dass UserData sowohl innerhalb des IT Systems als auch w hrend der bertragung vor unberechtigter Kenntnisnahme ge sch tzt werden OE Manipulation Unter Verwendung von Signierverfahren wird durch gesetzt dass eine Manipulation von UserData innerhalb des IT Systems oder w hrend der bertragung nicht unbemerkt bleibt Anwendungsbemerkung 11 Wenn der kryptographische Betrieb in den TOE EVG integriert ist s auch Kapitel PP Anwendungsbemerkungen so k nnen die Sicherheits ziele OE Disclosure und OE Manipulation im ST ersatzlos entfallen da sie vollst ndig von den entsprechenden Zielen f r den TOE EVG erfasst werden OE NoBypass Der TOE EVG ist derart in die IT Umgebung einge bunden dass alle zu sch tzenden Informationsfl sse durch den TOE EVG geleitet werden OE Selection Dem TOE EVG werden von der IT Umgebung verl ss liche Zeitstempel und korrekte Informationen zur Identifizierung an geforderter Informationsfl sse also Subjektidentit t Operation und Datenort bereitgestellt OE Qualification Ein EVG Administrator und ein IT Administrator ver f gen ber eine angemessene Qu
13. Ein Ausgabefunktionen des IT Systems um eine benutzerbestimmbare Informationsflusskontrolle erweitern Die Anforderungen an den TOE EVG werden so allgemein gehalten dass die Erstellung konformer Produkte f r verschiedene IT Umgebungen gew hrleistet ist Das Einsatz spektrum des TOE EVG umfasst die Bereiche gesch tzte lokale Datenspeicherung und verarbeitung sowie gesch tzte Daten bertragung ber offene Netzwerke Kontrolliert werden sowohl innerhalb des IT Systems stattfindende Informationsfl sse wie z B die Speicherung oder das Laden von Dateien als auch aus dem IT System her ausf hrende Informationsfl sse wie z B der Versand oder Empfang von Emails Zur Identifikation von Informationsfl ssen werden die verarbeitende funktionale Einheit z B eine Applikation und der Aufbewahrungsort z B Verzeichnisse Rechner oder Emailadressen verwendet Eine Plausibilit tskontrolle und Konsistenzpr fung verhin dert dass Informationsflussregeln unzweckm ig sind oder sich widersprechen Beides erleichtert auch die Administration des TOE EVG F r den Benutzer ist der TOE EVG grunds tzlich unsichtbar Nur bei Fehlermeldun gen bei der Anwendung von Signatur und Verschl sselungsverfahren und im Fall dass Informationsfl sse explizit zu autorisieren sind wird der TOE EVG wahrge nommen 2 1 Art des Produkts Der TOE EVG ist ein betriebssystemnaher Teil eines IT Systems bzw ein Bestandteil seines Betriebssystems Zu
14. Evaluatoraufgaben AVA _SOF 1 1E AVA_SOF 1 2E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen Der Evaluator muss best tigen dass die St rkepostulate korrekt sind 4 September 2002 67 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 AVA_VLA 1 Schwachstellenanalyse des Entwicklers Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation ADV _HLD 1 Beschreibender Entwurf auf hoher Ebene AGD _ADM Systemverwalterhandbuch AGD USR 1 Benutzerhandbuch Elemente zu Entwickleraufgaben AVA_VLA 1 1D The developer shall perform a vulnerability analysis AVA_VLA 1 2D The developer shall provide vulnerability analysis documenta tion Elemente zu Inhalt und Form des Nachweises AVA_VLA 1l IC The vulnerability analysis documentation shall describe the analysis of the TOE deliverables performed to search for obvi ous ways in which a user can violate the TSP AVA_VLA 1 2C The vulnerability analysis documentation shall describe the dis position of obvious vulnerabilities AVA_VLA 1 3C The vulnerability analysis documentation shall show for all identified vulnerabilities that the vulnerability cannot be ex ploited in the intended environment for the TOE Elemente zu Evaluatoraufgaben AVA_VLA 1 1E Der Evaluator muss best tigen dass die be
15. IT Sicherheitsziele durch Sicherheitsanforderungen 82 Tabelle 12 Abh ngigkeiten zwischen den funktionalen Sicherheitsanforderungen 88 4 September 2002 5 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 1 PP Einf hrung 1 1 PP Identifikation Titel Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Registrierung Bundesamt f r Sicherheit in der Informationstechnik BSI Zertifizierungskennung BSI PP 0007 Dieses Schutzprofil steht hierarchisch unterhalb des Schutzprofil Benutzerbestimmbare Informationsflusskontrolle MU Zertifizierungskennung BSI PP 0008 BISS MU Dieses Schutzprofil wurde erstellt auf der Grundlage von e Gemeinsame Kriterien f r die Pr fung und Bewertung der Sicherheit von Informa tionstechnik Teil 1 3 Version 2 1 August 1999 e Common Evaluation Methodology for Information Technology Security e Part 1 Version 0 6 11 01 1997 e Part 2 Version 1 0 August 1999 CCIMB Final Interpretations Issue 15 02 2002 e _ISO Guide for the Production of Protection Profiles and Security Targets Ver sion 0 9 04 01 2000 e _ Anwendungshinweise und Interpretationen zum Schema AIS32 bernahme inter national abgestimmter CC Interpretationen ins deutsche Zertifizierungsschema Version 1 02 07 2001 Bundesamt f r Sicherheit in der Informationstechnik 1 2 PP bersicht Der TOE EVG hat die Aufgabe die Informat
16. September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Nachfolgend wird f r jeden Aspekt der in Kap 3 dargelegten Sicherheitsumgebung erkl rt warum er von den in Tabelle 10 aufgef hrten Sicherheitszielen abgedeckt wird A NoBypass Durch die Formulierung ist offenbar dass die Annahme A NoBypass direkt von dem Sicherheitsziel OE NoBypass abgedeckt wird A Selection Durch die Formulierung ist offenbar dass die Annahme A Selection direkt von dem Sicherheitsziel OE Selection abgedeckt wird A Qualification Durch die Formulierung ist offenbar dass die Annahme A Qualification direkt von dem Sicherheitsziel OE Qualification abgedeckt wird A NoCapture Durch die Formulierung ist offenbar dass die Annahme A NoCapture direkt von dem Sicherheitsziel OE NoCapture abgedeckt wird Es sei an dieser Stelle darauf hingewiesen dass die Annahme A NoCapture zwar ver hindert dass eine einmal begonnene Sitzung eines Benutzers von einer unberechtigten Person fortgef hrt werden kann aber keinen Schutz gegen den Aufbau einer neuen Sit zung im Namen dieses Benutzers bietet Eine solche Sitzung kann z B durch das in Anwendungsbemerkung 4 vorgeschlagenen Konzepts von Wartungsmodus und Nor malmodus zusammen mit der expliziten Autorisierung der Rolle IT Benutzer durch den EVG Administrator erfolgreich verhindert werden A NoVirus Durc
17. durchsetzen FDP IFF 1 2 Die TSF m ssen einen ber eine kontrollierte Operation erfol genden Informationsfluss zwischen dem kontrollierten Subjekt und den kontrollierten Informationen erlauben wenn die fol genden Regeln zutreffen Die zur Durchsetzung der Sicher heitsprinzipien security principles Pl P2 P3 und P4 geeigneten Sicherheitscharakteristika security characteristics sind a F r die Operation Lesen von Information Wenn die in den Regeln CRl CR2 oder CR3 i formulierten Voraus setzungen erf llt sind ist der Informationsfluss zu erlauben b F r die Operation Schreiben von Information Wenn die in den Regeln CW1 i CW2 i oder CW3 i formulier ten Voraussetzungen erf llt sind ist der Informationsfluss zu erlauben FDP _IFF 1 3 Die TSF m ssen keine zus tzlichen SFP Regeln f r Informati onsflusskontrolle durchsetzen Zuweisung SFP f r Informationsflusskontrolle 2 Zuweisung Mindestanzahl und Arten der Sicherheitsattribute Zuweisung f r jede Operation die geforderte auf Sicherheitsattributen basierende Beziehung zwischen Subjekt und Informations Sicherheitsattributen Zuweisung zus tzliche SFP Regeln f r Informationsflusskontrolle 40 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 FDP_IFF 1 4 Die TSF m ssen folgende zus tzlichen S
18. e Betriebssysteme e Datenbanksysteme oder e Email Clients und Server Die hier beschriebene Sicherheitsleistung geht davon aus dass eine Unterscheidung von Benutzern nicht erforderlich ist Falls eine Unterscheidung von Benutzern von der IT Umgebung unterst tzt wird und ihre Ber cksichtigung angeraten ist wird die Verwen dung eines TOE EVG empfohlen der mit der Mehrbenutzervariante BISS MU des Schutzprofils konform ist Der TOE EVG kann auf vielf ltige Weise in die jeweilige IT Umgebung eingebunden sein So kann bspw ein Service Prozess eines Betriebssystems etwa ein Email Server sowohl als einzelnes Subjekt verstanden werden das von einem ins Betriebssystem ein gebetteten TOE EVG kontrolliert wird als auch als eigenst ndige IT Umgebung f r einen TOE EVG der die mit dem Server kommunizierenden Clients kontrolliert 4 September 2002 7195 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 1 3 PP Organisation Die wesentlichen Bestandteile des Schutzprofils sind die EVG Beschreibung die EVG Sicherheitsumgebung die Sicherheitsziele die IT Sicherheitsanforderungen und die Erkl rung Die EVG Beschreibung liefert allgemeine Informationen ber den TOE EVG dient als Hilfe zum Verst ndnis der Sicherheitsanforderungen und liefert Zusammenh nge f r die Evaluation des Schutzprofils Es werden die Art des Produkts und die allgemeinen IT Leis
19. fahren Verfahren zum Erzeugen elektronischer Signieren und Verfahren zum Pr fen von elektronischen Signaturen und Zertifikaten zur Verf gung Eine geeignete Anwen dung von Hashverfahren und Verfahren zum Erzeugen elektronischer Signaturen macht es m glich UserData innerhalb des IT Systems bzw w hrend der bertragung vor un bemerkter Modifikation zu sch tzen und Authentizit tsnachweise anzubringen Die Verfahren zum Pr fen von elektronischen Signaturen und Zertifikaten k nnen einge setzt werden um die Integrit t und Authentizit t von UserData zu verifizieren OE NoByPass Durch die Komponente FPT_RVM I ist gew hrleistet dass der TOE EVG immer aktiv ist Die Komponente FPT_SEP 1 gestattet es die TSF Data derart zu sch tzen dass der TOE EVG wie beabsichtigt arbeitet Folglich ist gesichert dass alle Informa tionsfl sse vom TOE EVG kontrolliert werden OE Selection Die Komponenten FPT_STM 1 sichert dass die von der IT Umgebung zur Verf gung gestellten Zeitstempel verl sslich sind Die Komponente FPT_ITT 1 garantiert dass diese und alle brigen Informationen zur Identifikation angeforderter Informationsfl sse gegen Modifikation gesch tzt zum TOE EVG bertragen werden Damit kann ge w hrleistet werden dass die bereitgestellten Informationen korrekt sind 86 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU
20. festgestellt werden kann ob Informationsflussvorschriften widerspr chlich sind Erl uterung Wenn bspw in den Informationsflussvorschriften zweier Informations flussregeln pr zisiert ist dass unterschiedliche Applikationen unter Verwendung ver schiedener Verschl sselungsverfahren Informationen in das gleiche Objekt schreiben d rfen widersprechen sich diese Informationsflussvorschriften Andererseits ist zu be achten dass bspw Backup Verfahren auf jeden Bereich des Speichermediums lesend zugreifen sollen Das Backup Verfahren soll die Daten bitweise lesen und bitweise auf das Backup Medium schreiben also u a ohne vorherige Entschl sselung Diese Art der Verarbeitung darf also keiner anderen Informationsflussvorschrift widersprechen 4 September 2002 15 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 F r die mittels des TOE EVG durchzusetzende SFP der benutzerbestimmbaren Infor mationsflusskontrolle werden die in Tabelle 1 festgelegten Objekt und Subjektattribute zugrunde gelegt Kategorie Attribut m gliche Werte Objekt Bez O Kontrollstatus C O Strong Weak Subjekt Bez S Sicherheitslevel L S High Low Tabelle 1 Sicherheitsattribute Der Kontrollstatus eines Objekte dient dazu die Zweckbindung und den Schutz der Authentizit t Integrit t bzw Vertraulichkeit der in diesem Objekt aufbewahrten Infor mation dur
21. geh ren insbesondere erlaubte und ver weigerte Informationsfl sse Rolle Definiert die erlaubten T tigkeiten einer Klasse von Benutzern des TOE EVG wobei ein Benutzer gleichzeitig mehrere im Extremfall sogar alle Rollen innehaben kann 92 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 RuleData Teil der TSF Data welcher die Liste der eingestellten Informa tionsflussregeln umfasst Sicherheitsattribut Attribute die Subjekten Informationen und oder Objekten zugeordnet werden um eine Funktionale Sicherheitspolitik zu definieren Spezifischste Informationsflussregel Informationsflussregel R in der der betreffende Datenort genannt wird und f r die gilt dass es keine Zn formationsflussregel gibt in der neben diesem Datenort nur einige der in R genannten Datenorte genannt werden Subjekte Angaben die zur Beschreibung der aktiven Einheit bspw Ap plikationen zugeordnete Prozesse innerhalb des TOE EVG ben tigt werden TOE EVG Evaluationsgegenstand im vorliegenden Fall ein Sicher heitsprodukt das sowohl als reine Softwarel sung als auch als Kombi nation aus Hard und Softwarekomponenten realisiert sein kann Trojaner Eine b swilliges Programm welches sich als gutartig tarnt um vom I T Benutzer unbemerkt Schaden am T System anzurichten TSF Data Daten die f r Entscheidungen im Rahme
22. ist zun chst zu pr fen ob der zum angeforderten Informationsfluss geh rende Datenort in einer Informationsflussregel genannt ist Ist das nicht der Fall kommen die Regeln CR1 bzw CW1 zur Anwendung Andernfalls muss als n chstes festgestellt werden welche der vorhandenen Informationsflussregeln zum Treffen dieser Entscheidung her anzuziehen ist bevor gem CR2 oder CR3 bzw CW2 oder CW3 verfahren wird Ist in der heranzuziehenden Informationsflussregel das Protokollierungsflag PF auf True gesetzt wird die Entscheidung protokolliert vgl Prinzip Pl Protokollie rung Eine Auswahlfunktion die ein wesentlicher Parameter der SFP der benutzer bestimmbaren Informationsflusskontrolle ist bestimmt die heranzuziehende Infor mationsflussregel Es seien read S I O bzw write S I O der angeforderte Informationsfluss und D der Datenort an dem das Objekt O aufbewahrt wird Wenn der Datenort D in wenigstens einer Informationsflussregel genannt ist w hlt die Auswahlfunktion eine Informations flussregel aus Die ausgew hlte Informationsflussregel R hat die folgenden Eigen schaften S1 R ist eine spezifischste Informationsflussregel f r den Datenort D in der die aktuelle Operation genannt ist S2 Falls es in der Liste der Informationsflussregeln eine spezifischste Informationsflussregel f r den Datenort D gibt in der neben der aktuellen Operation auch das Subjekt S genannt wird so wird das Subjek
23. jekten gestattet ist die an den genannten Datenorten befindliche Information ohne Auf rechterhaltung des Schutzes an andere Datenorte zu schreiben Damit ist es m glich Ausnahmen zur o0 g Abgrenzung des kontrollierten Bereichs zu spezifizieren Das Protokollierungsflag PF wird True gesetzt wenn alle Anforderungen von Infor mationsfl ssen die gem dieser Informationsflussregel erlaubt bzw verweigert wer den zu protokollieren sind ber entsprechende Informationsflussvorschriften kann die Authentizit t Integrit t bzw Vertraulichkeit der an den genannten Datenorten aufbewahrten Information ge sch tzt werden In den Informationsflussvorschriften zum Schreiben von Information muss mindestens festgelegt werden k nnen dass die Information zu verschl sseln bzw zu signieren ist ggf mit Hinweis auf zu verwendende Verfahren und Schl ssel zum Verschl sseln bzw Signieren Entsprechend muss in Informationsflussvorschriften zum Lesen von Information mindestens festgelegt werden k nnen dass die vorliegen den Daten zu entschl sseln sind ggf mit Hinweis auf zu verwendende Verschl sse lungsverfahren und Schl ssel bzw die G ltigkeit von mit den Daten verkn pften Si 4 September 2002 13 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 gnaturen zu pr fen ist ggf mit Hinweis auf zu verwendende Pr fverfahren und Schl s sel Dar ber hinau
24. sollen Das Systemverwalterhandbuch muss alle Annahmen zum Be nutzerverhalten beschreiben die f r den sicheren Betrieb des TOE EVG relevant sind Das Systemverwalterhandbuch muss alle vom Systemverwalter kontrollierten Sicherheitsparameter beschreiben und dabei wie jeweils angemessen sichere Werte angeben Das Systemverwalterhandbuch muss jede Art von sicherheits relevanten Ereignissen bez glich der auszuf hrenden System verwaltungsfunktionen beschreiben einschlie lich der nde rungen der Sicherheitseigenschaften von Einheiten die unter Kontrolle der TSF stehen Das Systemverwalterhandbuch muss konsistent mit allen ande ren f r die Pr fung und Bewertung gelieferten Dokumentationen sein Das Systemverwalterhandbuch muss alle Sicherheitsanforder ungen an die IT Umgebung beschreiben die f r den System verwalter relevant sind Elemente zu Evaluatoraufgaben AGD ADM 1 1E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen 4 September 2002 61 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 AGD _USR 1 Benutzerhandbuch Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation Elemente zu Entwickleraufgaben AGD USR 1 1D Der Entwickler muss ein Benutzerhandbuch bereitstellen Elemente zu Inhalt und Form des Nachweises AGD USR
25. werden verhindern zu k nnen ist eine Unterscheidung der Benutzer nicht notwendig Es kann nicht davon ausgegangen werden dass Administratoren des IT Systems insbe sondere im Fall einer Fernadministration in gleichem Umfang wie rechtm ige Benut zer Interesse an der Sicherheitsleistung des TOE EVG haben Administratoren des IT Systems werden genauso wie nicht rechtm ige Benutzer potentielle Angreifer als Urheber von Bedrohungen betrachtet Es wird von einem Angriffspotential ausgegan gen das auf die F higkeit zur Durchf hrung offensichtlicher Penetrationsangriffe be schr nkt ist Eine Sonderstellung nimmt der EVG Administrator ein Er wird ohne Einschr nkung als vertrauensw rdig angesehen Ma nahmen zur Kontrolle der T tigkeit des EVG Administrators sind daher nicht vorgesehen 4 September 2002 11 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 2 5 EVG Sicherheitspolitik Dieses Kapitel erl utert die vom TOE EVG durchzusetzende EVG Sicherheitspolitik die Funktionale Sicherheitspolitik SFP der benutzerbestimmbaren Informationsfluss kontrolle Zur Beschreibung der Sicherheitspolitik wird zwischen aktiven Einheiten den Subjekten passiven Einheiten den Objekten und den Informationen unterschie den Objekte k nnen Informationen enthalten und sind Ziel von Operationen die von Subjekten ausgef hrt werden Subjekten Objekten und Info
26. 0 FMT_SMR 1 Nr 21 16 FMT_MSA 1 FDP _IFC 1 Nr 9 FMT SMR l Nr 21 FMT SMEF l Nr 20 17 FMT _MSA 3 FMT MSA l Nr 16 FMT SMR l Nr 21 18a FMT_MTD 1A FMT_SMF Nr 20 18b FMT_MTD 1B FMT SMR 1 Nr 21 19 FMT MTD 3 ADV_SPM 1 nicht aufgel st FMT MTD l Nr 18a 20 FMT SME l keine 21 FMT_SMR 2 FIA _ UID 1 Nr 13 EVG Administrator Nr 14 IT Benutzer IT Administrator 22 FTA_SSL 3 keine 23 FCS_COP IA FDP _ITC 1 nicht aufgel st FCS_COP IF FCS_CKM 1 nicht aufgel st FCS_CKM 4 nicht aufgel st FMT MSA2 nicht aufgel st 24 FPT_RVM 1 keine 25 FPT_ITT 1 keine 26 FPT_SEP keine 27 FPT_STM l keine Tabelle 12 Abh ngigkeiten zwischen den funktionalen Sicherheitsanforderungen 88 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 7 2 3 Gegenseitige Unterst tzung der funktionalen Sicherheitsan forderungen In Abschnitt 7 2 1 wird der Schutz der als principal klassifizierten funktionalen Si cherheitsanforderungen durch unterst tzende supporting funktionale Sicherheitsan forderungen erl utert Insbesondere wird die Durchsetzung der SFP der benutzerbe stimmbaren Informationsflusskontrolle unterst tzt e durch die von der Komponente FMT _MOF 1 geforderte Beschr nkung der De aktivierung des TOE EVG auf den EVG Administra
27. 1 1C Das Benutzerhandbuch muss die Funktionen und Schnittstellen beschreiben die den Benutzern des TOE EVG zur Verf gung stehen die nicht f r Systemverwaltung zust ndig sind AGD USR 1 2C Das Benutzerhandbuch muss den Gebrauch der vom TOE EVG bereitgestellten Sicherheitsfunktionen die f r den Benutzer zug nglich sind beschreiben AGD USR 1 3C Das Benutzerhandbuch muss Warnungen bez glich den Benut zern zug nglichen Funktionen und Privilegien enthalten die in einer sicheren Verarbeitungsumgebung kontrolliert werden sol len AGD USR 1 4C Das Benutzerhandbuch muss alle Verantwortlichkeiten des Be nutzers klar darstellen die f r den sicheren Betrieb des TOE EVG notwendig sind einschlie lich derjenigen die mit den in der Darlegung der EVG Sicherheitsumgebung ent haltenen Annahmen zum Benutzerverhalten zusammenh ngen AGD USR 1 5C Das Benutzerhandbuch muss konsistent mit allen anderen f r die Pr fung und Bewertung gelieferten Dokumentationen sein AGD _USR 1 6C Das Benutzerhandbuch muss alle Sicherheitsanforderungen an die IT Umgebung beschreiben die f r den Benutzer relevant sind Elemente zu Evaluatoraufgaben AGD USR 1 1IE Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen 62 95 4 September 2002 Tu u AU Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsfl
28. 2 1D Der Entwickler muss einen Verweisnamen f r den TOE EVG bereitstellen ACM_CAP 2 2D Der Entwickler muss ein CM System benutzen ACM_CAP 2 3D Der Entwickler muss eine CM Dokumentation bereitstellen Elemente zu Inhalt und Form des Nachweises ACM _CAP 2 1C Der Verweisname f r den TOE EVG muss f r jede Version des TOE EVG eindeutig sein ACM CAP 22C Der TOE EVG muss mit seinem Verweisnamen gekenn zeichnet sein ACM _CAP 2 3C Die CM Dokumentation muss ein Konfigurationsverzeichnis enthalten ACM _CAP 2 3 C The configuration list shall uniquely identify all configuration items that comprise the TOE ACM CAP 2 4C Das Konfigurationsverzeichnis muss die Konfigurationsteile be schreiben aus denen der TOE EVG besteht ACM _CAP 2 5C Die CM Dokumentation muss die zur eindeutigen Identifikation der Konfigurationsteile verwendete Methode beschreiben ACM CAP 2 6C Das CM System muss alle Konfigurationsteile eindeutig identi fizieren gt Dieses Element wurde gem Final Interpretation 003 der CC erg nzt Eine autorisierte bersetzung gibt es nicht Deshalb ist das englischsprachige Original zitiert worden 4 September 2002 55 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Elemente zu Evaluatoraufgaben ACM _CAP 2 IE Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form
29. Administrator bei der erforderlichen Interakti on Information ber verweigerte Informationsfl sse und daraus abzuleitende Ma nah men unterst tzt O Disclosure Die Komponenten FDP _IFC 1 FDP_IFF l FDP_ETC 1 und FDP_ITC 1 sichern dass angeforderte Informationsfl sse innerhalb des IT Systems und aus dem IT System her aus bzw in dieses hinein in bereinstimmung mit der vermittels der RuleData pr zi sierten Sicherheitspolitik kontrolliert werden Die Komponenten FMT MTD 1A und FMT_MTD 3 sichern insbesondere die Zuverl ssigkeit der RuleData in Bezug auf die Vertr glichkeit der formulierten Informationsflussvorschriften Die von der IT Umgebung durch die Komponenten FCS_COP 1A FCS_COP IC zur Verf gung gestellten Verschl sselungsverfahren garantieren dass gem FDP _IFF 1 zu ber cksichtigende Informationsflussvorschriften die auf den Schutz der Vertraulichkeit von UserData zielen korrekt umgesetzt werden 4 September 2002 83 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Die Komponente AVA_MSU 3 tr gt zur Durchsetzung der EVG Sicherheitspolitik bei indem sie den IT Benutzer bei der erforderlichen Interaktion Information ber fehlge schlagene Ver Entschl sselung und daraus abzuleitende Ma nahmen unterst tzt Anforderungskomponenten f r die vertrauensw rdige bertragung der UserData zu den kryptographischen Modulen wie etwa FDP_UC
30. Die Qualit t der Sicherheitsleistung des TOE EVG ist ma geblich von der Zweckm igkeit der verwendeten Informationsflussregeln bestimmt Der Unterst t zung bei Generierung und Validierung der RuleData ist daher eine erhebliche Bedeu tung beizumessen Zitat aus Common Criteria Teil 1 Abschnitt B 2 5 Anmerkung Wenn eine Bedrohung oder organi satorische Sicherheitspolitik teilweise vom TOE EVG und teilweise durch dessen Umgebung abgedeckt wird dann mu das entsprechende Ziel in jeder der beiden Kategorien wiederholt werden 4 September 2002 29 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 O EVG Administration Der TOE EVG stellt sicher dass e nur ein EVG Administrator die RuleData ndern darf e sich der TOE EVG einmal installiert und gestartet nur noch von einem EVG Administrator deaktivieren l sst e nur ein EVG Administrator von den ProtocolData Kenntnis nehmen kann Erl uterung Die RuleData d rfen nur von Personen festgelegt bzw ge ndert werden die die hierf r erforderliche Kompetenz besitzen Da der TOE EVG transparent ar beitet ist zu gew hrleisten dass der TOE EVG die erwarteten Sicherheitsleistungen auch wirklich erbringt Die ProtocolData enthalten Details ber die T tigkeit der einzel nen IT Benutzer die aus Datenschutzgr nden nicht frei zug nglich sein d rfen Da ein EVG Administrator die ProtocolD
31. E EVG und seine Umgebung zur Verf gung Die EVG Sicherheitsanforderungen sind wie folgt unterteilt a Funktionale Sicherheitsanforderungen an den TOE EVG zuz glich Anforde rungen an die St rke der EVG Sicherheitsfunktionen die auf einem Wahr scheinlichkeits oder Permutationsmechanismus beruhen und b Anforderungen an die Vertrauensw rdigkeit des TOE EVG Die Erkl rung weist nach dass das Schutzprofil eine vollst ndige und zusammengeh rige Menge von IT Sicherheitsanforderungen ist und dass ein konformer TOE EVG die Sicherheitserfordernisse wirksam ansprechen w rde Die Erkl rung besteht aus zwei Hauptteilen Zuerst wird anhand einer Erkl rung zu den Sicherheitszielen gezeigt dass die Sicherheitsziele auf alle in der EVG Sicherheitsumgebung genannten Aspekte zu r ckgef hrt werden k nnen und dass sie geeignet sind diese abzudecken Dann wird anhand einer Erkl rung zu den Sicherheitsanforderungen gezeigt dass die Sicherheits anforderungen f r den TOE EVG wie auch f r die Umgebung auf die Sicherheits ziele zur ckgef hrt werden k nnen und dass sie geeignet sind diese Ziele zu erreichen 8 95 4 September 2002 u ga Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 2 EVG Beschreibung Zu diesem Schutzprofil konforme Produkte bestehen im Allgemeinen aus einer oder mehreren Komponenten welche die bereits existierenden
32. FF l FAU_STG 1 FAU_STG 3 FAU GEN 1 FAU SAR 1 FMT _ MSA 1 FMT _ MTD 1A FAU SAR 3 FAU SEL 1 FMT_MTD 1B FPT_STM 1 FMT MSA 3 FMT_MTD 3 FPT_ITT 1 AVA_MSU 3 FMT SMF 1 O EVG FAU SAR 1 FAU SAR 2 FPT_RVM 1 FPT_SEP 1 Administration FAU_SAR 3 FIA_UAU 1 FIA_UID 1 FTA _SSL 3 FMT _MOF 1 FMT_MSA l FMT_SMR 2 FMT _MTD 1A FMT MTD 1B O Impersonate FIA _UAU 1 FIA UID 1 FTA_SSL 3 FIA_UID 2 FMT SMR 2 OE Disclosure FCS_COP 1A FCS_COP IC OE Manipulation FCS_COP 1D FCS_COP 1IF OE NoBypass FPT_RVM 1 FPT SEP 1 OE Selection FPT_ITT 1 FPT STM l Tabelle 11 Abdeckung der IT Sicherheitsziele durch Sicherheitsanforderungen 82 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Nachfolgend wird f r jedes der in Kap 4 identifizierten IT Sicherheitsziele erkl rt warum es von den in Tabelle 11 aufgef hrten funktionalen Sicherheitsanforderungen erf llt wird F r das Sicherheitsziel OE Qualification wird keine solche Erkl rung ge geben weil es sich dabei um ein Sicherheitsziel f r die Umgebung handelt das nicht auf IT bezogen ist Den Sicherheitszielen OE NoCapture und OE NoVirus sind keine funktionalen Sicherheitsanforderungen zugeordnet weil solche Anforderungen keinen Beitrag zur Durchsetzung der Sicherheitsziele des TOE EVG leisten
33. FP F higkeiten be reitstellen a Eine Auswahlfunktion die nur solche Informationsfluss regeln ausw hlt die die Eigenschaften S1 und S2 haben b In den Informationsflussvorschriften die Bestandteil der Informationsflussregeln sind muss mindestens festlegbar sein dass i Verschl sselungsverfahren gem FCS_COP IA FCS_COP IB und FCS_COP IC die die IT Umgebung bereitstellt angewendet werden ii Verfahren zum Erstellen und Pr fen elektronischer Signaturen gem FCS_COP ID FCS_COP IE und FCS_COP IF die die IT Umgebung bereit stellt angewendet werden c F r die Operation Lesen von Information Wenn die in den Regeln CR2 oder CR3 i formulierten Voraussetzungen erf llt sind hat die Operation Lesen gem der in der aus gew hlten Informationsflussregel benannten Informa tionsflussvorschrift zu erfolgen d F r die Operation Schreiben von Information Wenn die in den Regeln CW2 i oder CW3 i formulierten Voraus setzungen erf llt sind hat die Operation Schreiben gem der in der ausgew hlten Informationsflussregel benannten Informationsflussvorschrift zu erfolgen e Die Entscheidung ber die Anforderung des Informations flusses zu protokollieren falls das Protokollierungsflag PF der ausgew hlten Informationsflussregel auf True gesetzt ist bzw der Informationsfluss gem FDP_IFF 1 5 b ex plizit autorisiert wurde 3 Zuweisung Liste zus tzlicher SFP F higkeiten
34. ISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 FCS_COP 1A Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP 1A 1 Abh ngigkeiten Die IT Umgebung muss Verschl sseln und Entschl sseln von UserData gem eines spezifizierten kryptographischen Algo rithmus AES und kryptographischer Schl ssell ngen von min destens 128 Bit die den folgenden Normen FIPS 197 ent sprechen durchf hren FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute FCS_COP 1B Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP IB 1 Abh ngigkeiten Die IT Umgebung muss Verschl sseln und Entschl sseln von UserData gem eines spezifizierten kryptographischen Algo rithmus Triple DES im CBC Modus und kryptographischer Schl ssell ngen von 128 Bit 112 Bit effektiv die den folgen den Normen FIPS 46 3 FIPS 81 ISO IEC 10116 X9 52 entsprechen durchf hren FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute 6 Verfeinerung TSF m ssen 6 Zuweisung Liste der kryptographischen O
35. Informationsflusskontrolle SU Version 2 01 FMT_SMF 1 b Die TSF sollen folgende Funktionen bereitstellen die den EVG Administrator beim Erstellen von konsistenten Listen von In formationsflussregeln d h Listen von Informationsflussregeln die den Bedingungen C1 bis C4 gen gen vgl Abschnitt 2 5 1 unterst tzen a Funktionen die es dem EVG Administrator erm glichen sich jederzeit einen Uberblick ber die bisher eingestellten Informationsflussregeln zu verschaffen b Funktionen die es dem EVG Administrator gestatten Listen von Informationsflussregeln nach unterschiedlichen Kriteri en zu durchsuchen bzw zu sortieren c Funktionen die es dem EVG Administrator erm glichen zu erkennen ob Datenorte gleichzeitig in unterschiedlichen In formationsflussregeln benannt werden und um welche Da tenorte und Informationsflussregeln es sich hierbei handelt d Funktionen die die Eingabem glichkeiten beim Erstellen von Informationsflussregeln geeignet einschr nken FMT_SMF l c Die TSF sollen folgende Funktionen bereitstellen die den EVG Administrator beim Erstellen von plausiblen Listen von Infor mationsflussregeln unterst tzen a Funktionen die es dem EVG Administrator gestatten vor gefertigte Listen von Informationsflussregeln vollst ndig bzw teilweise zu bernehmen b Funktionen die es dem EVG Administrator erm glichen die St rke Widerstandsf higkeit der in den Informations flussvorschriften fest
36. PS 180 1 entsprechen durchf hren Abh ngigkeiten FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute 73 Verfeinerung TSF m ssen 74 TZuweisung Liste der kryptographischen Operationen 75 Zuweisung kryptographischer Algorithmus 7 Zuweisung kryptographische Schl ssell nge Zuweisung Liste der Normen 18 Verfeinerung TSF m ssen Zuweisung Liste der kryptographischen Operationen 80 Zuweisung kryptographischer Algorithmus 81 TZuweisung kryptographische Schl ssell nge 82 Zuweisung Liste der Normen 72 95 4 September 2002 BSI PP 0007 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 FCS_COP 1E Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP 1E 1 Abh ngigkeiten Die IT Umgebung muss das Erzeugen und das Pr fen von Si gnaturen f r UserData gem eines spezifizierten kryptogra phischen Algorithmus RSA und kryptographischer Schl ssel l ngen von mindestens 1024 Bit die den folgenden Normen PKCS 1 entsprechen durchf hren FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographis
37. Schutzbe d rfnis des IT Benutzers entspricht T Modification Der Bedrohung T Modification ist durch die Sicherung der Integrit t der TSF Data ent gegenzuwirken Dies wird durch die Sicherheitsziele O EVG Administration und O Impersonate gew hrleistet T Confidentiality Die Sicherheitsziele O EVG Administration und O Impersonate gew hrleisten dass der TOE EVG die Kenntnisnahme der ProtocolData auf die Rolle des EVG Administrator beschr nkt Im Zusammenspiel mit dem Sicherheitsziel OE Qualification stellt dies si cher dass andere Personen keine Kenntnis von den ProtocolData erlangen k nnen 80 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 T Impersonate Die korrekte Identifizierung und Authentisierung des EVG Administrator als Grundlage f r die Rollenzuweisung im TOE EVG sowie die Erhaltung der Korrektheit dieser Rollenzuweisung wird durch O Impersonate gew hrleistet Das Sicherheitsziel O Impersonate sichert die korrekte Zuweisung der Rolle IT Benutzer und im Zusam menwirken mit OE NoCapture die Erhaltung der Korrektheit dieser Rollenzuweisung T Support Der Bedrohung T Support ist durch Unterst tzung des EVG Administrator bei der Ad ministration des TOE EVG entgegenzuwirken Dies wird durch die Sicherheitsziele O Support und OE Qualification gew hrleistet P Appropriation Das Sicherheits
38. T 1 FDP_UIT 1 und FTP_ITC 1 sind nicht Bestandteil dieses Schutzprofils Solche Komponenten werden ben tigt wenn der kryptographische Betrieb nicht innerhalb des TOE EVG stattfindet Component TOE EVG Auf ihre Ber cksichtigung in diesem Schutzprofil kann jedoch verzichtet werden weil sie lediglich unterst tzend zur Durchsetzung des Sicherheitsziels O Disclosure beitragen und weil sie bei Integration des kryptographischen Betriebs in den TOE EVG daf r nicht erforderlich sind vgl Kapitel PP Anwendungs bemerkungen O Manipulation Die Komponenten FDP _IFC 1 FDP_IFF l FDP_ETC 1 und FDP_ITC 1 sichern dass angeforderte Informationsfl sse innerhalb des IT Systems und aus dem IT System her aus bzw in dieses hinein in bereinstimmung mit der vermittels der RuleData pr zi sierten Sicherheitspolitik kontrolliert werden Die Komponenten FMT MTD 1A und FMT MTD 3 sichern insbesondere die Zuverl ssigkeit der RuleData in Bezug auf die Vertr glichkeit der formulierten Informationsflussvorschriften Die von der IT Umgebung durch die Komponenten FCS_COP 1D FCS_COP IF zur Verf gung gestellten Signierverfahren garantieren dass gem FDP _IFF 1 zu ber ck sichtigende Informationsflussvorschriften die auf den Schutz der Integrit t und Au thentizit t von UserData zielen korrekt umgesetzt werden Die Komponente AVA_MSU 3 tr gt zur Durchsetzung der EVG Sicherheitspolitik bei indem sie den IT Benutzer bei der erforderlichen Inter
39. TSF m ssen sicherstellen dass nur konsistente Listen von Informationsflussregeln d h Listen die den Bedingungen C1 bis C4 gen gen akzeptiert werden Abh ngigkeiten ADV_SPM 1 Informelles EVG Sicherheitsmodell FMT MTD 1 Management der TSF Daten Erl uterung Der EVG Administrator kann die TSF Daten u a dadurch modifizieren dass er Informationsflussregeln formuliert und Listen von Informationsflussregeln ein stellt Die TSF Daten sind nur dann sicher wenn ausschlie lich konsistente Listen von Informationsflussregeln vom EVG Administrator eingestellt werden k nnen Andern falls kann aufgrund sich widersprechender Informationsflussvorschriften die Verf g barkeit von Benutzerdaten gef hrdet sein bzw k nnen Informationsfl sse nicht wie gew nscht kontrolliert werden Die Pr zisierung des zugrunde liegenden Konsistenzbe griffs findet sich in Abschnitt 2 5 1 4 September 2002 49 95 01345 BISS SU Version 2 01 FMT_SMF 1 Common Criteria Schutzprofil Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Specification of Management Functions Hierarchical to No other components FMT SMF 1 1 The TSF shall be capable of performing the following security management functions a Funktionen die den EVG Administrator beim Erstellen von Informationsflussregeln unterst tzen b Funktionen die den EVG Administrator beim Erstellen von konsistenten Listen von Informationsflussregeln unter st t
40. UAU I und FIA UID 1 dass andere als die Aktionen zum Durchsetzen der Prin zipien Pl bis P5 der SFP der benutzerbestimmbaren Informationsflusskontrolle nur f r den vom TOE EVG erfolgreich identifizierten und authentisierten EVG Administrator erlaubt werden FIA_UAU 1 Zeitpunkt der Authentisierung Ist hierarchisch zu Keinen anderen Komponenten FIA_UAU 1 1 Die TSF m ssen die Ausf hrung der Aktionen zum Durchsetzen der Prinzipien P1 bis P5 der SFP der benutzerbestimmbaren Informationsflusskontrolle f r den Benutzer erlauben bevor dieser als EVG Administrator authentisiert wird FIA_UAU 1 2 Die TSF m ssen erfordern dass jeder Benutzer erfolgreich als EVG Administrator authentisiert wurde bevor diesem jegliche andere TSF vermittelte Aktionen erlaubt werden Abh ngigkeiten FIA UID 1 Zeitpunkt der Identifikation 8 Zuweisung Liste der von den TSF vermittelten Aktionen Verfeinerung 30 Verfeinerung 44 95 4 September 2002 BSI PP 0007 FIA_UID 1 iD Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Zeitpunkt der Identifikation Ist hierarchisch zu Keinen anderen Komponenten FIA_UID 1 1 FIA_UID 1 2 Die TSF m ssen die Ausf hrung der Aktionen zum Durchsetzen der Prinzipien P1 bis P5 der SFP der benutzerbestimmbaren Informationsflusskontrolle f r den Benutzer erlauben bevor dieser als
41. VG Administrator beschr nken Abh ngigkeiten FMT_SMF 1 Specification of Management Functions FMT SMR 1 Sicherheitsrollen FMT_MTD 1B Management der TSF Daten Ist hierarchisch zu Keinen anderen Komponenten FMT_MTD IB 1 Die TSF m ssen die F higkeit zum Abfragen und Zur ck setzen von ProtocolData auf den EVG Administrator be schr nken Abh ngigkeiten FMT_SMF 1 Specification of Management Functions FMT SMR 1 Sicherheitsrollen 4 Auswahl Standardvorgabe ndern Abfragen Modifizieren L schen Zur cksetzen Zuweisung andere Operationen 41 Zuweisung Liste von TSF Daten 48 Zuweisung die autorisierten identifizierten Rollen Aufgenommen gem der Final Interpretation 065 der CC 5 TAuswahl Standardvorgabe ndern Modifizieren Abfragen L schen Zur cksetzen Zuweisung an dere Operationen gt Zuweisung Liste von TSF Daten Zuweisung die autorisierten identifizierten Rollen 5 Aufgenommen gem der Final Interpretation 065 der CC 48 95 4 September 2002 Tu u AU Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 FMT_MTD 3 Sichere TSF Daten Ist hierarchisch zu Keinen anderen Komponenten FMT_MTD 3 1 Die TSF m ssen sicherstellen dass nur sichere Werte f r TSF Daten akzeptiert werden Die Komponente wird durch folgendes Element verfeinert FMT MTD 3 a Die
42. _STM l Verl sslicher Zeitstempel Tabelle 9 Funktionale Sicherheitsanforderungen an die IT Umgebung Anwendungsbemerkung 15 Durch das vorliegende Schutzprofil soll der Hersteller in der Gestaltung des kryptographischen Schl sselmanagements nicht eingeschr nkt werden Daher sind die von den Iterationen der Komponente FCS_COP ausgehenden Abh n gigkeiten nicht aufgel st Es ist die Aufgabe des ST Autors geeignete Anforderungen an das kryptographische Schl sselmanagement zu erg nzen 4 September 2002 69 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 5 2 1 Klasse FCS Kryptographische Unterst tzung Die der nachfolgenden Iteration der Komponente FCS_COP 1 zugrunde liegende Aus wahl von kryptographischen Algorithmen folgt den vom BSI im Rahmen der SPHINX Spezifikation verpflichtend geforderten Vorgaben SPHINX Kap 11 Dar ber hinaus wird die Unterst tzung des kryptographischen Algorithmus Advanced Encryption Standard AES gefordert Neben der Ber cksichtigung der geforderten Mindest schl ssell ngen ist die Wahl aller Parameter Padding Wahl der Primfaktoren Zufalls zahlengenerator etc so zu gestalten dass die im Rahmen dieses Schutzprofils gefor derte Mindestst rkestufe SOF Mittel erreicht wird Anwendungsbemerkung 16 Zus tzlich zu den angegebenen k nnen weitere krypto graphische Algorithmen unterst tzt werden Da
43. aktion Information ber fehlge schlagene Erzeugung Pr fung elektronischer Signaturen Zertifikate und daraus abzu leitende Ma nahmen unterst tzt Anforderungskomponenten f r die vertrauensw rdige bertragung der UserData zu den kryptographischen Modulen wie etwa FDP_UCT 1 FDP_UIT 1 und FTP_ITC 1 sind nicht Bestandteil dieses Schutzprofils Solche Komponenten werden zwar ben tigt wenn der kryptographische Betrieb nicht innerhalb des TOE EVG stattfindet Compo nent TOE EVG Auf ihre Ber cksichtigung in diesem Schutzprofil kann jedoch ver zichtet werden weil sie lediglich unterst tzend zur Durchsetzung des Sicherheitsziels O Manipulation beitragen und weil sie bei Integration des kryptographischen Betriebs in den TOE EVG daf r nicht erforderlich sind vgl Kapitel PP Anwendungs bemerkungen O Support Die Komponenten FDP_IFC 1 FDP_IFF 1 FAU GEN 1 FAU_SEL 1 stellen sicher dass Entscheidungen ber angeforderte Informationsfl sse in bereinstimmung mit den in den RuleData getroffenen Festlegungen protokolliert werden FAU SAR 1 und FAU_SAR 3 garantieren dass der EVG Administrator die Protocol Data geeignet analysieren kann um darauf aufbauend die RuleData zu validieren Von der Komponente FPT_STM 1 werden die f r die Analyse notwendigen zeitlichen In 84 95 4 September 2002 AO chere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Versio
44. alifikation e Ein EVG Administrator hat die Bef higung den TOE EVG zu administrieren Er hat insbesondere die Bef higung Informati onsflussregeln zu definieren und Protokolldaten auszuwerten Er behandelt die in den Protokollaufzeichnungen enthaltenen In formationen vertraulich e Ein IT Administrator hat die Bef higung den TOE EVG zu installieren Erl uterung Es sei hier auf einige zentrale Aspekte hingewiesen Ein EVG Administrator muss wissen wie die RuleData festzulegen sind damit die UserData in geeigneter Weise etwa in bereinstimmung mit gesetzlichen Regelungen gesch tzt werden Dar ber hinaus muss ein EVG Administrator in der Lage sein die Protocol Data auszuwerten 4 September 2002 31 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 OE NoCapture Laufende Sitzungen eines IT Benutzers k nnen von ei ner Person die in dieser Rolle nicht agieren darf IT Administrator oder unautorisierter Benutzer nicht bernommen werden OE NoVirus B sartige Software tritt nicht als Bestandteil von kontrol lierten Subjekten in Aktion Anwendungsbemerkung 12 M glicherweise kann der TOE EVG einen Beitrag zur Durchsetzung des Sicherheitsziels OE NoVirus leisten bspw k nnte er bei erkennbarer Aktivit t von b sartiger Software geeignete Ma nahmen zur Verhinderung von uner w nschten Informationsfl ssen ergreifen vgl O InformationFlo
45. at dass z B durch den TOE EVG verschl sselte Daten bei der Deaktivierung wieder zu entschl sseln sind Insbesondere handelt es sich also beim L schen des TOE EVG Programmcodes nicht um eine Deaktivierung da in diesem Fall die Verschl sselungen erhalten bleiben Des Weiteren be deutet dies dass eine Deinstallation des TOE EVG eine vorher durchzuf hrende Deaktivierung einschlie en sollte EVG Administrator Rolle die zur Administration des TOE EVG und zum Lesen der ProtocolData berechtigt EVG Sicherheitspolitik Die Gesamtheit der Funktionalen Sicherheits politiken definiert die EVG Sicherheitspolitik Flag Bin res Attribut das den Wert True oder False annehmen kann Funktionale Sicherheitspolitik Eine Teilmenge der EVG Sicherheits politik die innerhalb ihres Anwendungsbereichs die zu kontrol lierenden Objekte Informationen Subjekte und Operationen festlegt 4 September 2002 91 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Informationen Mit Objekten verkn pfte Daten Informationsfluss Ein Fluss von Informationen als Folge einer durch ein Subjekt ausgel sten Operation Betrachtete Operationen sind das Le sen oder Schreiben von Informationen aus in Objekten Informationsflussregel Regeln auf Basis derer durch den TOE EVG entschieden wird ob ein angeforderter Informationsfluss zu erlauben bzw zu verweigern ist Sie l
46. ata verwenden soll um die Qualit t der festgelegten Informationsflussregeln beurteilen zu k nnen muss er von den ProtocolData Kenntnis erhalten k nnen O Impersonate Der TOE EVG stellt sicher dass e nur berechtigte Personen in der Rolle EVG Administrator agie ren k nnen e die Rollen IT Benutzer und IT Administrator korrekt zugewie sen werden e der EVG Administrator die Zuweisung der Rolle IT Benutzer autorisiert bevor in dieser Rolle agiert werden kann e die Rolle IT Administrator und eine der Rollen IT Benutzer bzw EVG Administrator nicht gleichzeitig agieren k nnen Erl uterung Die Vertrauensw rdigkeit der EVG Administrationst tigkeit erfordert eine Legitimation durch den TOE EVG als Basis f r die Rollenzuweisung Zus tzlich muss der TOE EVG sicherstellen dass die Privilegien der Rolle EVG Administrator nicht w hrend einer laufenden EVG Administrationssitzung von hierf r nicht berech tigten Personen bernommen werden k nnen Da nicht gefordert ist dass die IT Umgebung eine Benutzeridentifikation zur Verf gung stellt soll die Rolle IT Benutzer erst zugewiesen werden wenn dies durch einen EVG Administrator explizit autorisiert wird Ferner ist davon auszugehen dass ein IT Administrator insbesondere im Fall einer Fernadministration des IT Systems kein Interesse an der Sicherheitsleistung des TOE EVG hat Daher soll w hrend der IT Administrationst tigkeit weder in der Rolle IT Benutzer noch in der Rolle
47. ationsflusskontrolle zur Beschr nkung der F higkeit zum n dern der Standardvorgaben des Sicherheitsattributs Kontroll status eines Objekts auf den EVG Administrator durchsetzen Abh ngigkeiten FDP _ACC 1 Teilweise Zugriffskontrolle oder FDP_IFC 1 Teilweise Informationsflusskontrolle FMT_SMF 1 Specification of Management Functions FMT SMR 1 Sicherheitsrollen 35 Auswahl Feststellen des Verhaltens von Deaktivieren Aktivieren Modifizieren des Verhaltens Zuweisung Liste der Funktionen 37 Zuweisung die autorisierten identifizierten Rollen 38 Zuweisung SFP f r Zugriffskontrolle SFP f r Informationsflusskontrolle 3 Auswahl Standardvorgabe ndern Abfragen Modifizieren L schen Zuweisung andere Optionen Zuweisung Liste der Sicherheitsattribute Zuweisung die autorisierten identifizierten Rollen Aufgenommen gem der Final Interpretation 065 der CC 46 95 4 September 2002 Common Criteria Schutzprofil BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU FMT_MSA 3 Initialisierung statischer Attribute Ist hierarchisch zu Keinen anderen Komponenten g Sichere Software 01345 BISS SU Version 2 01 FMT MSA 3 1 Die TSF m ssen die SFP f r die benutzerbestimmbare Informa tionsflusskontrolle zur Bereitstellung von vorgegebenen Stan dardwerten mit freiz gigen Eigenschaften f r Sicher heitsattribute die zur Durchsetzung der SFP benutzt werden
48. bedrohungen 3 4 Organisatorische Sicherheitspolitiken Sicherheitsziele 4 1 Sicherheitsziele f r den TOE EVG 4 2 Sicherheitsziele f r die Umgebung 4 September 2002 g Sichere Software 01345 BISS SU Version 2 01 oo N Na 10 11 12 12 17 18 21 21 21 22 22 22 23 24 25 25 26 27 28 28 31 3 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 5 TT Sicherheitsanforderungen 33 5 1 EVG Sicherheitsanforderungen 34 Mindest St rkestufe der Funktionen 34 5 1 1 Funktionale Sicherheitsanforderungen an den TOE EVG 34 5 1 1 1 Klasse FAU Sicherheitsprotokollierung 35 5 1 1 2 Klasse FDP Schutz der Benutzerdaten 39 5 1 1 3 Klasse FIA Identifikation und Authentisierung 44 5 1 1 4 Klasse FMT Sicherheitsmanagement 46 5 1 1 5 Klasse FTA EVG Zugriff 53 5 1 2 Anforderungen an die Vertrauensw rdigkeit des TOE EVG 54 5 1 2 1 Klasse ACM Konfigurationsmanagement 55 5 1 2 2 Klasse ADO Auslieferung und Betrieb 56 5 1 2 3 Klasse ADV Entwicklung 57 5 1 2 4 Klasse AGD Handb cher 60 5 1 2 5 Klasse ATE Testen 63 5 1 2 6 Klasse AVA Schwachstellenbewertung 65 5 2 Sicherheitsanforderungen an die IT Umgebung 69 5 2 1 Klasse FCS Kryptographische Unterst tzung 70 5 2 2 Klasse FPT Schutz der TSF 75 6 _PP Anwendungsbemerkungen 77 7 Erkl rung 78 7 1 Erkl rung der Sicherheitsziele 78 7 2 Erkl rung der Sicherheitsanforderungen 82 7 2 1 Erkl
49. bei sollen die Empfehlungen des BSI insbesondere die regelm ig im Bundesanzeiger ver ffentlichten Geeigneten Kryp toalgorithmen ber cksichtigt werden Beispielsweise kann das im Rahmen der SPHINX Spezifikation empfohlene Schema RSAES OAEP SPHINX Ab schnitt 11 4 1 2 erg nzt werden Anwendungsbemerkung 17 Alle vom TOE EVG verwendeten kryptographischen Algorithmen m ssen grunds tzlich die Mindestst rkestufe SOF Mittel erreichen Um dieser Forderung gerecht zu werden kann es notwendig sein einzelne der in diesem Schutzprofil geforderten kryptographischen Algorithmen durch andere zu ersetzen bzw deren Parameter geeignet anzupassen Dieser Fall tritt ein wenn bedingt durch den technischen Fortschritt einer der hier geforderten kryptographischen Algorithmen nicht mehr die St rkestufe SOF Mittel erreicht Bei der Auswahl von Alternativen sol len die jeweils aktuellen Empfehlungen des BSI ber cksichtigt werden bergangswei se kann es erforderlich sein kryptographische Algorithmen die nicht mehr die St r kestufe SOF Mittel erreichen weiterhin zu unterst tzen In einem solchen Fall mu deren Verwendung durch den TOE EVG standardm ig abgeschaltet sein Begleitet vom einem deutlichen Hinweis auf die Sch che des Algorithmus soll zur Freischaltung ein expliziter Eingriff des EVG Administrators erforderlich sein 70 95 4 September 2002 BSI PP 0007 g Sichere Software Common Criteria Schutzprofil 01345 B
50. chen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute FCS_COP IF Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP IF l Abh ngigkeiten Die IT Umgebung muss das Erzeugen und das Pr fen von Si gnaturen f r UserData gem eines spezifizierten kryptogra phischen Algorithmus SHA 1 mit RSA und kryptographischer Schl ssell ngen von mindestens 1024 Bit die den folgenden Normen PKCS 1 FIPS 180 1 a entsprechen durchf hren FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute 83 Verfeinerung TSF m ssen 4 Zuweisung Liste der kryptographischen Operationen 35 Zuweisung kryptographischer Algorithmus 3 TZuweisung kryptographische Schl ssell nge 37 TZuweisung Liste der Normen 88 Verfeinerung TSF m ssen Zuweisung Liste der kryptographischen Operationen 0 Zuweisung kryptographischer Algorithmus Zuweisung kryptographische Schl ssell nge Zuweisung Liste der Normen 4 September 2002 73 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Diese Seite ist absichtlich leer gelassen 74 95 4 September 2002 iD Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Be
51. chzusetzen Der Wert Strong gibt an dass die in dem betreffenden Objekt enthaltenen Informationen zu sch tzen sind Das Sicherheitsattribut C O ist unver nderlich und statisch an das Objekt O und damit an die darin befindliche Information gebunden Es hat den Wert Strong falls sich das Objekt O an einem zu kontrollierenden Datenort D befindet anderenfalls hat das Si cherheitsattribut C O den Wert Weak In diesem Zusammenhang ist ein Datenort D ein zu kontrollierender Datenort falls in einer spezifischsten Informationsflussregel f r D das Kontrollflag CF den Wert True hat Illustration Vorausgesetzt sei dass die Liste der Informationsflussregeln R1 bis R3 aus Abbildung 2 konsistent ist Es sei nun ein Objekt O betrachtet das am Datenort D3 aufbewahrt wird Der Kontrollstatus von O darf nicht davon abh ngen ber welche der Regeln R2 und R3 die Informationsfl sse mit O kontrolliert werden Anderenfalls w re keine konsistente Durchsetzung einer Sicherheitspolitik f r Informationsflusskontrolle m glich Die Definition des Sicherheitsattributs C O legt fest wie mit unterschiedli chen Angaben in berlappenden Regeln im betrachteten Beispiel R2 und R3 zu ver fahren ist Wenn bspw CF R2 True und CF R3 False gesetzt ist dann ist unabh ngig davon ob R2 oder R3 anzuwenden ist C O Strong Zur Verein fachung der Administration des TOE EVG und zur fr hzeitigen Erkennung uner w nsch
52. dem angenommenen geringen Bedrohungspotential berein Zuweisungsoperationen Alle Zuweisungsoperationen insbesondere die Festlegung der durchzusetzenden Si cherheitspolitik FDP _ETC 1 FDP_IFC l FDP_IFF 1 FDP_ITC 1 FIA_UAU FIA_UID 1 FMT MSA 1 FMT_MSA 3 und FMT_SMF 1 sind miteinander und mit den Bedingungen f r die Rollenzuweisung FIA_UAU 1 FIA_UID 1 FIA_UID 2 und FMT_SMR 2 abgestimmt und spezifizieren ganzheitlich eine in sich konsistente Si cherheitsleistung 4 September 2002 89 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Iterationsoperationen Die Iteration der Komponente FMT_MTD ist notwendig zur Unterscheidung der Ru leData von den ProtocolData Die iterierten Komponenten werden auf konsistente Wei se zur Aufl sung der Abh ngigkeiten verwendet s Kap 7 2 2 Die gleichzeitige Verwendung der hierarchischen Komponenten FIA UID 1 und FIA_UID 2 im TOE EVG ist notwendig da sie zur Zuweisung unterschiedlicher Rol len mit unterschiedlichen Befugnissen verwendet werden Die Komponenten der Fami lie FIA_UID werden auf konsistente Weise zur Aufl sung der Abh ngigkeiten von FMT _SMR 2 verwendet s Kap 7 2 2 und Kap 5 1 1 3 Die Iteration der Komponente FCS_COP 1 ist notwendig zur Unterscheidung der ver schiedenen kryptographischen Algorithmen Verfeinerungsoperationen Alle Verfeinerungsoperationen sind abgestimmt mit e der Verw
53. den TOE EVG geleitet werden A Selection Dem TOE EVG werden von der IT Umgebung verl ssliche Zeitstempel und korrekte Informationen zur Identifizierung angefor derter Informationsfl sse also Subjektidentit t Operation und Da tenort bereitgestellt A Qualification Ein EVG Administrator und ein IT Administrator verf gen ber eine angemessene Qualifikation e Fin EVG Administrator hat die Bef higung den TOE EVG zu administrieren Er hat insbesondere die Bef higung Informati onsflussregeln zu definieren und Protokolldaten auszuwerten Er behandelt die in den Protokollaufzeichnungen enthaltenen In formationen vertraulich e Fin IT Administrator hat die Bef higung den TOE EVG zu installieren A NoCapture Laufende Sitzungen eines IT Benutzers k nnen von einer Person die in dieser Rolle nicht agieren darf IT Administrator oder unautorisierter Benutzer nicht bernommen werden Erl uterung Die Annahme A NoCapture gew hrleistet dass eine einmal begonnene Sitzung eines IT Benutzers nicht von unberechtigten Personen potentiellen Angreifern fortgef hrt werden kann Damit dies sowohl innerhalb wie au erhalb der regul ren Be triebszeiten der IT Umgebung erreicht werden kann m ssen vorhandene Sicherheits mechanismen bspw Sperren der Sitzung oder Ausschalten des IT Systems zweckm Big eingesetzt werden Im Rahmen dieses Schutzprofils werden die zur Verf gung zu stellenden Sicherheitsmechanismen nicht genau
54. des Nachwei ses erf llen 5 1 2 2 Klasse ADO Auslieferung und Betrieb ADO_DEL 1 Auslieferungsprozeduren Abh ngigkeiten Keine Abh ngigkeiten Elemente zu Entwickleraufgaben ADO_DEL 1 1D Der Entwickler muss die Auslieferungsprozeduren des TOE EVG oder von Teilen des TOE EVG an den Benutzer dokumentieren ADO DEL 1 2D Der Entwickler muss die Auslieferungsprozeduren anwenden Elemente zu Inhalt und Form des Nachweises ADO _DEL 1 1C Die Auslieferungsdokumentation muss alle Prozeduren be schreiben die beim Versand von Versionen des TOE EVG zum Einsatzort beim Benutzer zur Erhaltung der Sicherheit er forderlich sind Elemente zu Evaluatoraufgaben ADO_DEL 1 1E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen 56 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 ADO_IGS 1 Installations Generierungs und Anlaufprozeduren Abh ngigkeiten AGD_ADM I Systemverwalterhandbuch Elemente zu Entwickleraufgaben ADO IGS 1 1D Entwickler muss die f r die sichere Installation und Generierung sowie den sicheren Anlauf des TOE EVG erforderlichen Pro zeduren dokumentieren Elemente zu Inhalt und Form des Nachweises ADO IGS 1 1C The installation generation and start up documentation shall de scribe all the step
55. e T Unaware Aus Unkenntnis bzw Fahrl ssigkeit eines IT Benutzers wer den zur Verf gung stehende Verfahren zum Schutz der Integrit t Authentizit t und Vertraulichkeit von UserData gar nicht bzw nur un zureichend eingesetzt Erl uterung Diese Bedrohung beschreibt die Situation in der einem IT Benutzer zwar Mechanismen zur Verf gung stehen um seine UserData vor unberechtigtem Zu griff zu sch tzen er diese aber nicht einsetzt sei es aus Unkenntnis ber die verf gba ren M glichkeiten oder weil ihm die Anwendung der Schutzmechanismen zu aufwen dig oder kompliziert erscheint 3 3 3 Sekund rbedrohungen T Modification Ein IT Administrator ein IT Benutzer oder ein unautori sierter Benutzer ggf unter Benutzung b sartiger Software modifi ziert die TSF Data derart dass e festgelegte Sicherheitspolitiken umgangen werden e die Integrit t und Vertraulichkeit von UserData verloren geht Erl uterung Ein IT Administrator ein IT Benutzer ein unautorisierter Benutzer ggf unter Benutzung b sartiger Software k nnten bspw die RuleData derart ndern dass eine von einem EVG Administrator festgelegte Sicherheitspolitik nicht l nger umge setzt wird 26 95 4 September 2002 u Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 T Confidentiality Ein IT Administrator ein IT Benutzer oder ein unauto risierter Benutzer er
56. e lich des Betriebs nach Fehlern oder Fehlbedienung und deren Folgen f r und Auswirkungen auf die Aufrechterhaltung eines sicheren Betriebs identifizieren AVA_MSU 3 2C Die Handb cher m ssen vollst ndig klar konsistent und ver n nftig sein AVA_MSU 3 3C Die Handb cher m ssen alle Annahmen ber die vorgesehene Einsatzumgebung auff hren AVA_MSU 3 4C In den Handb chern m ssen alle Anforderungen an die externen Sicherheitsma nahmen einschlie lich der externen organisato rischen materiellen und personellen Kontrollen aufgef hrt sein AVA_MSU 3 5C Die Analysedokumentation muss nachweisen dass die Handb cher vollst ndig sind Elemente zu Evaluatoraufgaben AVA_MSU 3 1IE Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen AVA_MSU 3 2E Der Evaluator muss alle Konfigurations und Installationsproze duren und andere ausgew hlte Prozeduren wiederholen um zu best tigen dass der TOE EVG unter alleiniger Verwendung der mitgelieferten Handb cher sicher konfiguriert und benutzt werden kann AVA MSU 3 3E Der Evaluator muss feststellen dass der Gebrauch der Handb cher erlaubt alle unsicheren Zust nde zu entdecken AVA_MSU 3 4E Der Evaluator muss best tigen dass die Analysedokumentation zeigt dass die Handb cher den sicheren Betrieb in allen Be triebsarten des TOE EVG sicherstellt AVA_MSU 3 5E Der Evaluator muss u
57. e bestimmt sind Es muss genau fest gelegt werden wer die Daten wie mit welchen Hilfsmitteln in wel chen Abst nden und zu welchen Zwecken auswerten darf 4 September 2002 27195 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 4 Sicherheitsziele Zu Beginn des Kapitels werden die Sicherheitsziele den Leistungsmerkmalen des TOE EVG zugeordnet f r deren Realisierung sie von Relevanz sind Leistungsmerkmale Sicherheitsziele Abweisen von Informationsfl ssen O InformationFlow O Impersonate O Suppott Informationsflusskontrolle Zweck O EVG Administration bindung Sicherung stattfindender Informati O InformationFlow O Disclosure onsfl sse Vertraulichkeit Integrit t O Manipulation O Support O Impersonate Authentizit t OE Disclosure OE Manipulation Automatische und transparente An O InformationFlow O Support Protokollierung stattgefundener und O Support O EVG Administration abgewiesener Informationsfl sse Tabelle 4 Zuordnung zwischen Leistungsmerkmalen und Sicherheitszielen Anwendungsbemerkung 9 Die Zuordnung von Leistungsmerkmalen zu Sicherheits zielen ist wie bereits deren Zuordnung zu Bedrohungen von informativem Charakter Sie soll dazu beitragen die Funktionalit t des TOE EVG zu veranschaulichen F r den ST Autor stehen die nachfolgend definierten Sicherheitsziele im Zentrum der Betrach tung Diese sind f r die Abl
58. e eine derartige Kommunikation abh ren und sich somit sensitive UserData beschaffen T Spy Ein IT Administrator oder ein unautorisierter Benutzer l st ggf unter Benutzung b sartiger Software einen Informationsfluss aus um in Bezug auf Vertraulichkeit sch tzenswerte UserData auszusp hen Erl uterung Diese Bedrohung ist analog zur Bedrohung T Read zu verstehen Im Unterschied zu dieser geht es aber dabei nicht um das Abh ren von ungesch tzten In formationskan len sondern um das Lesen von gespeicherten UserData z B auf Fest platte oder Diskette 4 September 2002 25 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 T Manipulate In Bezug auf Integrit t bzw Authentizit t sch tzenswerte UserData werden von einem unautorisierten Benutzer w hrend eines stattfindenden Informationsflusses unbemerkt manipuliert Erl uterung Diese Bedrohung zielt in erster Linie auf die Integrit t und Authentizit t von UserData und nicht auf ihre Vertraulichkeit UserData sollten selbst wenn sie an sich nicht vertraulich sind vor unbemerkter Manipulation gesch tzt werden k nnen T Write Ein IT Administrator oder ein unautorisierter Benutzer l st ggf unter Benutzung b sartiger Software einen Informationsfluss aus um in Bezug auf Integrit t bzw Authentizit t sch tzenswerte UserData unbemerkt zu manipulieren Erl uterung Analog zur Bedrohung T Manipulat
59. e von disjunkten Verantwortungsbereichen oder der Pr zisierung hierarchischer Beziehungen zwischen den unterschiedlichen Vari anten der Rolle EVG Administrator Anwendungsbemerkung 6 Der ST Autor kann weitere Rollen einf hren etwa einen EVG Revisor zur Herstellung der Revisionsf higkeit des TOE EVG Ein EVG Revisor sollte Protokolldaten durchsehen auswerten und zur cksetzen k nnen In die sem Fall sollte ein EVG Administrator nur die Berechtigung zur Auswertung der Proto kolldaten ber erlaubte bzw verweigerte Informationsfl sse erhalten 4 September 2002 21 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 3 1 2 Werte Bei den zu sch tzenden Werten wird zwischen Prim rwerten und Sekund rwerten un terschieden Prim rwerte sind Werte deren Schutz die eigentliche Aufgabe des TOE EVG ist Sekund rwerte sind zwar sch tzenswert existieren allerdings ohne den TOE EVG gar nicht Sind die Sekund rwerte ungesch tzt kann nicht garantiert wer den dass der TOE EVG in der Lage ist die Prim rwerte zu sch tzen 3 1 2 1 Prim rwerte UserData Zu den UserData geh ren die vom IT Benutzer im Rahmen sei ner T tigkeit verarbeiteten Daten Sie sind sowohl innerhalb des IT Systems als auch w hrend der bertragung zu sch tzen 3 1 2 2 Sekund rwerte TSF Data Zu den TSF Data geh ren ProtocolData Die ProtocolData umfassen alle vom TOE EVG
60. eakti vieren kann Die von der Umgebung bereitgestellten Komponenten FPT_SEP 1 und FPT_RVM 1 unterst tzen dieses Die Komponenten FIA_UID 1 FIA_UAU I FTA_SSL 3 FMT_SMR 2 FMT _ MSA 1 und FMT_MTD IA unterst tzt von FPT SEP 1 sichern dass die f r die Politikent scheidungen wichtigen RuleData und Sicherheitsattribute nur von der Rolle des EVG Administrator ver ndert werden O Impersonate Durch die Komponenten FIA_UID 1 FIA UAU 1 FTA_SSL 3 und FMT _ SMR 2 ist sichergestellt dass nur berechtigte Personen in der Rolle EVG Administrator agieren k nnen Die Korrektheit der Rollenzuweisung f r IT Benutzer und IT Administrator wird durch die Komponenten FIA_UID 2 und FMT_SMR 2 gew hrleistet Die Kompo nente FMT SMR 2 stellt sicher dass die Rolle IT Administrator und eine der Rollen IT Benutzer bzw EVG Administrator nicht gleichzeitig agieren k nnen 4 September 2002 85 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 OE Disclosure Die IT Umgebung stellt gem FCS_COP IA FCS_COP IC geeignete krypto graphische Funktionen speziell Verschl sselungsverfahren zur Verf gung mit denen UserData derart verschl sselt werden k nnen dass sie sowohl innerhalb des IT Systems als auch w hrend der bertragung vor unberechtigter Kenntnisnahme gesichert sind OE Manipulation Die IT Umgebung stellt gem FCS_COP ID FCS_COP IF geeignete Hashver
61. egen u a fest welche Subjekte Informa tionen in Objekte an kontrollierten Datenorten schreiben bzw Infor mationen aus Objekten an kontrollierten Datenorten lesen d rfen und welche nformationsflussvorschriften bei einem Informationsfluss zu ber cksichtigen sind Informationsflussvorschrift Vorschrift die die Art und die Reihenfolge der Operationen festlegt die auszuf hren sind bevor Information aus einem Objekt gelesen bzw in ein Objekt geschrieben wird IT Administrator Rolle die zum Administrieren des T Systems und zum Installieren des TOE EVG berechtigt IT Benutzer Rolle die zum Benutzen des T Systems berechtigt IT System Das Gesamtsystem bestehend aus Hard und Softwarekom ponenten auf dem der TOE EVG installiert ist und auf dem die EVG Sicherheitspolitik durchgesetzt werden soll Kontrollierter Datenort Datenort f r den es eine spezifischste Informa tionsflussregel gibt in der das Kontrollflag gesetzt ist Konsistente Liste von Informationsflussregeln Liste von Informations flussregeln mit speziellen Eigenschaften die u a garantieren dass es zu jedem Datenort nur eine spezifischste Informationsflussregel gibt und dass Informationsflussvorschriften einander nicht widersprechen Objekte Passive Einheiten die Informationen enthalten k nnen und Ziel von Operationen sind die von Subjekten ausgef hrt werden ProtocolData Die ProtocolData umfassen alle vom TOE EVG proto kollierten Ereignisse Hierzu
62. ei stungsmerkmale zur Abwehr welcherart Bedrohungen beitragen sollen Dar ber hinaus wird jede aufgef hrte Bedrohung ihrem Urheber zugeordnet In Tabelle 3 werden die folgende Abk rzungen verwendet IT A dministrator IT B enutzer EVG A dmin istrator Un autorisierter Be nutzer T Info rmationFlow T Confi dentiality T Mani pulate T Unaw are T Imp ersonate T Sup port und T Modi fication Leistungsmerkmale Urheber der Bedrohungen Abweisen von Informationsfl ssen T Spy T Info T Spy Informationsflusskontrolle Zweckbin T Write T Imp T Write dung T Imp T Imp T Mani T Confi fl sse Vertraulichkeit Integrit t Au T Confi thentizit t T Read Automatische und transparente An T Info wendung von Sicherheitsfunktionen T Unaw T Mani Unterst tzung bei der Administration T Modi Protokollierung stattgefundener und T Spy T Info abgewiesener Informationsfl sse T Write Tabelle 3 Zuordnung zwischen Leistungsmerkmalen und Bedrohungen Sicherung stattfindender Informations T Confi T Info BE T Read Anwendungsbemerkung 8 Die Zuordnung von Leistungsmerkmalen zu Bedrohun gen ist von informativem Charakter Sie soll dazu beitragen die Funktionalit t des TOE EVG zu veranschaulichen F r den ST Autor stehen die nachfolgend definierten Bedrohungen ebenso wie die Annahmen und organisatorischen Sicherheitspolitiken im Zentrum der Betrachtung Diese sind f r die Ableitung der Sicherheitsziele und der IT Sicherhei
63. eich f r die TOE EVG Ausf hrung aufrechterhalten der die TSF vor Eingriffen und Manipulationen durch nichtvertrauensw rdige Subjekte sch tzt FPT_SEP 1 2 Die IT Umgebung muss die Separierung zwischen den Sicher heitsbereichen von Subjekten im TSC durchsetzen Abh ngigkeiten Keine Abh ngigkeiten Erl uterung FPT_SEP 1 dient dem Zweck zu verhindern dass potentielle Angreifer den internen Zustand des TOE EVG derart modifizieren k nnen dass die TSF um gangen deaktiviert verf lscht oder au er Kraft gesetzt werden FPT_STM 1 Verl sslicher Zeitstempel Ist hierarchisch zu Keinen anderen Komponenten FPT_STM 1 1 Die IT Umgebung soll einen verl sslichen Zeitstempel f r den Gebrauch durch die TSF bereitstellen Abh ngigkeiten Keine Abh ngigkeiten Erl uterung Die Anforderungen FPT_STM 1 und FPT_ITT l stellen sicher dass ei nerseits verl ssliche Zeitstempel bereitgestellt werden und andererseits Zeitstempel so wie zur Identifikation von angeforderten Informationsfl ssen wesentliche Informationen w hrend der bertragung zum TOE EVG gegen Modifizierung gesch tzt sind Es muss sichergestellt werden dass ein IT Administrator trotz seiner prinzipiellen M g lichkeiten das IT System zu manipulieren weder die Bereitstellung eines verl sslichen Zeitstempels noch den Schutz von Informationen gegen Modifizierung w hrend der bertragung zum TOE EVG bei der in diesem PP geforderten Mindestst rke
64. eignet zu sch tzen sind seitens des TOE EVG zus tzliche Mecha nismen zur Verf gung zu stellen ag Verfeinerung 4 September 2002 53 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 5 1 2 Anforderungen an die Vertrauensw rdigkeit des TOE EVG Tabelle 8 bietet eine bersicht ber die Anforderungen an die Vertrauensw rdigkeit welche vom TOE EVG erf llt werden m ssen Sie entsprechen der Vertrauensw r digkeitsstufe EAL 2 aus Teil 3 der Common Criteria augmentiert mit der Komponente AVA_MSU 3 ACM _CAP 2 Konfigurationsteile ADO_DEL l Auslieferungsprozeduren 6 ADV_RCR l Informeller Nachweis der bereinstimmung 8 AGD USR Benutzerhandbuch _ 9 _ ATE COV 1 Nachweis der Testabdeckung ATE _FUN 1 11 ATE IND 2 Unabh ngiges Testen Stichprobenartig AVA_MSU 3 Analysieren und Testen auf unsichere Zust nde AVA_SOF l St rke der EVG Sicherheitsfunktionen AVA VLA l Schwachstellenanalyse des Entwicklers Tabelle 8 Anforderungen an die Vertrauensw rdigkeit des TOE EVG 54 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 1 2 1 Klasse ACM Konfigurationsmanagement ACM_CAP 2 Konfigurationsteile Abh ngigkeiten Keine Abh ngigkeiten Elemente zu Entwickleraufgaben ACM CAP
65. eitung der IT Sicherheitsanforderungen ma geblich 4 1 Sicherheitsziele f r den TOE EVG O InformationFlow Der TOE EVG kontrolliert Informationsfl sse ge m der festgelegten EVG Sicherheitspolitik Hierzu gew hrleistet der TOE EVG dass e in Bezug auf Vertraulichkeit Integrit t bzw Authentizit t zu sch tzende Informationen nur unter Einhaltung der EVG Sicherheitspolitik den kontrollierten Bereich verlassen k nnen e dem Zweckbindungsprinzip unterliegende UserData nur von da f r vorgesehenen Subjekten verarbeitet werden k nnen e Informationsfl sse mit kontrollierten Datenorten nur von einem EVG Administrator und von einem IT Benutzer ausgel st wer den k nnen Erl uterung Der TOE EVG muss es gestatten Informationsflussregeln festzulegen Die Durchsetzung dieser Informationsflussregeln ist zu erzwingen Hierzu ist es u a erforderlich dass der TOE EVG Subjekte und Objekte identifizieren kann 28 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Anwendungsbemerkung 10 Die Formulierung von O InformationFlow legt die Art der kontrollierten Informationsfl sse nicht fest Die Pr zisierung ist Aufgabe des ST Autors Damit soll dem Hersteller m glichst viel Flexibilit t in Bezug auf Einsatzgebiet und Konstruktion des TOE EVG einger umt werden O Disclosure Unter Verwendung von Verschl
66. endung der Komponenten f r die IT Umgebung s Abschnitt 5 2 und e den komplexen Managementanforderungen f r die durchzusetzende Sicherheits politik s Klassen FIA und FMT 7 2 4 Erkl rung der Anforderungen an die Vertrauensw rdigkeit Die Anforderungen an die Vertrauensw rdigkeit gem der gew hlten Evaluierungsstu fe EAL 2 sind angemessen f r den TOE EVG weil davon ausgegangen wird dass die Sicherheitsleistung h chstens gegen offensichtliche Penetrationsangriffe sch tzen soll Die Augmentierung mit der Komponente AVA_MSU 3 erm glicht die Bewertung der besonderen Anforderungen an die Administration des TOE EVG vgl Verfeinerung der Komponente FMT_SMF 1 Durch die Wahl der vorgegebenen Evaluierungsstufe EAL 2 ist die Aufl sung der Ab h ngigkeiten der Anforderungen an die Vertrauensw rdigkeit automatisch gegeben F r die Komponente AVA_MSU 3 sind keine zus tzlichen Abh ngigkeiten gefordert 7 2 5 Erkl rung der Mindest St rkestufe der Funktionen Nach dem Stand der Kunst stehen Mechanismen im Bereich Kryptographie und Au thentisierung zur Verf gung die die St rkestufe SOF Mittel erreichen Obwohl die Si cherheitsleistung des TOE EVG h chstens gegen offensichtliche Penetrationsangriffe sch tzen soll muss insbesondere ber cksichtigt werden dass verschl sselte und oder signierte Datenbest nde ber lange Zeitr ume aufbewahrt werden Das Postulat SOF Mittel f r die Mindest St rkestufe der Funktionen ist u
67. enten dieser Klasse wird die Erlaubnis zur Ausf hrung von TSF vermittelten Aktionen f r rechtm ige Benutzer geregelt Insbesondere sind hiervon die Aktionen zum Durchsetzen der Prinzipien Pl bis P5 der SFP der benutzerbe stimmbaren Informationsflusskontrolle betroffen Diese Aktionen entsprechen der re gul ren Benutzung des TOE EVG Der Benutzer fordert Informationsfl sse an und die TSF f hren Aktionen zur Kontrolle dieser Informationsfl sse aus um die Sicherheit sprinzipien P1 bis P5 durchzusetzen Um die angestrebte Transparenz zu gew hrleisten sollen rechtm ige Benutzer in der Lage sein das IT System wie gewohnt zu verwenden Die Kontrolle der Informations fl sse muss daher auf der Grundlage einer Identifikation und Rollenzuweisung vgl FMT SMR 2 stattfinden k nnen die keine eigenst ndige Authentisierung durch den TOE EVG verlangt Diese Transparenz gilt jedoch nicht f r die Freigabe von krypto graphischen Schl sseln insbesondere wenn der kryptographische Betrieb in andere Produkte ausgelagert ist Auf der Grundlage der expliziten Autorisierung durch den EVG Administrator weist der TOE EVG den Benutzern die Rollen IT Benutzer bzw IT Administrator zu vgl FMT_SMR2 Die nachfolgend aufgef hrte Komponente FIA_UID 2 stellt sicher dass die Ausf hrung von TSF vermittelten Aktionen erst erlaubt ist nach dem diese Rollen zuweisung durch den TOE EVG erfolgte Weiterhin gew hrleisten die Komponenten FIA_
68. er Entwickler muss eine Menge von Betriebsmitteln bereit stellen die denen entsprechen die beim funktionalen Testen der TSF durch den Entwickler verwendet wurden Elemente zu Evaluatoraufgaben ATE IND 2 1E ATE IND 2 2E ATE_IND 2 3E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen Der Evaluator muss eine Teilmenge der TSF angemessen testen so dass best tigt werden kann dass der TOE EVG entspre chend seiner Spezifikation wirkt Der Evaluator muss zur Verifizierung der Entwicklertestergeb nisse eine Stichprobe der in der Testdokumentation enthaltenen Tests durchf hren 5 1 2 6 Klasse AVA Schwachstellenbewertung AVA_MSU 3 Analysieren und Testen auf unsichere Zust nde Abh ngigkeiten ADO IGS 1 Installations Generierungs und Anlaufprozeduren Elemente zu En AVA_MSU 3 1D AVA_MSU 3 2D 4 September 2002 ADV_FSP 1l Informelle funktionale Spezifikation AGD _ADM I Systemverwalterhandbuch AGD USR 1 Benutzerhandbuch twickleraufgaben Der Entwickler muss Handb cher bereitstellen Der Entwickler muss eine Analyse der Handb cher dokumentie ren 65 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Elemente zu Inhalt und Form des Nachweises AVA_MSU 3 1C Die Handb cher m ssen alle m glichen Betriebszust nde des TOE EVG einschli
69. er spezifiziert etwa durch Auswahl von seitens der IT Umgebung bereitzustellenden funktionalen Komponenten aus Teil 2 der CC Es ist Aufgabe des Herstellers nachzuweisen auf welche Weise die Annahme A NoCapture von der IT Umgebung aufrechterhalten wird Der Schutz der Sitzungen eines EVG Administrators wird vom TOE EVG gew hrleistet vgl O Impersonate Es sei darauf hingewiesen dass die Korrektheit der Rollenzuweisung Aufgabe des TOE EVG ist und durch die Annahme A NoCapture nicht sichergestellt werden kann 4 September 2002 23 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 A NoVirus B sartige Software tritt nicht als Bestandteil von kontrollier ten Subjekten in Aktion Erl uterung Die Abwesenheit von b sartiger Software kann praktisch in keiner ver f gbaren IT Umgebung garantiert werden Ein zu dem vorliegenden Schutzprofil kon former TOE EVG leistet einen Beitrag zur Eind mmung der Gef hrdung durch b sar tige Software indem diese nur innerhalb der Beschr nkungen der Informationsfluss kontrolle agieren kann Die Annahme A NoVirus ist erforderlich da die Bewertung der Vertrauensw rdigkeit der Subjekte nicht Bestandteil der Sicherheitsleistung des TOE EVG ist 3 3 Bedrohungen Nachfolgend werden die grundlegenden Leistungsmerkmale des TOE EVG den iden tifizierten Bedrohungen gegen bergestellt Damit soll verdeutlicht werden welche L
70. esamte relevante Sicher heitsfunktionalit t der abstrakteren TSF Darstellung in der we niger abstrakten TSF Darstellung korrekt und vollst ndig ver feinert wurde Elemente zu Evaluatoraufgaben ADV_RCR 1 1E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen 5 1 2 4 Klasse AGD Handb cher AGD_ADM 1 Systemverwalterhandbuch Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation Elemente zu Entwickleraufgaben AGD _ADM 1 1D Der Entwickler muss ein Systemverwalterhandbuch bereitstel len das an das f r Systemverwaltung zust ndige Personal ge richtet ist 60 95 4 September 2002 BSI PP 0007 Tu u AU Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Elemente zu Inhalt und Form des Nachweises AGD _ADM 1 1C AGD _ADM 1 2C AGD _ADM 1 3C AGD _ADM 1 4C AGD _ADM 1 5C AGD_ADM 1 6C AGD _ADM 1 7C AGD _ADM 1 8C Das Systemverwalterhandbuch muss die Systemverwaltungs funktionen und Schnittstellen beschreiben die dem Systemver walter des TOE EVG zur Verf gung stehen Das Systemverwalterhandbuch muss beschreiben wie der TOE EVG auf sichere Art und Weise zu verwalten ist Das Systemverwalterhandbuch muss Warnungen bez glich Funktionen und Privilegien enthalten die in einer sicheren Ver arbeitungsumgebung kontrolliert werden
71. g konsistenter Listen von Informationsflussregeln ist gew hrleistet dass die Ope ration Lesen in der ausgew hlten Informationsflussregel genannt ist 4 September 2002 19 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Schreiben von Information Es sei write S I O der angeforderte Informationsfluss und D der Datenort an dem das Objekt O aufbewahrt wird CW1 Gibt es keine Informationsflussregel in der D genannt ist so werden zwei F lle unterschieden i Falls das Sicherheitsattribut L S den Wert Low hat wird der Infor mationsfluss erlaubt Der Wert des Sicherheitsattributs L S ndert sich nicht ii Falls das Sicherheitsattribut L S den Wert High hat wird der Infor mationsfluss verweigert und der Benutzer wird dahingehend informiert Der Wert des Sicherheitsattributs L S ndert sich nicht CW2 Gibt es eine Informationsflussregel in der D genannt ist und hat das Sicherheits attribut C O den Wert Weak so werden zwei F lle unterschieden i Falls das Sicherheitsattribut L S den Wert Low hat wird der Infor mationsfluss erlaubt Die Operation Schreiben hat in bereinstimmung mit der in der in der ausgew hlten Informationsflussregel benannten Informati onsflussvorschrift zu erfolgen Der Wert des Sicherheitsattributs L S n dert sich nicht ii Falls das Sicherheitsattribut L S den Wert High ha
72. gelegten Mechanismen zu beurteilen c Funktionen die es dem EVG Administrator erm glichen zu pr fen ob die Reihenfolge der in den Informationsfluss vorschriften festgelegten Einzelschritte zweckm ig ist d Funktionen die es dem EVG Administrator erm glichen einen Vorschlag f r die zweckm ige Reihenfolge der in den Informationsflussvorschriften festgelegten Einzelschritte anzufordern bzw zu bernehmen Dependencies No dependencies 4 September 2002 51 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FMT_SMR 2 Einschr nkungen der Sicherheitsrollen Ist hierarchisch zu FMT_SMR 1 FMT_SMR 2 1 Die TSF m ssen die Rollen EVG Administrator IT Benutzer und IT Administrator erhalten FMT_SMR 2 2 Die TSF m ssen Benutzer mit Rollen verkn pfen k nnen FMT_SMR 2 3 Die TSF m ssen sicherstellen dass die Bedingungen a bis d erf llt werden a Die Zuweisung der Rolle EVG Administrator erfordert eine explizite Authentisierung b Die Zuweisung der Rolle IT Benutzer erfolgt durch folgende ausl sende Ereignisse e explizite Autorisierung durch den EVG Administrator c Die Zuweisung der Rolle IT Administrator erfolgt durch fol gende ausl sende Ereignisse e Anlauf des IT Systems e der EVG Administrator signalisiert den Beginn einer Administrationst tigkeit e Zuweisung Ereignisse die auf eine Administrations t tigkeit
73. gigkeiten FDP_IFF 1 Einfache Sicherheitsattribute Erl uterung Eine Beschreibung der SFP der benutzerbestimmbare Informations flusskontrolle und der Operationen Lesen von Information und Schreiben von Informa tion findet sich in Abschnitt 2 5 Anwendungsbemerkung 13 Die Wahl von FDP _IFC 1 stellt eine Minimalanforde rung dar die dem Hersteller m glichst viel Flexibilit t einr umen soll vgl Anwen dungsbemerkung 9 Der ST Autor kann ggf FDP_IFC 1 durch die hierarchisch h her stehende Komponente FDP_IFC 2 Vollst ndige Informationsflusskontrolle ersetzen 1 Zuweisung SFPs f r Zugriffskontrolle und oder SFPs f r Informationsflusskontrolle 17 Zuweisung SFP f r Informationsflusskontrolle Zuweisung Liste der Subjekte Informationen und der durch die SFP abgedeckten kontrollierten Ope rationen die einen Fluss von kontrollierten Informationen zu und von Subjekten bewirken 4 September 2002 39 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FDP_IFF 1 Einfache Sicherheitsattribute Ist hierarchisch zu Keinen anderen Komponenten FDP IFF 1 1 Die TSF m ssen die SFP der benutzerbestimmbaren Informati onsflusskontrolle auf Grundlage folgender Arten von Subjekt und Informations Sicherheitsattributen Sicherheitslevel des Subjekts und Kontrollstatus des Objekts aus dem Information zu lesen ist bzw in das Information zu schreiben is
74. h die Formulierung ist offenbar dass die Annahme A NoVirus direkt von dem Si cherheitsziel OE NoVirus abgedeckt wird T InformationFlow Das Sicherheitsziel O InformationFlow stellt sicher dass Informationsfl sse nur im Einklang mit der festgelegten Sicherheitspolitik erfolgen k nnen Die Ziele O Support O EVG Administration und OE Qualification sorgen daf r dass die festgelegte Sicher heitspolitik dem Schutzbed rfnis des IT Benutzers entspricht Schlie lich ist durch OE Selection und OE NoBypass gew hrleistet dass kein Informationsflu vom TOE EVG unbemerkt stattfinden kann T Read Die Sicherheitsziele O Disclosure bzw OE Disclosure verhindern durch Verschl sse lung im Zusammenspiel mit O InformationFlow die Verletzung der Vertraulichkeit von UserData 4 September 2002 79 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 T Spy Die Sicherheitsziele OE NoCapture O InformationFlow und O Impersonate gew hrlei sten dass unautorisierte Benutzer bzw der IT Administrator auf direktem Wege keine Informationsfl sse mit kontrollierten Objekten ausl sen k nnen Im Zusammenhang mit OE NoBypass und OE Selection sorgen die Ziele O InformationFlow und O Disclosure bzw OE Disclosure daf r dass b sartige Software nur dann Informationsfl sse ausl sen kann durch die die Vertraulichkeit der UserData verletzt wird wenn sie als Be standteil eines kont
75. hler meldungen wie jeweils angemessen ADV_FSP 1 4C Die funktionale Spezifikation muss die TSF vollst ndig darstel len Elemente zu Evaluatoraufgaben ADV _FSP 1 1E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen ADV_FSP 1 2E Der Evaluator muss feststellen dass die funktionale Spezifikati on eine getreue und vollst ndige Umsetzung der funktionalen EVG Sicherheitsanforderungen ist ADV_HLD 1 Beschreibender Entwurf auf hoher Ebene Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation ADV_RCR 1 Informeller Nachweis der bereinstimmung Elemente zu Entwickleraufgaben ADV _HLD 1 1D Der Entwickler muss den Entwurf der TSF auf hoher Ebene be reitstellen 58 95 4 September 2002 BSI PP 0007 Tu u AU Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Elemente zu Inhalt und Form des Nachweises ADV_HLD 1 1C ADV_HLD 1 2C ADV_HLD 1 3C ADV_HLD 1 4C ADV_HLD 1 5C ADV_HLD 1 6C ADV_HLD 1 7C Die Darstellung des Entwurfs auf hoher Ebene muss informell sein Der Entwurf auf hoher Ebene muss in sich konsistent sein Der Entwurf auf hoher Ebene muss die Strukturen der TSF an hand von Teilsystemen beschreiben Der Entwurf auf hoher Ebene muss die von jedem der Teilsy steme der TSF bereitgestellte Sicherheitsfunktionalit t besch
76. inzipien security principles definiert P1 Protokollierung Entscheidungen ber die Erlaubnis bzw Ver weigerung von Informationsfl ssen werden protokolliert wenn dies gem der Informationsflussregeln erforderlich ist P2 Datensicherheit Erlaubte Informationsfl sse finden immer in bereinstimmung mit den in den Informationsflussregeln genann ten Informationsflussvorschriften statt P3 Zweckbindung Ist der Kontrollstatus eines Objektes O Strong so werden die das Objekt O betreffenden Informations fl sse nur erlaubt falls sie von einem Subjekt S angefordert wer den welches hierzu gem der Informationsflussregeln autorisiert ist P4 Informationsflusskontrolle Ist der Kontrollstatus eines Objek tes O Strong C O Strong so kann eine Information I die vom Objekt O stammt nicht in ein Objekt O mit C O Weak gelangen es sei denn das diesen Informationsfluss ausl sende Subjekt S ist gem der Informationsflussregeln dazu autorisiert P5 Benutzerbestimmbarkeit Als Ausnahme zu Prinzip P4 In formationsflusskontrolle kann mindestens der EVG Administrator den Informationsfluss explizit autorisieren d h eine Information I die von einem Objekt O mit C O Strong stammt kann dann in ein Objekt O mit C O Weak gelangen Erl uterung Das Prinzip P4 Informationsflusskontrolle kann nicht ausschlie lich unter Verwendung des Sicherheitsattributs Kontroll
77. ionsfl sse eines IT Systems f r Benutzer transparent zu sch tzen Hierzu kontrolliert der TOE EVG die Zul ssigkeit eines In formationsflusses gem definierbarer Informationsflussregeln Die Sicherheitsleistung unterst tzt insbesondere IT Anwender mit geringer IT Fachkompetenz in der Durchset zung des Schutzes von Informationen die einem Sicherheitsbedarf in Bezug auf die Aspekte Vertraulichkeit Integrit t und oder Authentizit t unterliegen Die EVG Sicherheitsleistung stellt eine sinnvolle Erg nzung zu etablierten Sicherheitskonzepten wie etwa Zugriffsschutz bertragungsschutz Firewalls oder Virtual Private Networks dar Anwendungsm glichkeiten des TOE EVG ergeben sich in den Bereichen E Commerce Data Warehouses etc E Government Auftragsvergabe Antragswesen etc Gesundheitswesen elektronische Patientenakte etc sowie bei Tele und Mediendiensten Telearbeit etc 6 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Jedem einzelnen Informationsfluss kann eine seinem Schutzbedarf entsprechende Kom bination von Sicherheitsmechanismen zugeordnet werden F r die kontrollierten Infor mationen gew hrleisten diese Mechanismen selektiv den Schutz e der Integrit t durch elektronische Signatur e der Vertraulichkeit durch Verschl sselung und e der Authentizit t durch elektronische Zertifikate De
78. ispiel au erhalb der Informationstechnologie gew hlt Der traditio nelle Briefpostverkehr Die Information entspricht hier dem Inhalt eines Briefes Dieser bildet zusammen mit dem Briefumschlag also dem Beh lter das Objekt Das Postfach in dem der Brief aufbewahrt wird entspricht dem Datenort Schlie lich werden zwei Operationen definiert read S I O Subjekt S liest eine Information I aus einem Objekt O write S I O Subjekt S schreibt eine Information I in ein Objekt O Eine bereits in O enthaltene Information wird dabei ggf ge l scht Anwendungsbemerkung 2 In vielen F llen besteht eine Lese Schreiboperation aus mehreren Operationen bspw kann ein vorheriges ffnen und nachtr gliches Schlie en 12 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 einer Datei n tig sein In der SFP der benutzerbestimmbaren Informationsflusskontrolle wird eine Lese Schreiboperation als eine nicht unterbrechbare atomare Operation betrachtet Dies ist notwendig um Konflikte bei nderungen von Informationsfluss regeln zu vermeiden Damit wird also von den konkreten Gegebenheiten in der IT Umgebung abstrahiert Folglich muss der Hersteller eines zu diesem Schutzprofil kon formen Produktes daf r sorgen dass die Atomarit t der beiden Operationen read und write eingehalten wird Eine Informationsflussregel be
79. langt Kenntnis von den ProtocolData Erl uterung Die wunberechtigte Kenntnisnahme von ProtocolData widerspricht grundlegenden Prinzipien des Datenschutzes T Impersonate Eine hierzu nicht berechtigte Person agiert in der Rolle IT Benutzer bzw EVG Administrator Erl uterung Ein IT Administrator oder ein unautorisierter Benutzer kann wie ein IT Benutzer Informationsfl sse mit kontrollierten Objekten ausl sen Eine Person die nicht die Berechtigung zur Administration des TOE EVG besitzt ein IT Benutzer ein IT Administrator oder ein unautorisierter Benutzer erh lt die Privilegien der Rolle EVG Administrator und kann in der Folge den transparent arbeitenden TOE EVG abschalten die RuleData modifizieren oder Kenntnis von den ProtocolData nehmen T Support Aus Unkenntnis bzw Fahrl ssigkeit eines EVG Administrators wird der TOE EVG fehlerhaft administriert Erl uterung Ein EVG Administrator k nnte infolge von Fehlern bei der Administra tion RuleData derart formulieren dass die Integrit t und Vertraulichkeit der UserData verloren geht 3 4 Organisatorische Sicherheitspolitiken P Appropriation Es muss festgelegt werden k nnen welche Subjekte bspw Applikationen UserData verarbeiten d rfen Erl uterung Diese organisatorische Sicherheitspolitik ist aus dem folgenden Zweck bindungsprinzip des Datenschutzes abgeleitet Daten d rfen nur zu dem Zweck erhoben verarbeitet oder genutzt werden zu dessen Erf llung si
80. mon Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 1 1 1 Klasse FAU Sicherheitsprotokollierung FAU_GEN 1 Generierung der Protokolldaten Ist hierarchisch zu Keinen anderen Komponenten FAU GEN 1 1 FAU GEN 1 2 Die TSF m ssen in der Lage sein f r folgende protokollierbaren Ereignisse eine Protokollaufzeichnung zu generieren a Starten und Beenden der Protokollierungsfunktionen b Alle protokollierbaren Ereignisse f r den Protokollierungs grad Minimal und c Entscheidungen angeforderte Informationsfl sse zu verwei gern FDP _IFF 1 Die TSF m ssen innerhalb jeder Aufzeichnung mindestens die folgenden Informationen speichern a Datum und Uhrzeit des Ereignisses Art des Ereignisses Identit t des Subjekts und das Ergebnis Erfolg oder Misser folg des Ereignisses und b basierend auf den Definitionen der in PP ST eingebundenen protokollierbaren Ereignisse f r jede Art von Protokollie rungsereignissen die in Tabelle 7 aufgef hrte zus tzliche protokollierungsrelevante Information Abh ngigkeiten FPT_STM l Verl ssliche Zeitstempel Die protokollierbaren Ereignisse f r den ausgew hlten Protokollierungsgrad sind in Tabelle 7 zusammengefasst TAuswahl Minimal Einfach Detailliert nicht angegeben Zuweisung sonstige speziell festgelegte protokollierbare Ereignisse 7 Zuweisung sonstige protokollierungsrelevante Information
81. n I3 Zuweisung Kriterien mit logischen Beziehungen 4 September 2002 37 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FAU_SEL 1 Auswahl der Ereignisse f r die Sicherheitsprotokollierung Ist hierarchisch zu Keinen anderen Komponenten FAU_SEL 1 1 Die TSF m ssen in der Lage sein protokollierbare Ereignisse auf Grundlage folgender Attribute in die Menge der protokol lierten Ereignisse aufzunehmen bzw aus dieser auszuschlie en a Objektidentit t Subjektidentit t und Ereignisart b Protokollierungsflag der von der Auswahlfunktion ausge w hlten Informationsflussregel Abh ngigkeiten FAU _GEN 1 Generierung der Protokolldaten FMT_MTD 1 Management der TSF Daten FAU_STG 1 Gesch tzte Speicherung des Protokolls Ist hierarchisch zu Keinen anderen Komponenten FAU_STG 1 1 Die TSF m ssen die gespeicherten Protokollaufzeichnungen ge gen nichtautorisiertes L schen sch tzen FAU_STG 1 2 Die TSF m ssen Modifizierungen der Protokollaufzeichnungen Auswahl verhindern erkennen k nnen Abh ngigkeiten FAU _ GEN 1 Generierung der Protokolldaten FAU_STG 3 Aktionen im Fall von m glichem Protokolldaten Verlust Ist hierarchisch zu Keinen anderen Komponenten FAU_STG 3 1 Die TSF m ssen Zuweisung Aktionen die im Fall eines m gli chen Protokollspeicherfehlers auszuf hren sind wenn das Protokoll Zuweisung vordefinierte Gre
82. n 2 01 formationen bereitgestellt deren gesch tzte bertragung zum TOE EVG von der Komponente FPT_ITT l1 gew hrleistet wird FAU STG 1 FAU STG 3 und FMT MTD 1B gew hrleisten die Integrit t der einer solchen Analyse und Validierung zugrunde liegenden ProtocolData FMT MSA 3 FMT_MTD 3 und FMT_SMF l leisten einen entscheidenden Beitrag um dem EVG Administrator die Administration der RuleData zu vereinfachen indem bspw das Einstellen von inkonsistenten Listen von Informationsflussregeln verhindert und die M glichkeiten zur Wiederverwendung bew hrter L sungen angeboten wird Die Komponente AVA_MSU 3 gew hrleistet die G te der von FMT_SMF 1 geforder ten Managementfunktionen FMT MSA 1 und FMT_MTD 1A unterst tzen den EVG Administrator indem sie dazu beitragen zu sichern dass die f r die Politikentscheidungen wichtigen RuleData und Sicherheitsattribute nicht ohne sein Wissen ver ndert werden k nnen O EVG Administration Durch das Zusammenspiel der Komponenten FIA_UID 1l FIA_UAU I FTA_SSL 3 FMT SMR 2 FAU SAR 1 FAU SAR 2 und FMT MTD 1B unterst tzt von FPT_SEP 1 wird garantiert dass nur ein in der Rolle EVG Administrator agierender Benutzer von den ProtocolData Kenntnis nehmen kann FAU _SAR 1 und FAU_SAR 3 bewirken dass der EVG Administrator die ProtocolData geeignet analysieren kann Die Komponenten FIA UID 1 FIA UAU 1 FTA_SSL 3 FMT SMR 2 und FMT MOF 1 stellen sicher dass nur der EVG Administrator den TOE EVG d
83. n der EVG Sicherheitspolitik benutzt werden Hierzu geh ren u a ProtocolData und RuleData Unautorisierter Benutzer Benutzer des T Systems die nicht dazu be rechtigt sind in einer der Rollen T Benutzer IT Administrator bzw EVG Administrator zu agieren UserData Informationen mit denen die Benutzer Operationen ausf hren k nnen und die nicht f r Entscheidungen im Rahmen der EVG Sicherheitspolitik benutzt werden Es handelt sich um Informationen die von einem T Benutzer im Rahmen seiner T tigkeit verarbeitet werden Wartung Alle Arbeiten an einem T System die die bestimmungsgem e Funktion des T Systems sicherstellen 4 September 2002 93 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU B Abk rzungen ANSI BSI CC CEM EAL E EVG FIPS IEC ISO IT LAN MU PKCS PP SFP ST SU TOE TSF TSP WAN 94 95 American National Standards Institute Bundesamt f r Sicherheit in der Informationstechnik Common Criteria Common Evaluation Methodology Evaluation Assurance Level Electronic Evaluierungsgegenstand Federal Information Processing Standards International Electrotechnical Commision International Organisation for Standardization Information Technology Local Area Network Multi user Public Key Cryptography Standards Protection Profile Security Functional Policy Security Target Single user Target of Evaluation TOE Security Func
84. nabh ngiges Testen durchf hren um fest zustellen dass ein Systemverwalter oder Benutzer der sich in den Handb chern auskennt unter normalen Umst nden in der Lage ist festzustellen ob Konfiguration und Betrieb des TOE EVG unsicher sind 66 95 4 September 2002 BSI PP 0007 AVA_SOF 1 Tu u AU Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 St rke der EVG Sicherheitsfunktionen Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation ADV _HLD 1 Beschreibender Entwurf auf hoher Ebene Elemente zu Entwickleraufgaben AVA_SOF 1 1D Der Entwickler muss eine Analyse der St rke der EVG Sicherheitsfunktionen f r jeden Mechanismus durchf hren der nach den Angaben in den ST ein Postulat der St rke der EVG Sicherheitsfunktionen aufweist Elemente zu Inhalt und Form des Nachweises AVA_SOF 1 1C AVA_SOF 1 2C F r jeden Mechanismus mit einem Postulat zur St rke der EVG Sicherheitsfunktionen muss die Analyse der EVG Sicherheitsfunktionsst rke nachweisen dass er die im PP in den ST definierte Mindestst rkestufe erreicht oder bertrifft F r jeden Mechanismus mit einem konkreten Postulat der St rke der EVG Sicherheitsfunktion soll die Analyse der St rke der EVG Sicherheitsfunktionen nachweisen dass er die im PP in den ST definierte spezielle Metrik der St rke der Funktion er reicht oder bertrifft Elemente zu
85. nter Ber cksichtigung der dauer haften Aufrechterhaltung des Schutzes von Informationen angemessen f r den TOE EVG 90 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 A Glossar Applikation Ein Anwendungsprogramm dem Prozesse auf Betriebs systemebene zugeordnet werden k nnen Beispiel f r eine aktive funktionale Einheit als Subjekt Auswahlfunktion Funktion die aus einer Liste von Informations Jlussregeln diejenige ausw hlt anhand derer entschieden wird ob der Informationsfluss erlaubt oder verweigert wird Betriebssystem Der Teil eines T Systems welcher die Ressourcenver waltung bernimmt Datenort Die eindeutige Beschreibung f r einen Ort an dem sich eine passive Einheit ein Objekt befindet Die Ortsangabe kann sich auf ein auf einem lokalen Speichermedium befindliches Objekt oder auf ein ber eine Netzverbindung erreichbares Objekt beziehen Deaktivieren des TOE EVG Der TOE EVG gilt als deaktiviert wenn er au erstande gesetzt wird stattfindende Informationsfl sse in Bezug auf die festgelegten Informationsflussregeln zu kontrollieren Da der TOE EVG transparent arbeitet sollte auch seine Deaktivierung f r den Benutzer transparent sein Das bedeutet dass ein Benutzer von der Deaktivierung genauso wie von der Aktivierung des TOE EVG nichts bemerken sollte was wiederum zur Folge h
86. ntifizieren und das Ziel der durchzuf hrenden Tests be schreiben ATE FUN 1 3C Die Beschreibungen der Testprozeduren m ssen die durchzu f hrenden Tests identifizieren und die Testszenarien f r jede Si cherheitsfunktion beschreiben Diese Szenarien m ssen alle Ordnungsabh ngigkeiten von den Ergebnissen anderer Tests enthalten ATE_FUN 1 4C Die erwarteten Testergebnisse m ssen die bei einem erfolgrei chen Testverlauf zu erwartenden Ergebnisse aufzeigen ATE FUN 1 5C Die Testergebnisse der durch den Entwickler durchgef hrten Tests m ssen nachweisen dass sich jede getestete Sicherheits funktion SF wie spezifiziert verhielt Elemente zu Evaluatoraufgaben ATE FUN 1l IE Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen ATE_IND 2 Unabh ngiges Testen Stichprobenartig Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation AGD _ADM Systemverwalterhandbuch AGD USR 1 Benutzerhandbuch ATE FUN 1 Funktionales Testen Elemente zu Entwickleraufgaben ATE _IND 2 1D Der Entwickler muss den TOE EVG zum Testen bereitstellen 64 95 4 September 2002 BSI PP 0007 Tu u AU Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Elemente zu Inhalt und Form des Nachweises ATE IND 2 1C ATE IND 2 2C Der TOE EVG muss sich zum Testen eignen D
87. nutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 2 2 Klasse FPT Schutz der TSF FPT_ITT 1 Einfacher Schutz bei internem TSF Datenaustausch Ist hierarchisch zu Keinen anderen Komponenten FPT _ITT 1 1 Die IT Umgebung muss Zeitstempel und die zur Identifikation von angeforderten Informationsfl ssen wesentlichen Informa tionen Subjektidentit t Operation und Datenort w hrend der bertragung zum TOE EVG gegen Modifizierung sch tzen Abh ngigkeiten Keine Abh ngigkeiten FPT_RVM 1 Nichtumgehbarkeit der TSP Ist hierarchisch zu Keinen anderen Komponenten FPT _RVM 1 1 Die IT Umgebung muss sicherstellen dass TSP Funktionen zur Durchsetzung aktiv und erfolgreich sind bevor den Funktio nen innerhalb des TSC die Ausf hrung gestattet wird Abh ngigkeiten Keine Abh ngigkeiten Erl uterung Diese Anforderung stellt sicher dass die IT Umgebung den TOE EVG aktiviert bevor Benutzer Informationsfl sse anfordern k nnen 3 Verfeinerung TSF m ssen 4 Verfeinerung TSF Daten Verfeinerung zwischen getrennten EVG Teilen Auswahl Preisgabe Modifizierung 7 Verfeinerung TSF m ssen 4 September 2002 75 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FPT_SEP 1 TSF Bereichsseparierung Ist hierarchisch zu Keinen anderen Komponenten FPT_SEP 1 1 Die IT Umgebung muss einen Sicherheitsber
88. nze berschreitet Abh ngigkeiten FAU_STG 1 Gesch tzte Speicherung des Protokolls 14 Auswahl Objektidentit t Benutzeridentit t Subjektidentit t Hostrechneridentit t Ereignisart 15 Zuweisung Liste zus tzlicher Attribute auf Grundlage derer die Auswahl der Protokollierung erfolgt 38 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 1 1 2 Klasse FDP Schutz der Benutzerdaten FDP_ETC 1 Export von Benutzerdaten ohne Sicherheitsattribute Ist hierarchisch zu Keinen anderen Komponenten FDP_ETC 1 1 Die TSF m ssen die SFP der benutzerbestimmbaren Informati onsflusskontrolle bei Export von unter Kontrolle der SFPs ste henden Benutzerdaten nach au erhalb des TSC durchsetzen FDP _ETC 1 2 Die TSF m ssen die Benutzerdaten ohne die mit ihnen ver kn pften Sicherheitsattribute exportieren Abh ngigkeiten FDP_ACC 1 Teilweise Zugriffskontrolle oder FDP _IFC 1 Teilweise Informationsflusskontrolle FDP_IFC 1 Teilweise Informationsflusskontrolle Ist hierarchisch zu Keinen anderen Komponenten FDP _IFC 1 1 Die TSF m ssen die SFP der benutzerbestimmbaren Informati onsflusskontrolle f r alle Subjekte alle Objekte aus denen Information zu lesen bzw in die Information zu schreiben ist und die Operationen Lesen von Information und Schreiben von Information durchsetzen Abh n
89. perationen 65 Zuweisung kryptographischer Algorithmus 6 TZuweisung kryptographische Schl ssell nge 67 TZuweisung Liste der Normen 68 Verfeinerung TSF m ssen Zuweisung Liste der kryptographischen Operationen 7 Zuweisung kryptographischer Algorithmus 7l TZuweisung kryptographische Schl ssell nge 7 Zuweisung Liste der Normen 4 September 2002 71 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 FCS_COP 1C Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP IC 1 Die IT Umgebung muss Verschl sseln und Entschl sseln von Nachrichtenschl sseln gem eines spezifizierten kryptogra phischen Algorithmus RSA und kryptographischer Schl ssel l ngen von mindestens 1024 Bit die den folgenden Normen PKCS 1 entsprechen durchf hren Abh ngigkeiten FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute oder FCS_CKM 1 Kryptographische Schl sselgenerierung FCS_CKM 4 Zerst rung des kryptographischen Schl ssels FMT_MSA 2 Sichere Sicherheitsattribute FCS_COP 1D Kryptographischer Betrieb Ist hierarchisch zu Keinen anderen Komponenten FCS_COP ID 1 Die IT Umgebung muss das Berechnen von Hashwerten f r UserData gem eines spezifizierten kryptographischen Algo rithmus SHA 1 und kryptographischer Schl ssell ngen Kei ne die den folgenden Normen FI
90. proto kollierten Ereignisse Hierzu geh ren insbesondere erlaubte und verweigerte Informationsfl sse RuleData Die RuleData umfassen die Liste der festgelegten Informati onsflussregeln Eine Informationsflussregel enth lt die in Abschnitt 2 5 1 beschriebenen Angaben Erl uterung Durch die Existenz des TOE EVG ergeben sich zus tzliche zu sch t zende Werte Hierbei handelt es sich u a um die RuleData Weiterhin soll die Funk tionsweise des TOE EVG berpr fbar sein Aus diesem Grund sollen stattgefundene und abgewiesene Informationsfl sse protokolliert werden k nnen Damit erh lt ein EVG Administrator die M glichkeit zu berpr fen ob der TOE EVG wie beabsichtigt funktioniert Im Weiteren werden TSF Data die nicht ProtocolData bzw RuleData sind andere TSF Data genannt Anwendungsbemerkung 7 Im Falle eines Composite TOE EVG k nnen zus tzliche zu sch tzende Werte vorhanden sein z B Schl ssel mit denen die kryptographischen Operationen durchgef hrt werden In diesem Falle ergeben sich eventuell zus tzliche Bedrohungen die sich gegen diese neuen Werte richten Ein ST Autor muss dies be r cksichtigen 22 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 3 2 Annahmen A NoBypass Der TOE EVG ist derart in die IT Umgebung einge bunden dass alle zu sch tzenden Informationsfl sse durch
91. r Erhalt der Vertraulichkeit dient dabei der Verhinderung unerw nschter Kenntnis nahme von lokal gespeicherten Benutzerdaten z B nach Diebstahl von Datentr gern oder bei zweckfremder Verarbeitung und von Benutzerdaten w hrend einer Nachrich ten bertragung Die Integrit t und Authentizit t ist insbesondere von Bedeutung bei kommerziellen Transaktionen z B bei elektronischen Bestell und Bezahlvorg ngen Ein weiterer Schutzmechanismus besteht in der Einschr nkung der Verarbeitung von Informationen auf bestimmte Subjekte bspw Applikationen Damit kann in einem technischen Sinne eine Realisierung der Zweckbindung der Informationsverarbeitung in bereinstimmung mit Datenschutzbestimmungen unterst tzt werden Der TOE EVG arbeitet weitestgehend transparent f r die betroffenen Subjekte bspw Applikationen und f r die Benutzer des IT Systems Eine Anpassung der auf dem IT System eingesetzten Applikationen ist nur insoweit erforderlich als dem TOE EVG die f r die Aus bung der Kontrolle ben tigten Angaben ber den jeweiligen Informati onsfluss zur Verf gung gestellt werden m ssen Flexible Konfigurationsoptionen er m glichen eine individuelle und fortlaufende Anpassung des TOE EVG an den Schutzbedarf des Betreibers des IT Systems Das Schutzprofil abstrahiert die Anforderungen an den TOE EVG so weit von techni schen Details dass eine Realisierung f r eine Reihe unterschiedlicher IT Umgebungen m glich ist wie z B
92. r Realisierung der TSF ist ein modularer Aufbau zweckm Big der die Integration des TOE EVG mit unterschiedlichen Anwendungsdiensten wie bspw Datenbanksystemen und Email Services erm glicht Der TOE EVG kann so wohl als reine Softwarel sung als auch als eine kombinierte L sung aus Software und Hardware Komponenten realisiert werden Insbesondere f r die Speicherung und An wendung von kryptographischen Schl sseln kann der TOE EVG ggf auf geeignete Hardware Module in der IT Umgebung zur ckgreifen 2 2 IT Leistungsmerkmale Der TOE EVG stellt sicher dass Informationsfl sse sowohl innerhalb des IT Systems als auch aus dem IT System hinaus ber eine Verbindung zu offenen Netzen bspw LAN WAN Internet Email in bereinstimmung mit der zugrunde liegenden EVG Sicherheitspolitik und gem der festgelegten Informationsflussregeln stattfinden Die Informationsflussregeln k nnen aus vorgegebenen rechtlichen technischen und organi satorischen Regelungen z B verschl sselte Speicherung verschl sselte bertragung signierte bertragung abgeleitet werden In Informationsflussregeln kann festgelegt werden unter welchen Umst nden der TOE EVG auf welche Art und Weise mit Da ten zu verfahren hat Die Entscheidung ber die Erlaubnis von Informationsfl ssen und 4 September 2002 9 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 ihre vorschrif
93. rei ben Der Entwurf auf hoher Ebene muss s mtliche den TSF zugrunde liegende Hardware Firmware und oder Software angeben und die Funktionen darstellen die von dem unterst tzenden Schutz mechanismus bereitgestellt werden der in dieser Hardware Firmware oder Software implementiert ist Der Entwurf auf hoher Ebene muss alle Schnittstellen zu den Teilsystemen der TSF identifizieren Der Entwurf auf hoher Ebene muss angeben welche der Schnittstellen zu den Teilsystemen der TSF von au erhalb sichtbar sind Elemente zu Evaluatoraufgaben ADV_HLD 1 1E ADV_HLD 1 2E 4 September 2002 Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen Der Evaluator muss feststellen dass der Entwurf auf hoher Ebe ne eine getreue und vollst ndige Umsetzung der funktionalen EVG Sicherheitsanforderungen ist 59 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 ADV_RCR 1 Informeller Nachweis der bereinstimmung Abh ngigkeiten Keine Abh ngigkeiten Elemente zu Entwickleraufgaben ADV_RCR 1 1D Der Entwickler muss eine Analyse der bereinstimmung aller benachbarten Paare der bereitgestellten TSF Darstellungen be reitstellen Elemente zu Inhalt und Form des Nachweises ADV_RCR 1 1C Die Analyse muss f r jedes Paar benachbarter TSF Darstellungen nachweisen dass die g
94. reitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen AVA_VLA 1 2E Der Evaluator muss Penetrationstests durchf hren die auf der Schwachstellenanalyse des Entwicklers aufbauen um sicher zustellen dass offensichtliche Schwachstellen ber cksichtigt wurden 6 Die Elemente zu den Entwickleraufgaben sind gem Final Interpretation 051 der CC ersetzt worden Eine autorisierte deutsche bersetzung existiert nicht Daher ist das englischsprachige Original zitiert 6 Die Elemente zum Inhalt und zur Form des Nachweises sind gem Final Interpretation 051 der CC ersetzt worden Eine autorisierte deutsche bersetzung existiert nicht Daher ist das englischsprachige Original zitiert 68 95 4 September 2002 a a AS ichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 2 Sicherheitsanforderungen an die IT Umgebung Tabelle 9 bietet eine bersicht ber die funktionalen Sicherheitsanforderungen welche von der IT Umgebung erf llt werden m ssen Nr Komponente Beschreibung la FCS_COP 1A lb FCS_COP 1B le FCS_COP IC ld FCS_COP 1D le FCS_COP IE if FCS_COP IF 2 _ FPT RVM Nichtumgehbarkeit der TSP Kryptographischer Betrieb 3 FPT _ITT 1 Einfacher Schutz bei internem TSF Datenaustausch 4 FPT_SEP l TSF Bereichsseparierung 5 FPT
95. rmationen werden Sicher heitsattribute zugeordnet die die Grundlage f r die Politikentscheidungen der SFP der benutzerbestimmbaren Informationsflusskontrolle bilden 2 5 1 Begriffsbestimmung Unter einem Informationsfluss wird die Ein Ausgabe einer IT Komponente von zu einem beliebigen Datenort verstanden Er ist durch die Angabe eines Subjekts eines Objekts und einer Operation gekennzeichnet Ein Informationsfluss wird von einem Subjekt ausgel st Dieses wird identifiziert durch eine aktive funktionale Einheit bspw eine Applikation ein Anwendungspro gramm dem Prozesse auf Betriebssystemebene zugeordnet werden k nnen Die von zu Subjekten flie ende Information bildet zusammen mit dem Beh lter in dem sie aufbewahrt wird das kontrollierte Objekt Der Beh lter ist typischerweise eine Da tei kann aber auch bspw als ein Datensatz in einem Datenbanksystem oder als das ei ner Email Adresse zugeordnete Postfach verstanden werden Der Datenort beschreibt die Stelle an der ein Objekt aufbewahrt wird Ein Datenort bezieht sich bspw auf ein lokales Speichermedium einen ber eine Netz werkverbindung erreichbaren Adressaten oder eine Rechneradresse F r ein Speicher medium kann ein Datenort aus einer Pfadinformation bez glich einer Verzeichnishier archie bestehen F r Netzverbindungen typisch ist die Angabe einer Email Adresse Zur gegenseitigen Abgrenzung der Begriffe Information Objekt und Datenort sei ein illustrierendes Be
96. rollierten Subjekts in Aktion tritt Dies wird durch OE NoVirus ver hindert T Manipulate Die Sicherheitsziele O Manipulation bzw OE Manipulation verhindern mit elektroni schen Signaturen im Zusammenspiel mit O InformationFlow die unbemerkte Verlet zung der Integrit t oder Authentizit t von UserData bei einem stattfindenden Informati onsfluss T Write Die Sicherheitsziele OE NoCapture O InformationFlow und O Impersonate gew hrlei sten dass unautorisierte Benutzer bzw der IT Administrator auf direktem Wege keine Informationsfl sse mit kontrollierten Objekten ausl sen k nnen Im Zusammenhang mit OE NoBypass und OE Selection sorgen die Ziele O InformationFlow und O Manipulation bzw OE Manipulation daf r dass b sartige Software nur dann Infor mationsfl sse ausl sen kann durch die die Integrit t der UserData unbemerkt verletzt wird wenn sie als Bestandteil eines kontrollierten Subjekts in Aktion tritt Dies wird durch OE NoVirus verhindert T Unaware Die Sicherheitsziele O Disclosure bzw OE Disclosure und O Manipulation bzw OE Manipulation im Zusammenhang mit O InformationFlow gew hrleisten die Umset zung der festgelegten Sicherheitspolitik zum Schutz der Integrit t Authentizit t und Vertraulichkeit der UserData ohne den IT Benutzer mit der Durchf hrung der notwen digen Ma nahmen zu belasten Die Ziele O Support O EVG Administration und OE Qualification sorgen daf r dass die festgelegte Sicherheitspolitik dem
97. rung der funktionalen Sicherheitsanforderungen 82 7 2 2 Abh ngigkeiten der funktionalen Sicherheitsanforderungen 87 7 2 3 Gegenseitige Unterst tzung der funktionalen Sicherheitsanforderungen 89 7 2 4 Erkl rung der Anforderungen an die Vertrauensw rdigkeit 90 7 2 5 Erkl rung der Mindest St rkestufe der Funktionen 90 A Glossar 91 B Abk rzungen 94 C Literatur 95 4 195 4 September 2002 u Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Abbildungsverzeichnis Abbildung 1 M gliche Struktur des TOE EVG in der IT Umgebung 11 Abbildung 2 Illustration zum Begriff spezifischste Informationsflussregel 14 Tabellenverzeichnis Tabelle 1 Sicherheitsattribute 16 Tabelle 2 bersicht der Sicherheitscharakteristika Security Characteristics 19 Tabelle 3 Zuordnung zwischen Leistungsmerkmalen und Bedrohungen 24 Tabelle 4 Zuordnung zwischen Leistungsmerkmalen und Sicherheitszielen 28 Tabelle 5 Zuordnung zwischen Leistungsmerkmalen und CC Funktionalit tsklassen 33 Tabelle 6 Funktionale Sicherheitsanforderungen an den TOE EVG 34 Tabelle 7 Ereignisse f r den Protokollierungsgrad Minimal 36 Tabelle 8 Anforderungen an die Vertrauensw rdigkeit des TOE EVG 54 Tabelle 9 Funktionale Sicherheitsanforderungen an die IT Umgebung 69 Tabelle 10 Abdeckung der EVG Sicherheitsumgebung durch die Sicherheitsziele 78 Tabelle 11 Abdeckung der
98. s k nnen in Informationsflussvorschriften zum Lesen bzw Schreiben von Information weitere Funktionen einbezogen werden Es kann bspw festgelegt werden dass es notwendig ist vor dem Lesen zun chst die vorliegenden Daten zu dekomprimie ren ggf mit Hinweis auf das zu verwendende Komprimierungsprogramm oder auf Virenfreiheit zu testen ggf mit Hinweis auf das zu verwendende Virenschutzpro gramm bzw vor dem Schreiben die Daten zu komprimieren ggf mit Hinweis auf das zu verwendende Komprimierungsprogramm Um unterschiedlichen Sicherheitsbed rfnissen gerecht zu werden k nnen Informations flussregeln in einer Liste von Informationsflussregeln zusammengefasst werden Es seien also eine Liste von Informationsflussregeln und ein Datenort D gegeben Eine Informationsflussregel R ist eine spezifischste Informationsflussregel f r D falls D in der Informationsflussregel R genannt ist und es in der Liste keine Informations flussregel R gibt in der neben D nur einige der in R genannten Datenorte genannt wer den Mit Hilfe des Begriffs spezifischste Informationsflussregel ist es m glich eine Hierar chie unter den Informationsflussregeln aufzubauen und auf diese Weise die Informati onsflussregeln zu identifizieren deren Fokus so eng wie m glich auf den aktuellen Da tenort eingegrenzt ist Illustration Wie in Abbildung 2 dargestellt werden in der Informationsflussregel R1 die Datenorte D1 D2 D3 und D4 in Regel R2 die Orte D2 und
99. s necessary for secure installation generation and start up of the TOE Elemente zu Evaluatoraufgaben ADO_IGS 1 1E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen ADO _IGS 1 2E Der Evaluator muss feststellen dass die Installations Generie rungs und Anlaufprozeduren zu einer sicheren Konfiguration f hren 5 1 2 3 Klasse ADV Entwicklung ADV _FSP 1 Informelle funktionale Spezifikation Abh ngigkeiten ADV_RCR 1 Informeller Nachweis der bereinstimmung Elemente zu Entwickleraufgaben ADV_FSP 1 1D_ Der Entwickler muss eine funktionale Spezifikation bereitstel len Dieses Element wurde gem Final Interpretation 051 der CC neu formuliert Eine autorisierte ber setzung gibt es nicht Deshalb ist das englischsprachige Original zitiert worden 4 September 2002 57 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Elemente zu Inhalt und Form des Nachweises ADV_FSP 1 1C Die funktionale Spezifikation muss die TSF und ihre externen Schnittstellen in einem informellen Stil beschreiben ADV_FSP 1 2C Die funktionale Spezifikation muss in sich konsistent sein ADV _FSP 1 3C Die funktionale Spezifikation muss den Zweck und die Methode des Gebrauchs aller externen TSF Schnittstellen beschreiben einschlie lich Details der Wirkungen Ausnahmen und Fe
100. s und D der Datenort an dem das Objekt O aufbewahrt wird CR1 Gibt es keine Informationsflussregel in der D genannt ist so wird der Informa tionsfluss erlaubt Der Wert des Sicherheitsattributs L S ndert sich nicht CR2 Gibt es eine Informationsflussregel in der D genannt ist und hat das Sicherheits attribut C O den Wert Weak so wird der Informationsfluss erlaubt Die Ope ration Lesen hat in bereinstimmung mit der in der ausgew hlten Informations flussregel benannten Informationsflussvorschrift zu erfolgen Der Wert des Si cherheitsattributs L S ndert sich nicht CR3 Gibt es eine Informationsflussregel in der D genannt ist und hat das Sicherheits attribut C O den Wert Strong so werden zwei F lle unterschieden i Wenn in der ausgew hlten Informationsflussregel R das Subjekt S genannt ist wird der Informationsfluss erlaubt Die Operation Lesen hat in berein stimmung mit der in R benannten Informationsflussvorschrift zu erfolgen Der Wert des Sicherheitsattributs L S wird auf High gesetzt falls in R das Vertrauensw rdigkeitsflag TF auf False gesetzt ist andernfalls ndert sich der Wert des Sicherheitsattributs L S nicht ii Wenn in der ausgew hlten Informationsflussregel R das Subjekt S nicht ge nannt ist wird der Informationsfluss verweigert und der Benutzer wird da hingehend informiert Der Wert des Sicherheitsattributs L S ndert sich nicht Durch die Verwendun
101. schlie en lassen d Die Rolle IT Administrator und eine der Rollen IT Benutzer bzw EVG Administrator k nnen nicht gleichzeitig agieren Abh ngigkeiten FIA UID 1 Zeitpunkt der Identifikation Anwendungsbemerkung 14 Bei der Definition zus tzlicher Ereignisse Zuweisung in FMT_SMR 2 3 c die dem TOE EVG von der IT Umgebung signalisiert werden wie etwa der Alarm eines Intrusion Detection Systems soll der ST Autor pr fen ob ggf eine Verfeinerung der Komponente FPT_ITT 1 erforderlich ist um sicherzustellen dass diese Signale gesch tzt an den TOE EVG bertragen werden 5 Zuweisung die autorisierten identifizierten Rollen 7 Zuweisung Bedingungen f r die verschiedenen Rollen 52 95 4 September 2002 iD Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 1 1 5 Klasse FTA EVG Zugriff FTA_SSL 3 Durch TSF eingeleitete Beendigung Ist hierarchisch zu Keinen anderen Komponenten FTA_SSL 3 1 Die TSF m ssen eine interaktive Sitzung des EVG Administrators nach Zuweisung Zeitintervall der Benutze rinaktivit t beenden Abh ngigkeiten Keine Abh ngigkeiten Erl uterung Die IT Umgebung stellt typischerweise Sicherheitsmechanismen bspw Sperren der Sitzung oder Ausschalten des IT Systems zum Schutz von Sitzung eines IT Benutzers zur Verf gung siehe OE NoCapture Um die Sitzungen eines EVG Administrators ge
102. sfl sse explizit verweigern 42 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 FDP_ITC 1 Import von Benutzerdaten ohne Sicherheitsattribute Ist hierarchisch zu Keinen anderen Komponenten FDP ITC 1 1 Die TSF m ssen die SFP der benutzerbestimmbaren Informati onsflusskontrolle beim Import von unter Kontrolle der SFP stehenden Benutzerdaten von au erhalb des TSC durchsetzen FDP _ITC 1 2 Die TSF m ssen die mit den Benutzerdaten verkn pften Sicher heitsattribute ignorieren wenn diese von au erhalb des TSC im portiert werden FDP _ITC 1 3 Die TSF m ssen die folgenden Regeln beim Import unter Kon trolle der SFP stehender Benutzerdaten von au erhalb des TSC durchsetzen keine Abh ngigkeiten FDP_ACC 1 Teilweise Zugriffskontrolle oder FDP _IFC 1 Teilweise Informationsflusskontrolle FMT MSA 3 Initialisierung statischer Attribute Erl uterung Eine Beschreibung der SFP der benutzerbestimmbaren Infor mationsflusskontrolle findet sich in Abschnitt 2 5 2 Zuweisung SFP f r Zugriffskontrolle und oder Informationsflusskontrolle 7 Zuweisung zus tzliche Importkontrollregeln 4 September 2002 43 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 5 1 1 3 Klasse FIA Identifikation und Authentisierung In den Kompon
103. signie renden Daten w hrend der bertragung zu den Komponenten f r den kryptographi schen Betrieb geeignet gesch tzt werden Zu diesem Zweck kann der ST Autor ggf die folgenden funktionalen Anforderungskomponenten in das ST aufnehmen e FDP _UCT I Einfache Vertraulichkeit des Datenaustausches e FDP UIT 1 Schutz der Benutzerdatenintegrit t bei Inter TSF Transfer e FTP _ITC 1 Inter TSF Vertrauensw rdiger Kanal Sind die Funktionen f r den kryptographischen Betrieb vollst ndig bzw teilweise Be standteil des Produkts Composite TOE EVG so werden die genannten Anforde rungskomponenten nicht bzw nur zum Teil ben tigt Wegen der vielf ltigen Realisie rungsm glichkeiten wird ihre Verwendung in diesem Schutzprofil nicht vorgeschrieben Wenn die Funktionen f r den kryptographischen Betrieb vollst ndig innerhalb des TOE EVG realisiert werden so ist die Komponente FCS_COP 1 sowie alle direkt oder indirekt abh ngigen Anforderungskomponenten im ST in den Abschnitt funktio nale Sicherheitsanforderungen an den TOE EVG zu verschieben Weiterhin sind die Sicherheitsziele OE Disclosure und OE Manipulation ersatzlos zu streichen da sie voll st ndig von den Zielen O Disclosure und O Manipulation erfasst werden 4 September 2002 77195 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 7 Erkl rung 7 1 Erkl rung der Sicherheitsziele Tabelle 10 zeig
104. skontrolle SU Version 2 01 FAU_SAR 1 Durchsicht der Protokollierung Ist hierarchisch zu Keinen anderen Komponenten FAU_SAR 1 l Die TSF m ssen f r die Rolle EVG Administrator die F higkeit bereitstellen stattgefundene und abgewiesene Informations fl sse aus den Protokollaufzeichnungen zu lesen FAU_SAR 12 Die TSF m ssen die Protokollaufzeichnungen in einer f r die Interpretation der Informationen durch den Benutzer geeigneten Art und Weise bereitstellen Abh ngigkeiten FAU_GEN 1 Generierung der Protokolldaten FAU_SAR 2 Eingeschr nkte Durchsicht der Protokollierung Ist hierarchisch zu Keinen anderen Komponenten FAU_SAR 2 1 Die TSF m ssen allen Benutzern Zugriff zum Lesen der Proto kollaufzeichnungen verbieten mit Ausnahme der Rolle EVG Administrator Abh ngigkeiten FAU SAR 1 Durchsicht der Protokollierung FAU_SAR 3 Ausw hlbare Durchsicht der Protokollierung Ist hierarchisch zu Keinen anderen Komponenten FAU_SAR 3 1 Die TSF m ssen die F higkeit der Ausf hrung von Suchen und Sortieren von Protokolldaten auf Grundlage von Datenorten Subjekten Zeitr umen Informationsflussregeln und Sicherheits attributen bereitstellen Abh ngigkeiten FAU_SAR I Durchsicht der Protokollierung Zuweisung autorisierte Benutzer 1 Zuweisung Liste der Protokollinformationen Verfeinerung derjenigen Benutzer denen der Lesezugriff explizit gew hrt wurde 12 Auswahl Suchen Sortieren Ordne
105. st F r die Konformit t eines Compo site TOE EVG der diese Funktionalit t als integralen Bestandteil enth lt sind die erforderlichen funktionalen Komponenten zu den EVG Sicherheitsanforderungen zu verschieben Dies betrifft insbesondere die Komponente FCS_COP 1 die dann Anfor derungen an den TOE EVG und nicht an seine IT Umgebung stellt Eine m gliche Struktur des TOE EVG und seine Einbettung in die IT Umgebung ist in Abbildung 1 als Blockdiagramm dargestellt Der TOE EVG besteht hierbei aus dem unterlegten Bereich Das Basismodul stellt die Grundfunktionalit t Referenzmonitor bereit Die Erweiterungsmodule binden unterschiedliche Anwendungsdienste bspw Datenbanksysteme und Email Services sowie die Funktionen zur Konfiguration Ad ministration und Protokollauswertung an 10 95 4 September 2002 ge gp A Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Anwendungen E Business Office Pakete etc Basis Modul Krypto Modul Betriebs Datenbanksystem Hardware Abbildung 1 M gliche Struktur des TOE EVG in der IT Umgebung 2 4 Betriebsumgebung Es wird angenommen dass jeder rechtm ige Benutzer ein Interesse an der Sicherheits leistung des TOE EVG hat und von ihm keine direkten Bedrohungen von Benutzer daten ausgehen Um unerw nschte Informationsfl sse die von rechtm igen Benutzern angefordert
106. status umgesetzt werden da die Ent scheidung ob ein schreibender Informationsfluss in Objekt O zu erlauben ist davon abh ngt ob die Information I aus einem Objekt O mit C O Strong stammt Dazu wird der Sicherheitslevel des Subjekts S verwendet Bei einem lesenden Infor mationsfluss wird L S auf High gesetzt wenn C O Strong gilt es sei denn das Subjekt S ist gem der Informationsflussregel als vertrauensw rdig gekennzeichnet d h das Vertrauensw rdigkeitsflag TF hat den Wert True Anwendungsbemerkung 3 Der ST Autor kann festlegen welche Benutzer zus tz lich zum EVG Administrator Autorisierungen gem Prinzip P5 Benutzerbestimm barkeit vornehmen d rfen Er hat in einem solchen Fall zu pr zisieren auf welche Weise diese Benutzer die hierf r erforderliche Berechtigung erhalten Dies kann bspw mit Hilfe von Besitzrechten erfolgen 4 September 2002 17 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 2 5 3 Sicherheitscharakteristika Security Characteristics Im Folgenden werden die der SFP der benutzerbestimmbaren Informationsfluss kontrolle zugrunde liegenden Sicherheitscharakteristika security characteristics detail liert beschrieben Es sei eine konsistente Liste von Informationsflussregeln pr zisiert Um die Entschei dung zu treffen ob ein angeforderter Informationsfluss erlaubt oder verweigert wird
107. steht aus den folgenden Angaben e einer Operation einer Menge von Subjekten einer Menge von Datenorten einem Kontrollflag Bez CF einem Vertrauensw rdigkeitsflag Bez TF einem Protokollierungsflag Bez PF einer Menge von Informationsflussvorschriften M gliche Operationen sind Lesen read und Schreiben write von Information Ein Informationsfluss mit kontrollierten Objekten wird nur erlaubt wenn das anfor dernde Subjekt in der Menge der Subjekte genannt ist Damit k nnen die zur zweck gebundenen Verarbeitung der Information zugelassenen Subjekte bestimmt werden Um Mengen von Subjekten kompakt beschreiben zu k nnen ist die Verwendung von Platz haltern Wildcards erlaubt S mtliche Informationsfl sse mit allen an den genannten Datenorten aufbewahrten bzw neu erzeugten Objekten werden in bereinstimmung mit den Informationsfluss vorschriften durchgef hrt Um Mengen von Datenorten kompakt beschreiben zu k n nen ist die Verwendung von Platzhaltern Wildcards erlaubt Das Kontrollflag CF wird True gesetzt um zum Ausdruck zu bringen dass mit den genannten Datenorten nur Informationsfl sse gem vorhandener Informationsfluss regeln stattfinden d rfen Damit kann das wesentliche Merkmal von Informations flusskontrolle gew hrleistet werden n mlich dass zu kontrollierende Information im kontrollierten Bereich verbleibt Das Vertrauensw rdigkeitsflag TF wird True gesetzt wenn es den genannten Sub
108. stufe der Funktionen und bei dem in der Schwachstellenbewertung angenommenen Angriffspo tential berwinden kann Die Hinzunahme weiterer funktionaler Sicherheitsanforderun gen zum Management der FPT zur Gew hrleistung obiger Bedingungen dem ST wird dem Autor berlassen da diese von der Art des TOE EVG und der Einsatzumgebun gen abh ngen und somit auf der Abstraktionsebene des PP noch nicht spezifiziert wer den k nnen Verfeinerung TSF m ssen Verfeinerung ihre eigene 100 FVerfeinerung diese 10 Verfeinerung TSF m ssen 102 Verfeinerung TSF sollen 103 Verfeinerung den Eigengebrauch 76 95 4 September 2002 u ga Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 6 PP Anwendungsbemerkungen Die einzelnen Abschnitte des Schutzprofils enthalten entsprechend gekennzeichnete Anwendungsbemerkungen Dar ber hinaus wird auf das Folgende hingewiesen Der TOE EVG verwendet kryptographische Funktionen ob als Hardware Firmware und oder Software implementiert um seine Sicherheitsziele abzudecken Es wird nicht verlangt dass der TOE EVG selbst kryptographische Unterst tzung bietet Das Schutzprofil ist so konzipiert dass diese Funktionalit t durch ein anderes vertrauens w rdiges IT Produkt z B Smartcards erbracht werden kann Der Hersteller hat daf r Sorge zu tragen dass die zu verschl sselnden bzw zu
109. t dass jedes in Kap 4 identifizierte Sicherheitsziel mindestens einer Be drohung entgegenwirkt bzw mindestens eine Annahme oder organisatorische Sicher heitspolitik abdeckt Aspekte der EVG Sicherheitsziele Sicherheitsumgebung A NoBypass OE NoBypass A Selection OE Selection A Qualification OE Qualification A NoCapture OE NoCapture A NoVirus OE NoVirus T InformationFlow O InformationFlow O Support O EVG Administration OE Qualification OE Selection OE NoBypass T Read O InformationFlow O Disclosure OE Disclosure T Spy O InformationFlow O Disclosure OE Disclosure O Impersonate OE NoCapture OE NoBypass OE NoVirus OE Selection T Manipulate O InformationFlow O Manipulation OE Manipulation T Write O InformationFlow O Manipulation OE Manipulation O Impersonate OE NoCapture OE NoBypass OE NoVirus OE Selection T Unaware O InformationFlow O Disclosure OE Disclosure O Manipulation OE Manipulation O Support O EVG Administration OE Qualification T Modification O EVG Administration O Impersonate T Confidentiality O EVG Administration O Impersonate OE Qualification T Impersonate O Impersonate OE NoCapture T Support O Support OE Qualification P Appropriation O InformationFlow O Support O EVG Administration OE Qualification OE NoBypass OE Selection Tabelle 10 Abdeckung der EVG Sicherheitsumgebung durch die Sicherheitsziele 78 95 4
110. t wird der Infor mationsfluss verweigert und der Benutzer wird dahingehend informiert Der Wert des Sicherheitsattributs L S ndert sich nicht CW3 Gibt es eine Informationsflussregel in der D genannt ist und hat das Sicherheits attribut C O den Wert Strong so werden zwei F lle unterschieden i Wenn in der ausgew hlten Informationsflussregel R das Subjekt S genannt ist wird der Informationsfluss erlaubt Die Operation Schreiben hat in bereinstimmung mit der in R benannten Informationsflussvorschrift zu er folgen Der Wert des Sicherheitsattributs L S ndert sich nicht ii Wenn in der ausgew hlten Informationsflussregel R das Subjekt nicht ge nannt S ist wird der Informationsfluss verweigert und der Benutzer wird dahingehend informiert Der Wert des Sicherheitsattributs L S ndert sich nicht Informationsfl sse die gem der Regeln CW1 ii und CW2 i1 zu verweigern sind k nnen erlaubt werden wenn diese Informationsfl sse explizit autorisiert werden vgl Prinzip P5 Benutzerbestimmbarkeit Solche expliziten Autorisierungen wer den protokolliert Durch die Verwendung konsistenter Listen von Informationsflussregeln ist gew hrleistet dass die Ope ration Schreiben in der ausgew hlten Informationsflussregel genannt ist 20 95 4 September 2002 u ga Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version
111. t S auch in R genannt Die im Abschnitt Begriffsbestimmung formulierten Konsistenzbedingungen stellen sicher dass es in einer konsistenten Liste von Informationsflussregeln zu jedem in einer Informationsflussregel genannten Datenort eine spezifischste Informationsflussregel gibt in der die aktuelle Operation genannt ist 18 95 4 September 2002 u ga Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 Die SFP der benutzerbestimmbaren Informationsflusskontrolle st tzt sich auf die in Tabelle 2 zusammengefassten und nachfolgend beschriebenen Regeln Legende Auswahl erlaubt verweigert Entschei funktion liefert Objekt O hat Objekt O hat Kontrollstatus dung der SFP keine Regel Kontrollstatus C O Strong C Security Characteristics C O Weak Subjekt S wird Subjekt S wird P Security Principles in Regel R in Regel R genannt nicht genannt erlaubt erlaubt erlaubt verweigert read S I O CRI CR2 CR3 i CR3 ii P1 P2 P1 P2 P3 P1 P3 Won erlaubt erlaubt a wa ng erlaubt verweigert write S I O 2 PIE CW3 i CW3 ii verweigert verweigert L S High CW1 ii CW2 ii 21 22 ES KRIE P4 P5 P1 P4 P5 Tabelle 2 bersicht der Sicherheitscharakteristika Security Characteristics Lesen von Information Es sei read S I O der angeforderte Informationsflus
112. ter Effekte sollte im Rahmen der Plausibilit tskontrolle ein Hinweis erfolgen wenn der Fall eingetreten ist dass das Kontrollflag in sich berlappenden Informations flussregeln unterschiedlich gesetzt ist Der Sicherheitslevel eines Subjektes dient dazu das wesentliche Merkmal von Infor mationsflusskontrolle zu gew hrleisten n mlich dass zu kontrollierende Information im kontrollierten Bereich verbleibt Der Wert High zeigt an dass das betreffende Subjekt in Besitz von zu sch tzenden Informationen ist Das Sicherheitsattribut L S ist ver nderlich und variiert zur Laufzeit des Subjekts S Bei der Generierung eines neuen Subjekts S bspw beim Starten einer Applikation erh lt das Sicherheitsattribut L S den Wert Low als Anfangswert Der Wert von L S wechselt auf High und beh lt dann diesen Wert sobald das Subjekt S Informationen aus einem Objekt O mit Kontrollstatus C O Strong liest Eine Ausnahme hiervon bilden Informationsfl sse die als vertrauensw rdig gekennzeichnet sind d h in der zust ndigen Informationsflussregel ist TF True gesetzt 16 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 2 5 2 Sicherheitsprinzipien Security Principles F r die hier beschriebene EVG Sicherheitspolitik der benutzerbestimmbaren Informa tionsflusskontrolle werden folgende Sicherheitspr
113. tions TOE Security Policy Wide Area Network BSI PP 0007 4 September 2002 BSI PP 0007 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 C Literatur BISS MU FIPS 46 3 FIPS 81 FIPS 180 1 FIPS 197 ISO IEC 10116 PKCS 1 SPHINX X9 52 4 September 2002 Bundesamt f r Sicherheit in der Informationstechnik BSI Benut zerbestimmbare Informationsflusskontrolle MU Common Crite ria Schutzprofil BSI PP 0008 Version 2 01 4 September 2002 FIPS Publication 46 3 Data Encryption Standard DES October 25 1999 FIPS Publication 81 DES Modes of Operation December 2 1980 FIPS Publication 180 1 Secure Hash Standard SHS April 17 1995 FIPS Publication 197 Advanced Encryption Standard AES No vember 26 2001 ISO IEC 10116 1997 Modes of Operation for an n bit block cipher algorithm 1997 RSA Laboratories PKCS 1 v 2 0 RSA Cryptography Standard October 1998 Bundesamt f r Sicherheit in der Informationstechnik BSI SPHINX Pilotversuch Ende zu Ende Sicherheit Technische Grundlagen Tailoring MTTV2 Version 2 0 15 August 2000 ANSI X9 52 1998 Triple Data Encryption Algorithm Modes of Operation 95 95
114. tor e durch den von der Komponente FPT_RVM 1 geforderten Schutz gegen Umge hung des aktiven TOE EVG der durch die IT Umgebung zu gew hrleisten ist e durch den von der Komponente FPT_SEP 1 geforderten Schutz gegen Manipula tion des TOE EVG der durch die IT Umgebung zu gew hrleisten ist Die Komponente FMT MOF 1 unterst tzt die Komponenten FDP IFC 1 und FDP _IFF l Die Komponenten FPT_RVM I und FPT_SEP 1 leisten einen Beitrag zur Unterst tzung der Komponenten FDP _IFC 1 FDP_IFF l FIA UAU 1 FIA UID 1 FTA_SSL 3 und FMT_MOF 1 Dar ber hinaus dient FPT_SEP 1 zur Unterst tzung der Komponenten FAU_SAR l FAU SAR 2 FMT_MSA l FMT MTD 1A und FMT MTD 1B Weiterhin ist in Abschnitt 7 2 1 die Weglassung von unterst tzenden CC Komponenten f r die Formulierung von Anforderungen an einen vertrauensw rdigen Kanal zum Da tenaustausch mit externen kyptographischen Modulen vgl O Disclosure bzw O Manipulation sowie Kap 6 begr ndet In Abschnitt 7 2 2 werden die Abh ngigkeiten der funktionalen Komponenten unter sucht und nicht aufgel ste Abh ngigkeiten begr ndet Zus tzlich wird hier erkl rt dass die durchgef hrten Operationen miteinander abge stimmt sind Auswahloperationen Alle Auswahloperationen insbesondere die Wahl des Protokollierungsgrades Mini mal FAU_GEN 1 und die Wahl von Standardwerten f r Sicherheitsattribute mit freiz gigen Eigenschaften FMT_MSA 3 sind miteinander abgestimmt und stimmen mit
115. tsanforderungen ma geblich 24 95 4 September 2002 u ga Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 3 3 1 Urheber von Bedrohungen Aufgrund von Fehlern k nnen ein EVG Administrator ein IT Administrator und ein IT Benutzer Urheber von Bedrohungen sein Dar ber hinaus k nnen Bedrohungen von einem IT Administrator und von einem unautorisierten Benutzer ggf unter Verwen dung von sogenannter b sartiger Software z B Viren Trojaner ausgehen 3 3 2 Prim rbedrohungen T InformationFlow Ein IT Benutzer l st Informationsfl sse aus die un autorisierten Benutzern die M glichkeit er ffnen in Bezug auf Ver traulichkeit Integrit t bzw Authentizit t zu sch tzende UserData aus zusp hen bzw zu manipulieren Erl uterung Ohne den TOE EVG k nnte ein IT Benutzer bspw versehentlich ver anlassen dass vertrauliche Daten unverschl sselt ber offene Netze transportiert wer den T Read In Bezug auf Vertraulichkeit sch tzenswerte UserData wird w h rend eines stattfindenden Informationsflusses von einem unautorisier ten Benutzer gelesen Erl uterung Diese Bedrohung zielt im Besonderen auf die bertragung von Daten ber offene Netze In erster Linie ist hierbei an die h ufig vorkommende Praxis gedacht Daten wie z B Kreditkartendaten oder Patientendaten unverschl sselt zu verschicken Ein unautorisierter Benutzer k nnt
116. tsm ige Verarbeitung leistet der TOE EVG mit Hilfe eines Referenz monitors der die Informationsfl sse berwacht 2 3 EVG Abgrenzung Der TOE EVG besteht aus einem immer aktiven funktionalen Verarbeitungsteil be stehend aus Referenzmonitor Kontroll und Verarbeitungsfunktionen sowie aus einer Liste von Informationsflussregeln Der funktionale Verarbeitungsteil berwacht und verarbeitet die Informationsfl sse Daneben existieren Funktionen zur Konfiguration Administration und Protokollauswertung Anwendungsbemerkung 1 Der ST Autor hat die Bestandteile des TOE EVG n her zu beschreiben z B wenn f r die Administration ein eigenst ndiges Programm vorge sehen ist Das vorliegende Schutzprofil ist so formuliert dass f r die Realisierung von Produkten verschiedene Architekturen m glich sind e Component TOE EVG Die Funktionen zur Informationsflusskontrolle und zur Speicherung und Anwendung kryptographischer Schl ssel sind voneinander separiert Dies erlaubt insbesondere die Verwendung von vorgefertigten Krypto Modulen e Composite TOE EVG Die Funktionen zur Informationsflusskontrolle und zur Speicherung und Anwendung kryptographischer Schl ssel sind integrale Be standteile des Produkts Die IT Sicherheitsanforderungen sind so spezifiziert dass das Schutzprofil f r die Rea lisierung eines Component TOE EVG der f r den kryptographischen Betrieb auf ex terne Dienste zur ckgreift unmittelbar geeignet i
117. tungsmerkmale des TOE EVG beschrieben In den Abschnitten EVG Abgrenzung und Betriebsumgebung des TOE EVG werden die Bestandteile des TOE EVG und seine Einbettung in die Betriebsumgebung aufgezeigt Zur Erleichte rung des Verst ndnisses der Sicherheitskonzepte des TOE EVG werden im Abschnitt EVG Sicherheitspolitik zun chst deren grundlegenden Begriffe definiert Daran schlie t sich die detaillierte Beschreibung der Sicherheitsprinzipien und charakteristika der funktionalen Sicherheitspolitik SFP der benutzerbestimmbaren Informationsflusskon trolle an Die EVG Sicherheitsumgebung beschreibt Sicherheitsaspekte der Umgebung in wel cher der TOE EVG verwendet wird und die Art und Weise wie er zu gebrauchen ist Die EVG Sicherheitsumgebung beinhaltet Beschreibungen von a Annahmen in Bezug auf die Umgebung in der der TOE EVG eingesetzt wird b Bedrohungen die durch den TOE EVG abgewendet werden sollen und c organisatorischen Sicherheitspolitiken die vom TOE EVG durchzusetzen sind Die Sicherheitsziele legen produktunabh ngig den Zweck des Schutzprofils dar Dazu geh rt wie der TOE EVG erkannten Bedrohungen begegnet und wie er ausgewiesene organisatorische Sicherheitspolitiken und Annahmen abdeckt F r jedes Sicherheitsziel ist festgelegt ob es f r den TOE EVG oder die Umgebung gilt Das Kapitel IT Sicherheitsanforderungen stellt in separaten Teilabschnitten detaillierte Sicherheitsanforderungen f r den TO
118. uf das gleiche Objekt nicht zu Daten verlust f hren Diese berlegungen legen geeignete Einschr nkungen f r die Zusammenstellung von Informationsflussregeln nahe Eine Liste von Informationsflussregeln hei t konsistent falls die folgenden Bedingungen erf llt sind C1 Wenn die in einer Informationsflussregel formulierte Informations flussvorschrift Operationen zum Schutz der Vertraulichkeit Inte grit t oder Authentizit t enth lt so muss das Kontrollflag CF auf den Wert True gesetzt sein C2 Zu jedem Informationsfluss gibt es h chstens eine spezifischste In formationsflussregel in der das betreffende Subjekt und die aktu elle Operation genannt sind C3 Wenn es f r einen Datenort eine spezifischste Informations flussregel f r die Operation Lesen gibt so gibt es auch eine spezi fischste f r die Operation Schreiben Wenn es f r einen Datenort eine spezifischste Informationsflussregel f r die Operation Schrei ben gibt so gibt es auch eine spezifischste f r die Operation Lesen C4 F r je zwei spezifischste Informationsflussregeln f r denselben Datenort gilt dass die in den Informationsflussregeln formulierten Informationsflussvorschriften einander nicht widersprechen Der ST Autor ist verpflichtet zu definieren was es hei t dass Informationsfluss vorschriften widerspr chlich sind Diese Definition hat derart pr zise zu sein dass sich daraus ein implementierbares Verfahren ableiten l t mit dem
119. usskontrolle SU Version 2 01 5 1 2 5 Klasse ATE Testen ATE_COV 1 Nachweis der Testabdeckung Abh ngigkeiten ADV_FSP 1 Informelle funktionale Spezifikation ATE FUN 1 Funktionales Testen Elemente zu Entwickleraufgaben ATE COV 1 1D Der Entwickler muss den Nachweis der Testabdeckung erbrin gen Elemente zu Inhalt und Form des Nachweises ATE COV 1 1C Der Nachweis der Testabdeckung muss die bereinstimmung zwischen den in der Testdokumentation identifizierten Tests und den TSF die in der funktionalen Spezifikation beschrieben sind zeigen Elemente zu Evaluatoraufgaben ATE COV 1 1E Der Evaluator muss best tigen dass die bereitgestellten Infor mationen alle Anforderungen an Inhalt und Form des Nachwei ses erf llen ATE_FUN I Funktionales Testen Abh ngigkeiten Keine Abh ngigkeiten Elemente zu Entwickleraufgaben ATE_FUN 1 1D Der Entwickler muss die TSF testen und die Ergebnisse doku mentieren ATE_FUN 1 2D Der Entwickler muss die Testdokumentation bereitstellen 4 September 2002 63 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 Elemente zu Inhalt und Form des Nachweises ATE FUN 1 1C Die Testdokumentation muss die Testpl ne die Beschreibungen der Testprozeduren die erwarteten Testergebnisse und die tat s chlichen Testergebnisse enthalten ATE_FUN 1 2C Die Testpl ne m ssen die zu testenden Sicherheitsfunktionen ide
120. w In einem solchen Fall ist der ST Autor aufgefordert zu pr fen ob OE NoVirus im Abschnitt Sicherheits ziele f r den TOE EVG wiederholt werden soll 32 95 4 September 2002 g m m Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare Informationsflusskontrolle SU Version 2 01 5 IT Sicherheitsanforderungen Dieser Abschnitt beinhaltet funktionale Anforderungen die von einem zu diesem Schutzprofil konformen Produkt und seiner IT Umgebung erf llt sein m ssen Die An forderungen bestehen aus funktionalen Komponenten des Teils 2 der CC Tabelle 5 er l utert den Zusammenhang zwischen den CC Funktionsklassen und den Leistungs merkmalen des TOE EVG Leistungsmerkmale Funktionalit tsklassen nach CC Abweisen von Informationsfl s FDP Schutz der Benutzerdaten sen Informationsflusskontrolle FIA Identifikation und Authentisierung Zweckbindung FTA EVG Zugriff Sicherung stattfindender Informa FCS Kryptographische Unterst tzung tionsfl sse Vertraulichkeit Inte FDP Schutz der Benutzerdaten grit t Authentizit t FIA Identifikation und Authentisierung FPT Schutz der TSF FTA EVG Zugriff Transparente und automatische FMT Sicherheitsmanagement Anwendung von Sicherheitsfunk tionen Unterst tzung bei der Administra FAU Sicherheitsprotokollierung tion FMT Sicherheitsmanagement Protokollierung stattgefundener FAU Sicherheitsprotokollierung und abge
121. wiesener Informations fl sse Tabelle 5 Zuordnung zwischen Leistungsmerkmalen und CC Funktionalit tsklassen 4 September 2002 33 95 01345 BISS SU Common Criteria Schutzprofil Version 2 01 Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 5 1 EVG Sicherheitsanforderungen Mindest St rkestufe der Funktionen F r die EVG Sicherheitsfunktionen die auf einem Wahrscheinlichkeits oder Permu tationsmechanismus beruhen wird die Mindest St rkestufe SOF Mittel postuliert 5 1 1 Funktionale Sicherheitsanforderungen an den TOE EVG Tabelle 6 bietet eine bersicht ber die funktionalen Sicherheitsanforderungen welche vom TOE EVG erf llt werden m ssen Nr Komponente Beschreibung 16 _ FAU STG 1 Gesch tzte Speicherung des Protokolls DD 8 FDP ETC 1 _ Export von Benutzerdaten ohne Sicherheitsattribute 9 _ FDP_IFC 1 _ Teilweise Informationsflusskontrolle Zeitpunkt der Authentisierung 3 FIA UID 1 Zeitpunkt der Identifikation FIA UID 2 Benutzeridentifikation vor jeglicher Aktion FMT MOF l Management des Verhaltens der Sicherheitsfunktionen FMT MSA l Management der Sicherheitsattribute FMT MSA 3 Initialisierung statischer Attribute Management der TSF Daten 19 Sichere TSF Daten 20 FMT SMF l Specification of Management Functions 1 22 Tabelle 6 Funktionale Sicherheitsanforderungen an den TOE EVG 34 95 4 September 2002 BSI PP 0007 iD Sichere Software Com
122. zen c Funktionen die den EVG Administrator beim Erstellen von plausiblen Listen von Informationsflussregeln unterst tzen Die Komponente wird durch folgende Elemente verfeinert FMT_SMF l a Die TSF sollen folgende Funktionen bereitstellen die den EVG Administrator beim Erstellen von Informationsflussregeln unter st tzen a Funktionen die es dem EVG Administrator erm glichen Teile bereits erstellter Informationsflussregeln beim Erstel len neuer Informationsflussregeln zu verwenden Kopieren und Verschieben b Funktionen die es dem EVG Administrator erlauben Aliase f r Informationsflussvorschriften und Listen von Subjekten zu vergeben und diese bei der Erstellung von Informations flussregeln zu verwenden c Funktionen die dem EVG Administrator einerseits Be schreibungsmittel an die Hand geben um Mengen von Da tenorten mit Hilfe von Wildcards kompakt zu beschreiben und es ihm andererseits erm glichen solcherart Beschrei bungen bei der Erstellung von Informationsflussregeln zu verwenden gt 4 Diese Komponente wurde in der Final Interpretation 065 der CC definiert Eine autorisierte berset zung dieser Kompo nente gibt es nicht Deshalb ist das englischsprachige Original zitiert worden assignment list of security management functions to be provided by the TSF 50 95 4 September 2002 g Sichere Software Common Criteria Schutzprofil 01345 BISS SU BSI PP 0007 Benutzerbestimmbare
123. ziel O InformationFlow stellt sicher dass UserData nur von den daf r in der Sicherheitspolitik festgelegten Subjekten verarbeitet werden k nnen Die Ziele O Support O EVG Administration und OE Qualification sorgen daf r dass die festge legte Sicherheitspolitik dem Schutzbed rfnis des IT Benutzers entspricht Schlie lich ist durch OE Selection und OE NoBypass gew hrleistet dass kein Informationsfluss vom TOE EVG unbemerkt stattfinden kann 4 September 2002 81 95 01345 BISS SU Version 2 01 Common Criteria Schutzprofil Benutzerbestimmbare Informationsflusskontrolle SU BSI PP 0007 7 2 Erkl rung der Sicherheitsanforderungen 7 2 1 Erkl rung der funktionalen Sicherheitsanforderungen Tabelle 11 zeigt dass jede in Kap 5 identifizierte funktionale Sicherheitsanforderung der Erf llung mindestens eines IT Sicherheitsziels dient IT Sicherheitsziele Funktionale EVG Sicherheitsanforderungen principal supporting O InformationFlow FDP _IFC 1 FDP _IFF 1 FDP _ETC 1 FDP _ITC 1 FMT_MOF 1 FMT_MSA1 FMT_MSA 3 FMT_MTD IA FMT_MTD 3 FMT_SMR 2 FIA_UID 2 FPT_ITT 1 FPT_RVM 1 FPT_SEP 1 AVA MSU 3 O Disclosure FDP _IFC 1 FDP _IFF 1 FDP_ETC 1 FDP_ITC 1 FMT MTD 1A FMT MTD 3 FCS_COP 1A FCS_COP IC AVA MSU 3 O Manipulation FDP _IFC 1 FDP _IFF 1 FDP_ETC 1 FDP _ITC 1 FMT_MTD 1lA FMT_MTD 3 FCS_COP 1D FCS_COP IF AVA_MSU 3 O Support FDP IFC 1 FDP _I
Download Pdf Manuals
Related Search