Common Criteria (CC)

Common Criteria

Copyright © Shutterstock/ bluejayy

Was bedeutet Common Criteria (CC)?

Common Criteria (CC) ist eine internationale Norm (ISO / IEC 15408) für die Computersicherheitszertifizierung, die der Bewertung der Sicherheit von Informationstechnologien dient.

Die Common Criteria (CC) ist genauer gesagt ein Rahmen, in dem Computersystembenutzer ihre Sicherheitsfunktions- und Sicherheitsanforderungen in einem Sicherheitsziel angeben können. Die Anbieter können dann die Sicherheitsattribute ihrer Produkte implementieren oder diesbezügliche Aussagen dazu machen.

Prüflaboratorien können dann die Produkte bewerten, um festzustellen, ob sie den Ansprüchen tatsächlich genügen. Mit anderen Worten, Common Criteria (CC) gewährleistet, dass der Prozess der Spezifikation, Implementierung und Bewertung eines Computersicherheitsprodukts streng und standardisiert und wiederholbar auf einem Niveau durchgeführt wurde, das der zu verwendenden Zielumgebung entspricht.

Die Konzepte

Die Common Criteria (CC) Bewertung dient zur Validierung von Behauptungen über das Ziel. Für die praktische Anwendung muss die Bewertung die Sicherheitsfunktionen des Ziels überprüfen. Dies geschieht durch:

Ein Dokument, das in der Regel von einem Benutzer oder einer Benutzergemeinschaft erstellt wird und das Sicherheitsanforderungen für eine Klasse von Sicherheitsgeräten identifiziert, die für diesen Benutzer relevant sind und einem besonderen Zweck dienen. Produktanbieter können sich für die Implementierung von Produkten entscheiden, die einem oder mehreren PPs entsprechen, und ihre Produkte anhand dieser bewerten lassen. In einem solchen Fall kann ein PP als Vorlage für das ST des Produkts (Sicherheitsziel) dienen, oder die Autoren des ST werden zumindest sicherstellen, dass alle Anforderungen in den relevanten PPs auch im ST-Dokument des Ziels erscheinen. Kunden, die nach bestimmten Produkttypen suchen, können sich auf diejenigen konzentrieren, die für das PP zertifiziert sind, das ihren Anforderungen entspricht.
Das Sicherheitsziel ist ein Dokument, das die Sicherheitseigenschaften des Evaluierungsziels identifiziert. Der ST kann die Konformität mit einem oder mehreren PPs geltend machen. Der EVG wird anhand der in seinem ST festgelegten SFRs (Security Functional Requirements) bewertet. Auf diese Weise können die Anbieter die Bewertung an die beabsichtigten Fähigkeiten ihres Produkts anpassen. Dies bedeutet, dass eine Netzwerkfirewall nicht die gleichen funktionalen Anforderungen wie ein Datenbankverwaltungssystem erfüllen muss und dass verschiedene Firewalls tatsächlich anhand völlig unterschiedlicher Anforderungslisten bewertet werden können. Der ST wird normalerweise veröffentlicht, damit potenzielle Kunden die spezifischen Sicherheitsmerkmale bestimmen können, die durch die Common Criteria (CC) Bewertung zertifiziert wurden.
Die Common Criteria (CC) präsentiert einen Standardkatalog solcher Funktionen. Beispielsweise kann ein SFR angeben, wie ein Benutzer, der eine bestimmte Rolle spielt, authentifiziert werden kann. Die Liste der SFRs kann von Bewertung zu Bewertung variieren, auch wenn zwei Ziele vom gleichen Produkttyp sind. Obwohl Common Criteria (CC) keine SFRs für die Aufnahme in ein ST-System vorschreibt, werden Abhängigkeiten identifiziert, bei denen die korrekte Ausführung einer Funktion von einer anderen abhängig ist.

Im Rahmen des Bewertungsprozesses wird auch versucht, das Vertrauensniveau zu ermitteln, das durch Qualitätssicherungsprozesse in die Sicherheitsmerkmale des Produkts gesetzt werden kann:

Sicherheitsanforderungen (Security Assurance Requirements, SAR)

Beschreibungen der Maßnahmen, die während der Entwicklung und Bewertung des Produkts ergriffen wurden, um die Einhaltung der beanspruchten Sicherheitsfunktionalität sicherzustellen. Bei einer Bewertung kann es beispielsweise erforderlich sein, dass der gesamte Quellcode in einem Änderungsverwaltungssystem aufbewahrt oder eine vollständige Funktionsprüfung durchgeführt wird.

Die Common Criteria enthalten einen Katalog davon, und die Anforderungen können von Bewertung zu Bewertung variieren. Die Anforderungen an bestimmte Ziele oder Produktarten sind in ST bzw. PP dokumentiert.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte