Zum Hauptinhalt springen

ISO | IEC 15408 - Common Criteria

A Member in Good Standing of TIC Council | TÜV®

ISO/IEC 15408 - Common Criteria

Überblick

Einführung der Common Criteria

Die Gemeinsamen Kriterien für die Bewertung der Sicherheit von Informationstechnik (CC) und die dazugehörige Gemeinsame Methodik für die Bewertung der Sicherheit von Informationstechnik (CEM) sind die technische Grundlage für eine internationale Vereinbarung, das Common Criteria Recognition Arrangement (CCRA), das sicherstellt, dass:

  • Produkte können von kompetenten und unabhängigen lizenzierten Laboratorien evaluiert werden, um die Erfüllung bestimmter Sicherheitseigenschaften bis zu einem gewissen Grad oder einer gewissen Sicherheit festzustellen.
  • Unterstützende Dokumente, werden innerhalb des Common Criteria-Zertifizierungsprozesses verwendet, um zu definieren, wie die Kriterien und Bewertungsmethoden bei der Zertifizierung bestimmter Technologien angewendet werden.
  • Die Zertifizierung der Sicherheitseigenschaften eines evaluierten Produkts kann von einer Reihe von Zertifizierungsstellen ausgestellt werden, wobei diese Zertifizierung auf dem Ergebnis ihrer Evaluierung basiert.
  • Diese Zertifikate werden von allen Unterzeichnern der CCRA anerkannt.
Kontakt

Ablauf der Zertifizierung

PlanBesuch vor OrtETR und CRTACSL prüft ST und bereitetEPP vor.TACSL hält Kick-off-Meetingab, Entwickler und CBnehmen daran teil.Entwickler reicht ST ein.CB prüft EPP.CB prüft Besuchsplan.TACSL entwickelt Besuchsplan.TACSL führt eine Vor-Ort-Besichtigung durch.CB prüft ETR.TACSL bereitet ETR vor.CB bereitet CR vor.Kommentar von TACSL und Entwickler zu CR.Doku prüfenPrüfungAbschlussEntwickler stellt Auswertungsunterlagen zur VerfügungCB prüft ORs.TACSL prüft Dokumente und bereitet ORs vorTACSL entwickelt Prüfungsplan.TACSL führt Prüfung durch,CB beaufsichtigt Prüfung.CB prüft Prüfungsplan.CB sends formalcertificate.CB and developerattend meeting.TACSL hostsclosedown meeting.PrüfungAbschlussDoku prüfenPlanBesuch vor OrtETR und CR

Plan

  • Entwickler reicht ST ein.
  • TACSL prüft ST und bereitet EPP vor.
  • CB prüft EPP.
  • TACSL hält Kick-off-Meeting ab, Entwickler und CB nehmen daran teil.

Dokumente überprüfen

  • Entwickler stellt Auswertungsunterlagen zur Verfügung.
  • TACSL prüft Dokumente und bereitet ORs vor.
  • CB prüft ORs.

Besuch vor Ort

  • TACSL entwickelt Besuchsplan.
  • CB prüft Besuchsplan.
  • TACSL führt eine Vor-Ort-Besichtigung durch.

Prüfung

  • TACSL entwickelt Prüfungsplan.
  • CB prüft Prüfungsplan.
  • TACSL führt Prüfung durch, CB beaufsichtigt Prüfung.

ETR und CR

  • TACSL bereitet ETR vor.
  • CB prüft ETR.
  • CB bereitet CR vor.
  • Kommentar von TACSL und Entwickler zu CR.

Abschluss

  • CB sendet formales Zertifikat.
  • TACSL veranstaltet Abschlussmeeting.
  • CB und Entwickler nehmen an Meeting teil.

Unsere Leistungen

  • 1. Ansatz für Common Criteria

    • Workshop zum Training der Common Criteria
      • Allgemeines Modell
      • Komponenten für Sicherheitsfunktionen und Assurance
      • Schutzprofile
    • Scoping des Evaluationsgegenstandes (EVG)
      • Analyse der Komponenten des Zielprodukts
      • Optimierung des Umfang des Produkts für die Auswertung
    • Gap-Analyse
      • Analyse der aktuellen Situation des Produkts
      • Analyse der aktuellen Situation von Standort und Prozess
      • Bericht zur Gap-Analyse
    • Beratung bei der Erstellung von Sicherheitsvorgaben (ST)
      • Auslegung der Anforderung von ST
      • Demo der einzelnen Teile des ST
      • Führen und überprüfen der ST des Kunden
  • 2. Auswertungsnachweise vorbereiten

    • Workshop zur Common Criteria-Dokumentation
      • CC erforderliche Dokumentation in jeder Klasse
      • Wie man Dokumente in CC schreibt
    • Beratung zur Erfüllung von Sicherheitsanforderungen und Verbesserung von Sicherheitsmerkmalen
      • Analyse der funktionalen Sicherheitsanforderungen des EVG
      • Überprüfung und Verbesserung der Sicherheitsmerkmale
    • Beratung bei der Etablierung eines gesicherten Entwicklungsprozesses und des Product-Life-Cycle-Managements
      • Analyse von Prozess- und Lebenszyklusmanagement
      • Verbesserung der Sicherheitskontrollen
    • Beratung zur Erhöhung der Sicherheit vor Ort
      • Vor-Ort-Audit von Entwicklungsstandorten
      • Befunde und Vorschläge zur Standortsicherheit
  • 3. EVG evaluieren

    • Überprüfung der Dokumentation und Feedback
      • Schnelle Überprüfung von Dokumenten und sofortiges Feedback
      • Detaillierte Prüfung der Dokumente und formale Kommentare
    • Schwachstellenanalyse und Penetrationstests
      • Schwachstellenanalyse basierend auf verschiedenen Ebenen von Angriffspotenzialen
      • Tatsächliche Penetrationstests von Angriffspotenzialen
    • Auswertung Beobachtungsberichte
      • Vom CB genehmigte Beobachtungsberichte für jede Klasse
      • Erläuterung der Beobachtungsberichte
  • 4. Zertifizierung

    • Auswertung Technischer Bericht an Zertifizierungsstelle
      • Vorbereitung des abschließenden technischen Evaluierungsberichts (ETR)
      • ETR von CB genehmigen lassen
    • Unterstützung beim Zertifizierungsprozess der Zertifizierungsstelle
      • Mehrere Treffen mit CB während verschiedener Phasen der Evaluierung
      • Abläufe des Zertifizierungsprozesses

Vorteile

  • Zeigen Sie Ihren Kunden und Geschäftspartnern, dass Ihr Produkt das erforderliche Sicherheitsniveau erfüllt.
  • Umfassende Auswertungsberichte, die Verbesserungspotenziale aufzeigen.
  • Weltweit anerkannte Zertifizierung.
  • Geringere Kosten und höhere Effizienz im Vergleich zu europäischen Auswerteeinrichtungen.

Anfrage

  •   | Drucken
to top