Evaluierung von IT-Sicherheit

ISO/IEC 19790 (FIPS 140-2)

ISO/IEC 19790 (FIPS 140-2)

Requirements for Cryptographic Modules / Anforderungen an kryptographische Module

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Requirements for Cryptographic Modules / Anforderungen an kryptographische Module

Inhalt und Anwendungsbereich

Der Standard ISO/IEC 19790 geht als Überarbeitung aus der nationalen US-Norm “Federal Information Processing Standard Publication (FIPS PUB) 140-2, Security requirements for cryptographic modules” hervor. Er soll in Zukunft eine breitere Grundlage anbieten.

Das Dokument dient der Evaluierung von Kryptomodulen und ist daher für Hersteller und Evaluatoren solcher Module interessant, wenn sie sich an FIPS 140-2 anlehnen wollen. FIPS 140-2 beschreibt Sicherheitsanforderungen für Kryptomodule, die in Hardware oder Software realisiert sein können. Eine Anpassung an FIPS 140-3 ist abzusehen.

Die in der Norm detailliert spezifizierten Sicherheitsanforderungen adressieren insgesamt elf Teilbereiche des Designs und der Implementierung derartiger Produkte. Abhängig von der Schärfe dieser Anforderungen unterscheidet der Standard vier Sicherheitsniveaus, vom niedrigsten Level 1 bis zum höchsten Level 4.

FIPS 140 bildet eine wichtige Grundlage für die Zertifizierung von Produkten mit kryptographischen Funktionen und ergänzt in diesem Segment Kriterienwerke wie etwa den Common Criteria. Zu den Produkten zählen unter anderem VPN-Lösungen, Chipkarten oder Sicherheitsmodule. Als Ergebnis einer erfolgreichen Zertifizierung nach FIPS 140-2 wird nicht nur ein Gesamtsicherheitsniveau (Level 1 bis 4) bescheinigt, sondern auch individuelle Prüfergebnisse in verschiedenen Teilbereichen. Letztere sind für konkrete Anwendungsfälle vielfach aussagekräftiger als das Gesamtergebnis.

Zertifizierung

Derzeit ist nur eine Zertifizierung nach FIPS 140-2 möglich. Aktuell sind neun Prüfstellen akkreditiert, davon fünf in den USA, sowie je zwei in Kanada und in UK. Bis Ende 2004 wurden etwa 500 Zertifikate erteilt. Eine Liste der zertifizierten Produkte ist verfügbar.

Weitere Anmerkungen

Mittelfristig plant die ISO, die Anforderungen der ISO/IEC 19790 in die Systematik der ISO/IEC 15408 zu integrieren, wobei weiterhin nicht nur eine Norm für die Evaluierung aller Sicherheitsprodukte existieren wird.

Bisherige Ausgaben

ISO/IEC 19790:2006, 2012
ISO/IEC 19790:2006/Cor.1:2008

Standards in diesem Bereich

ISO/IEC 18045
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Methodology for IT security evaluation / Methodik zur Evaluation von IT-Sicherheit
ISO/IEC TR 19791
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Security assessment of operational systems / Bewertung der Sicherheit von Systemen im Betrieb
ISO/IEC 19790 (FIPS 140-2)
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Requirements for Cryptographic Modules / Anforderungen an kryptographische Module
ISO/IEC 24759
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Test requirements for cryptographic modules Testanforderung für kryptographische Module
ISO/IEC 19792
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Security evaluation of biometrics / Evaluierung der IT-Sicherheit biometrischer Technologie
ISO/IEC 21827 (SSE-CMM)
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Capability Maturity Model [SSE-CMM®] Model der Ablaufstauglichkeit
ISO/IEC TR 15446
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guide on the production of protection profiles and security targets Leitfaden zum Erstellen von Schutzprofilen und Sicherheitsvorgaben
ISO/IEC 15408 (CC)
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Evaluation criteria for IT security / Evaluationskriterien für IT-Sicherheit
ISO/IEC TR 15443
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:A framework for IT security assurance / Rahmenrichtlinien zur Sicherung von IT-Sicherheit