Evaluierung von IT-Sicherheit

ISO/IEC 15408 (CC)

ISO/IEC 15408 (CC)

Evaluation criteria for IT security / Evaluationskriterien für IT-Sicherheit

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Evaluation criteria for IT security / Evaluationskriterien für IT-Sicherheit

Inhalt und Anwendungsbereich

Die Norm definiert ein Kriterienwerk für die Sicherheitsevaluierung von IT-Produkten und
IT-Systemen. Der Standard besteht aus folgenden drei zusammengehörigen Teilen:

Teil 1: Einführung und allgemeines Modell (Introduction and general model)
Teil 2: Funktionale Sicherheitsanforderungen (Security functional requirements)
Teil 3: Anforderungen an die Vertrauenswürdigkeit (Security assurance requirements)

Teil 1 stellt das allgemeine Konzept der Evaluationskriterien vor. Grundlegende Begriffe wie Sicherheitsanforderungen, Sicherheitsziele, Schutzprofile und Evaluationsgegenstand (Target of Evaluation, TOE) werden eingeführt.

Teil 2 enthält einen Katalog vordefinierter Funktionalitäten. Die Sicherheitsanforderungen an die Funktionalität sind nach Klassen strukturiert und innerhalb einer Klasse weiter in Familien aufgeteilt. Jede Familie besitzt zumindest eine Komponente, in der die Sicherheitsanfor-derungen an die konkrete Funktionalität beschrieben werden. Darüber hinaus können eigene Sicherheitsvorgaben als Grundlage für die Evaluierung/Zertifizierung definiert werden.

Teil 3 spezifiziert Kriterien für die Evaluierung von Schutzprofilen und Sicherheitsvorgaben. Die Sicherheitsvorgaben werden vor Beginn der eigentlichen Evaluierung eines TOE separat evaluiert. Auch Schutzprofile können vorevaluiert werden. Die Sicherheitsanforderungen an die Vertrauenswürdigkeit sind wie in Teil 2 des Standards mittels Klassen, Familien und Komponenten strukturiert. Sie werden für jede Komponente in einem festgelegten Aufbau formuliert, der sich aus Anforderungen an den Entwickler, Anforderungen an Inhalt und Form der Prüfnachweise, sowie Anforderungen an den Evaluator zusammensetzt.

Zertifizierung

IT-Produkte und IT-Systeme können nach dem Standard, auch unter dem Namen „Common Criteria (CC)“ bekannt, zertifiziert werden. Im Rahmen der Zertifizierung wird die Sicherheit durch eine unabhängige Instanz (Prüfstellen, Zertifizierungsstellen und die nationalen Behörden) überprüft. Die Nutzer des Standards sind in den folgenden Gruppen zu finden:

Käufer von IT-Sicherheitsprodukten (Institutionen und Verbraucher) können das Vorliegen eines Zertifikats nach ISO 15408 zu einem Maßstab ihrer Kaufentscheidung machen. Dazu müssen sie zwar den Standard nicht selbst inhaltlich benutzen, sollten aber um seine Bedeutung wissen.

Große Institutionen oder Verbände von Verbrauchern können zudem das Mittel des Schutzprofils (Protection Profile) nutzen, um selbst Anforderungen an die Sicherheit von Produkten zu definieren.

Hersteller von IT-Sicherheitsprodukten und –systemen können die Erreichung eines Zertifikats nach ISO 15408 als Marketinginstrument nutzen, um die Vertrauenswürdigkeit ihrer Produkte zu demonstrieren. Um eine Evaluierung als Hersteller zu durchlaufen, ist eine intensive Arbeit mit dem Standard erforderlich.

Hersteller und Herstellerverbände können das Mittel des Schutzprofils nutzen, um Mindestanforderungen an einen Produkttyp im Markt zu etablieren.

IT-Sicherheitsberater und IT-Sicherheitsverantwortliche in Institutionen sollten die Norm ebenfalls kennen, auch wenn sie nicht selbst in Evaluationen involviert sind. Zum einen sind sie immer potentielle Nutzer evaluierter Produkte, zum anderen ist die Vorgehensweise der Common Criteria auch für andere Bereiche der IT-Sicherheit interessant.
 

Weitere Anmerkungen

Die Nutzung der Common Criteria erfolgt im Wesentlichen durch namhafte Hersteller etwa von Chipkarten und Chipkartenhardware oder von besonders sicheren IT-Produkten . Die für ein Zertifizierungsverfahren zu veranschlagenden Kosten fallen sehr unterschiedlich aus. Grundsätzlich gilt, dass ein strukturierter Entwicklungsprozess der standardmäßig zur geforderten Dokumentation führt, das Verfahren verkürzt und die Kosten senkt. Staatliche Stellen gehen zunehmend dazu über, die CC zur Grundlage für die Akzeptanz sicherer Systeme zu machen, in Deutschland wird die CC vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen und benutzt, dass auch an deren Entwicklung maßgeblich beteiligt war. Eines der Ziele des BSI ist, die Anwendung der CC auch für kleine Hersteller attraktiv zu machen.
Für Fachkreise (Hersteller von IT-Sicherheitsprodukten und professionelle Anwender solcher Produkte) gibt es in Form der jährlich stattfindenden ICCC (International Common Criteria Conference) ein internationales Forum.v

Bisherige Ausgaben

ISO/IEC 15408:1999 (Teile 1 - 3)
DIN ISO/IEC 15408:2001 (Teile 1 - 3)
ISO/IEC 15408:2005 (Teile 1 - 3) (2. Ausgabe)
DIN ISO/IEC 15408:2006 (Teile 1 - 3) (2. Ausgabe)
ISO/IEC 15408:2008 (Teile 2 - 3)
ISO/IEC 15408-1:2009
ISO/IEC 15408-2:2008
ISO/IEC 15408-3:2008

Array

ISO/IEC 15408 (CC)
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Evaluation criteria for IT security / Evaluationskriterien für IT-Sicherheit
ISO/IEC TR 15443
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:A framework for IT security assurance / Rahmenrichtlinien zur Sicherung von IT-Sicherheit
ISO/IEC 18045
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Methodology for IT security evaluation / Methodik zur Evaluation von IT-Sicherheit
ISO/IEC TR 19791
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Security assessment of operational systems / Bewertung der Sicherheit von Systemen im Betrieb
ISO/IEC 19790 (FIPS 140-2)
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Requirements for Cryptographic Modules / Anforderungen an kryptographische Module
ISO/IEC 24759
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Test requirements for cryptographic modules Testanforderung für kryptographische Module
ISO/IEC 19792
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Security evaluation of biometrics / Evaluierung der IT-Sicherheit biometrischer Technologie
ISO/IEC 21827 (SSE-CMM)
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Capability Maturity Model [SSE-CMM®] Model der Ablaufstauglichkeit
ISO/IEC TR 15446
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guide on the production of protection profiles and security targets Leitfaden zum Erstellen von Schutzprofilen und Sicherheitsvorgaben