Lösung: Common Criteria | ISO/IEC 15408
Solution: Common Criteria | ISO/IEC 15408
Produktsicherheit: Common Criteria (ISO/IEC 15408)
Ablauf der Zertifizierung
- 1.
Planung
- 2.
Dokumentenprüfung
- 3.
Vor-Ort-Besuch
- 4.
Prüfung
- 5.
ETR und CR
- 6.
Abschluss & Zertifikat
Common Criteria (ISO/IEC 15408)
Common Criteria (ISO/IEC 15408) ist eine der umfassendsten und komplexesten Normen, die sich mit der Produktsicherheit befasst. Die Common Criteria-Zertifizierung ist ein weltweit anerkannter Nachweis für die Sicherheitseigenschaften eines Produkts.
Vorteile
- Zeigen Sie Ihren Kunden und Geschäftspartnern, dass Ihr Produkt das erforderliche Sicherheitsniveau erfüllt.
- Umfassende Auswertungsberichte, die Verbesserungspotenziale aufzeigen.
- Weltweit anerkannte Zertifizierung.
- Geringere Kosten und höhere Effizienz im Vergleich zu europäischen Auswerteeinrichtungen.
Einführung der Common Criteria
Die Gemeinsamen Kriterien für die Bewertung der Sicherheit von Informationstechnik (CC) und die dazugehörige Gemeinsame Methodik für die Bewertung der Sicherheit von Informationstechnik (CEM) sind die technische Grundlage für eine internationale Vereinbarung, das Common Criteria Recognition Arrangement (CCRA), das sicherstellt, dass:
- Produkte können von kompetenten und unabhängigen lizenzierten Laboratorien evaluiert werden, um die Erfüllung bestimmter Sicherheitseigenschaften bis zu einem gewissen Grad oder einer gewissen Sicherheit festzustellen.
- Unterstützende Dokumente, werden innerhalb des Common Criteria-Zertifizierungsprozesses verwendet, um zu definieren, wie die Kriterien und Bewertungsmethoden bei der Zertifizierung bestimmter Technologien angewendet werden.
- Die Zertifizierung der Sicherheitseigenschaften eines evaluierten Produkts kann von einer Reihe von Zertifizierungsstellen ausgestellt werden, wobei diese Zertifizierung auf dem Ergebnis ihrer Evaluierung basiert.
- Diese Zertifikate werden von allen Unterzeichnern der CCRA anerkannt.
1. Ansatz für Common Criteria
- Workshop zum Training der Common Criteria
- Allgemeines Modell
- Komponenten für Sicherheitsfunktionen und Assurance
- Schutzprofile
- Scoping des Evaluationsgegenstandes (EVG)
- Analyse der Komponenten des Zielprodukts
- Optimierung des Umfang des Produkts für die Auswertung
- Gap-Analyse
- Analyse der aktuellen Situation des Produkts
- Analyse der aktuellen Situation von Standort und Prozess
- Bericht zur Gap-Analyse
- Beratung bei der Erstellung von Sicherheitsvorgaben (ST)
- Auslegung der Anforderung von ST
- Demo der einzelnen Teile des ST
- Führen und überprüfen der ST des Kunden
2. Auswertungsnachweise vorbereiten
- Workshop zur Common Criteria-Dokumentation
- CC erforderliche Dokumentation in jeder Klasse
- Wie man Dokumente in CC schreibt
- Beratung zur Erfüllung von Sicherheitsanforderungen und Verbesserung von Sicherheitsmerkmalen
- Analyse der funktionalen Sicherheitsanforderungen des EVG
- Überprüfung und Verbesserung der Sicherheitsmerkmale
- Beratung bei der Etablierung eines gesicherten Entwicklungsprozesses und des Product-Life-Cycle-Managements
- Analyse von Prozess- und Lebenszyklusmanagement
- Verbesserung der Sicherheitskontrollen
- Beratung zur Erhöhung der Sicherheit vor Ort
- Vor-Ort-Audit von Entwicklungsstandorten
- Befunde und Vorschläge zur Standortsicherheit
3. EVG evaluieren
- Überprüfung der Dokumentation und Feedback
- Schnelle Überprüfung von Dokumenten und sofortiges Feedback
- Detaillierte Prüfung der Dokumente und formale Kommentare
- Schwachstellenanalyse und Penetrationstests
- Schwachstellenanalyse basierend auf verschiedenen Ebenen von Angriffspotenzialen
- Tatsächliche Penetrationstests von Angriffspotenzialen
- Auswertung Beobachtungsberichte
- Vom CB genehmigte Beobachtungsberichte für jede Klasse
- Erläuterung der Beobachtungsberichte
4. Zertifizierung
- Auswertung Technischer Bericht an Zertifizierungsstelle
- Vorbereitung des abschließenden technischen Evaluierungsberichts (ETR)
- ETR von CB genehmigen lassen
- Unterstützung beim Zertifizierungsprozess der Zertifizierungsstelle
- Mehrere Treffen mit CB während verschiedener Phasen der Evaluierung
- Abläufe des Zertifizierungsprozesses