ISO 15408

ISO 15408

Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch etwa: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die Kriterien der Bewertung und Zertifizierung der Sicherheit von Computersystemen im Hinblick auf Datensicherheit. Der Common Criteria Standard soll eine gemeinsame Grundlage für solche Bewertungen bieten und insbesondere den europäischen ITSEC- und den amerikanischen TCSEC-Standard ablösen. Er soll vermeiden, dass Komponenten oder Systeme in verschiedenen Ländern mehrfach zertifiziert werden müssen.

Die Bewertung ist, wie bereits bei ITSEC und dem älteren BSI-Standard ITS, in die Bewertung der Funktionalität (Funktionsumfang) des betrachteten Systems und der Vertrauenswürdigkeit (Qualität) gegliedert. Letztere muss nach den Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung betrachtet werden.

Idealerweise wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen Schutzprofils führt. Aus diesem Sicherheitskatalog können dann für bestimmte Produkte gezielt Sicherheitsvorgaben erarbeitet werden, gegen die dann die Evaluierung gemäß CC durchgeführt wird. Dabei wird die geforderte Vertrauenswürdigkeit, die Prüftiefe, im allgemeinen gemäß EAL (Evaluation Assurance Level, s.u.) festgelegt. Eine Angabe der Prüftiefe ohne zugrunde liegende funktionale Sicherheitsanforderungen ist sinnlos. Leider hat sich vor allem die Nennung der EAL Stufen ohne weitere Angaben durchgesetzt, was vielfach zu Irritationen und hitzigen Debatten führt.

Im Jahre 1999 sind die Common Criteria, die zwischenzeitlich in der Version 3.1 vorliegen, zum International Standard ISO/IEC 15408 erklärt worden. Der deutsche Anteil an dieser Arbeit wird u.a. vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die CC umfassen drei Teile:

  • Teil 1: Einführung und allgemeines Modell / Introduction and General Model
  • Teil 2: Funktionale Sicherheitsanforderungen / Functional Requirements
  • Teil 3: Anforderungen an die Vertrauenswürdigkeit / Assurance Requirements

Derzeit ist die internationale gegenseitige Anerkennung bis zum EAL4 (siehe unten) abgestimmt. Höhere EALs müssen international nicht anerkannt werden, haben aber in der privaten Wirtschaft aufgrund ihrer enormen Komplexität ohnehin kaum praktische Bedeutung. Die Evaluierung nach CC ist generell recht aufwändig und nimmt einige Zeit in Anspruch. Sie erfolgt dabei von akkreditierten Prüfstellen, die Zertifizierung selbst kann nur vom BSI selbst bzw. den Partnerorganisationen der anderen Länder erfolgen. Die Akkreditierung der Prüfstellen wird ebenfalls nach einem fest vorgegebenen Verfahren durchgeführt und muss regelmäßig erneuert werden.

Inhaltsverzeichnis

Funktionalitätsklassen

Im Gegensatz zu den bisherigen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Statt dessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:

Funktionalitätsklassen werden zu Schutzprofilen zusammengefasst, die den typischen Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben.

Vertrauenswürdigkeit

Die Common Criteria definieren sieben Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben:

CC EAL ITSEC E BSI ITS Q Bedeutung TCSEC
EAL1 E0-E1 Q0-Q1 funktionell getestet D-C1
EAL2 E1 Q1 strukturell getestet C1
EAL3 E2 Q2 methodisch getestet und überprüft C2
EAL4 E3 Q3 methodisch entwickelt, getestet und durchgesehen B1
EAL5 E4 Q4 semiformal entworfen und getestet B2
EAL6 E5 Q5 semiformal verifizierter Entwurf und getestet B3
EAL7 E6 Q6 formal verifizierter Entwurf und getestet A

Common Criteria Evaluation Methodology

Ergänzend zu den Common Criteria wurde von den beteiligten Gremien und Einrichtungen eine Zertifizierungsmethodik entwickelt, die die Ergebnisse von Zertifizierungen nachvollziehbar und vergleichbar machen soll. Aktuell sind sie für die Teile 1 und 2 ausgeführt und analog zur den EAL 1–4 aufgebaut.

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • ISO 15408 — Critères communs Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on… …   Wikipédia en Français

  • ISO 15292 — ISO 15292, Information technology Security techniques Protection Profile registration procedures establishes an international registry (operated by AFNOR) for Protection Profiles and packages used in computer security evaluation under the Common… …   Wikipedia

  • ISO/CEI 27002 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • Iso 216 — Dimensions ISO 216 (mm × mm) Séries A A0 841 × 1189 A1 594 × 841 A2 420 × 594 A3 297 × 420 A4 210 × 297 A5 148 × 210 A6 …   Wikipédia en Français

  • ISO/CEI 8859 — ISO 8859 ISO 8859, également appelée plus formellement ISO/CEI 8859, est une norme commune de l ISO et de la CEI de codage de caractères sur 8 bits pour le traitement informatique du texte. Le standard est divisé en parties numérotées publiées… …   Wikipédia en Français

  • ISO/IEC 8859 — ISO 8859 ISO 8859, également appelée plus formellement ISO/CEI 8859, est une norme commune de l ISO et de la CEI de codage de caractères sur 8 bits pour le traitement informatique du texte. Le standard est divisé en parties numérotées publiées… …   Wikipédia en Français

  • ISO 3166-1 — est une des parties de la norme ISO 3166. Publiée pour la première fois en 1974 par l’ISO, elle attribue 3 codes pour les pays du monde : ISO 3166 1 alpha 2 : codes à deux lettres pour de nombreuses applications, notamment les domaines… …   Wikipédia en Français

  • ISO 8859 — ISO 8859, également appelée plus formellement ISO/CEI 8859, est une norme commune de l ISO et de la CEI de codage de caractères sur 8 bits pour le traitement informatique du texte. Le standard est divisé en parties numérotées publiées séparément …   Wikipédia en Français

  • Iso 8859 — ISO 8859, également appelée plus formellement ISO/CEI 8859, est une norme commune de l ISO et de la CEI de codage de caractères sur 8 bits pour le traitement informatique du texte. Le standard est divisé en parties numérotées publiées séparément …   Wikipédia en Français

  • ISO 4217 — (ИСО 4217) Коды для представления валют и фондов Codes for the representation of currencies and funds  (англ.) Codes pour la représentation des monnaies et types de fonds  (фр.) …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”