Week 7 Kriteria penilaian - PowerPoint PPT Presentation

1 / 20
About This Presentation
Title:

Week 7 Kriteria penilaian

Description:

Week 7. Kriteria penilaian. Pengenalan. Cara jaminan produk: ... Trusted Computer System Evaluation Criteria (TCSEC) is a United States ... – PowerPoint PPT presentation

Number of Views:594
Avg rating:3.0/5.0
Slides: 21
Provided by: N215
Category:

less

Transcript and Presenter's Notes

Title: Week 7 Kriteria penilaian


1
Week 7Kriteria penilaian
2
Pengenalan
  • Cara jaminan produk
  • Jaminan olh pengilang/pembuat/pemberiperkhidmatan
  • Uji sendiri sistem tersebut
  • Bergantung kpd criteria penilaian drp pihak ketiga

3
Coth kriteria penilaian
  • Orange book olh Amerika Syarikat
  • Information Technology Security Evaluation
    Criteria(ITSEC)
  • Federal Criteria(NIST92)
  • The common criteria (CCITSE)

4
Orange book
5
Orange book
  • Trusted Computer System Evaluation Criteria
    (TCSEC) is a United States Government Department
    of Defense (DoD) standard that sets basic
    requirements for assessing the effectiveness of
    computer security controls built into a computer
    system. The TCSEC was used to evaluate, classify
    and select computer systems being considered for
    the processing, storage and retrieval of
    sensitive or classified information.
  • The TCSEC, frequently referred to as the Orange
    Book

6
Tujuan Orange Book
  • Garis panduan kpd pengguna utk menilai darjah
    kepercayaan pd sistem keselamatan komputer.
  • Garis panduan kpd pengilang/ pembuat sistem
    keselamatan komputer
  • Asas keperluan keselamatan khusus bg suatu sistem
    keselamatan komputer.

7
ITSEC
  • In May 1990, France, Germany, the Netherlands and
    the United Kingdom published the Information
    Technology Security Evaluation Criteria (ITSEC)
    based on existing work in their respective
    countries. Following extensive international
    review, Version 1.2 was subsequently published in
    June 1991 by the Commission of the European
    Communities for operational use within evaluation
    and certification schemes.
  • The ITSEC is a structured set of criteria for
    evaluating computer security within products and
    systems. The product or system being evaluated,
    called the target of evaluation, is subjected to
    a detailed examination of its security features
    culminating in comprehensive and informed
    functional and penetration testing.

8
NIST92
  • Refer to PDF file

9
Apakah sasaran didalam penilaian?
  • Produk atau Sistem
  • Bagi penilaian produk perlu mencari satu set
    generik(keserupaan) yang boleh diterima. Security
    classes didlm orange book dan profail
    perlindungan(protection profiles) pd Federal
    Criteria blh digunakan
  • Bagi penilaian sistem ITSEC blh gunakan.

10
Apakah tujuan penilaian?
  • Berdasarkan kpd Orange Book, ia dpt membezakan
  • PenilaianMenilai samaada suatu produk mempunyai
    kesemua keselamatan yg dinyatakan.
  • Pensijilanmenilai samaada produk yg dinilai itu
    sesuai utk aplikasi tertentu.
  • Akreditasimencadangkan suatu produk yg telah
    mendpt pensijilan blh digunakan dlm aplikasi
    tertentu.

11
Apakah kaedah penilaian?
Berorientasi audit
Penyiasatan
12
  • Kaedah pennyiasatan
  • Menilai dan menguji produk
  • Kos tinggi dan masa yg lama?melibatkan pakar
  • Kaedah berorientasi audit
  • Melihat kpd dokumentasi dan dokumentasi pengujian
  • Kos murah
  • Coth lain piawai kualiti(quality standard), ISO
    9000, repeatablility, reproducibility.

13
Struktur kriteria penilaian
  • Kebolehfungsian
  • Ciri keselematan pd sistem tersebut spt
    pengauditan, authentikasi dan sbgnya.
  • Keberkesanan
  • Adakah semua mekanisme keselamatan yg digunakan
    relevan dan sesuai dgn keperluan yg diberikan?
  • Jaminan
  • Kesempurnaan penilaian.
  • Didlm Orange Book, ianya mempertimbangkan
    ketiga-tiga aspek serentak dlm definasi kelas
    keselamatan manakala ITSEC menakrifkan
    ketiga-tiga ini berasingan.

14
Organisasi yg bertanggungjawab dlm proses
penilaian
  • Dilakukan olh agensi kerajaan
  • Coth di Malaysia SIRIM
  • Jika dikelolakan olh kerajaan?lambat, kakitangan
    berhijrah ke swasta
  • Penilaian olh pihak swasta lebih cepat ttp perlu
    dibayar.
  • Kebykan negara maju, penilaian dilakukan olh
    pihak swasta

15
Kos dan faedah penilaian
  • Yuran dibayar utk penilaian
  • Masa yg diambil utk mendptkan bukti penilaian,
    utk latihan penilai dan perundingan dgn kumpulan
    penilaian.
  • Faedah penilaian blh dipasarkan dgn adanya
    sijil?pengguna lebih yakin

16
Piawai kualiti
  • Adalah penilaian berorientasikan audit yg menilai
    bagaimana suatu produk dibangunkan tanpa sebrg
    rujukan kpd produk tersebut.
  • Pendekatan spt ini semakin popular.
  • Cth ISO 9000, ISO 9004, ISO 9001.

17
ISO 9000
  • Bersamaan dgn BS5750(BS?British Standard).
  • Menjelaskan konsep asas kualiti dan menyediakan
    garis panduan utk mencapai kualiti ini.
  • Blh digunakan utk pengurusan kualitii dlman dan
    luaran

18
ISO 9004
  • Menghuraikan set elemen asas supaya sistem
    kualiti dpt dibangunkan dan diimplementasikan utk
    tujuan pengurusan kualiti dlman.
  • Pemilihan elemen yg relevan bergantung kpd faktor
    spt pasaran produk, sifat produk, proses
    pengeluaran dan keperluan pengguna.

19
ISO 9001
  • Keperluan sistem kualiti yg digunakan utk kontrak
    di antara dua pihak yg memerlukan demonstrasi
    kebolehan pembekal utk merekabentuk dan
    membekalkan suatu produk atau perkhidmatan .

20
Soalan
  • Jelaskan Piawai kualiti(Quality Standards) serta
    berikan cth-cthnya.
  • Huraikan mengenai Orange Book.
  • Apakan kos dan faedah penilaian?
  • Jelaskan organisasi yg bertanggungjawab dlm
    proses penilaian.
  • Apakah kaedah dan struktur kaedah penilaian?
  • Berikan cth kriteria penilaian dan jelaskan
    sasaran dan tujuan didlm penilaian?
Write a Comment
User Comments (0)
About PowerShow.com