Common Criteria (CC)

Common Criteria (CC)

Common Criteria (CC) ist eine internationale Norm (ISO / IEC 15408) f├╝r die Computersicherheitszertifizierung, die der Bewertung der Sicherheit von Informationstechnologien dient.

Die Common Criteria (CC) ist genauer gesagt ein Rahmen, in dem Computersystembenutzer ihre Sicherheitsfunktions- und Sicherheitsanforderungen in einem Sicherheitsziel angeben k├Ânnen. Die Anbieter k├Ânnen dann die Sicherheitsattribute ihrer Produkte implementieren oder diesbez├╝gliche Aussagen dazu machen. Pr├╝flaboratorien k├Ânnen dann die Produkte bewerten, um festzustellen, ob sie den Anspr├╝chen tats├Ąchlich gen├╝gen. Mit anderen Worten, Common Criteria (CC) gew├Ąhrleistet, dass der Prozess der Spezifikation, Implementierung und Bewertung eines Computersicherheitsprodukts streng und standardisiert und wiederholbar auf einem Niveau durchgef├╝hrt wurde, das der zu verwendenden Zielumgebung entspricht.

Die Konzepte

Die Common Criteria (CC) Bewertung dient zur Validierung von Behauptungen ├╝ber das Ziel. F├╝r die praktische Anwendung muss die Bewertung die Sicherheitsfunktionen des Ziels ├╝berpr├╝fen. Dies geschieht durch:

Ein Dokument, das in der Regel von einem Benutzer oder einer Benutzergemeinschaft erstellt wird und das Sicherheitsanforderungen f├╝r eine Klasse von Sicherheitsger├Ąten identifiziert, die f├╝r diesen Benutzer relevant sind und einem besonderen Zweck dienen. Produktanbieter k├Ânnen sich f├╝r die Implementierung von Produkten entscheiden, die einem oder mehreren PPs entsprechen, und ihre Produkte anhand dieser bewerten lassen. In einem solchen Fall kann ein PP als Vorlage f├╝r das ST des Produkts (Sicherheitsziel) dienen, oder die Autoren des ST werden zumindest sicherstellen, dass alle Anforderungen in den relevanten PPs auch im ST-Dokument des Ziels erscheinen. Kunden, die nach bestimmten Produkttypen suchen, k├Ânnen sich auf diejenigen konzentrieren, die f├╝r das PP zertifiziert sind, das ihren Anforderungen entspricht.
Das Sicherheitsziel ist ein Dokument, das die Sicherheitseigenschaften des Evaluierungsziels identifiziert. Der ST kann die Konformit├Ąt mit einem oder mehreren PPs geltend machen. Der EVG wird anhand der in seinem ST festgelegten SFRs (Security Functional Requirements) bewertet. Auf diese Weise k├Ânnen die Anbieter die Bewertung an die beabsichtigten F├Ąhigkeiten ihres Produkts anpassen. Dies bedeutet, dass eine Netzwerkfirewall nicht die gleichen funktionalen Anforderungen wie ein Datenbankverwaltungssystem erf├╝llen muss und dass verschiedene Firewalls tats├Ąchlich anhand v├Âllig unterschiedlicher Anforderungslisten bewertet werden k├Ânnen. Der ST wird normalerweise ver├Âffentlicht, damit potenzielle Kunden die spezifischen Sicherheitsmerkmale bestimmen k├Ânnen, die durch die Common Criteria (CC) Bewertung zertifiziert wurden.
Die Common Criteria (CC) pr├Ąsentiert einen Standardkatalog solcher Funktionen. Beispielsweise kann ein SFR angeben, wie ein Benutzer, der eine bestimmte Rolle spielt, authentifiziert werden kann. Die Liste der SFRs kann von Bewertung zu Bewertung variieren, auch wenn zwei Ziele vom gleichen Produkttyp sind. Obwohl Common Criteria (CC) keine SFRs f├╝r die Aufnahme in ein ST-System vorschreibt, werden Abh├Ąngigkeiten identifiziert, bei denen die korrekte Ausf├╝hrung einer Funktion von einer anderen abh├Ąngig ist.

Im Rahmen des Bewertungsprozesses wird auch versucht, das Vertrauensniveau zu ermitteln, das durch Qualit├Ątssicherungsprozesse in die Sicherheitsmerkmale des Produkts gesetzt werden kann:

Sicherheitsanforderungen (Security Assurance Requirements, SAR)

Beschreibungen der Ma├čnahmen, die w├Ąhrend der Entwicklung und Bewertung des Produkts ergriffen wurden, um die Einhaltung der beanspruchten Sicherheitsfunktionalit├Ąt sicherzustellen. Bei einer Bewertung kann es beispielsweise erforderlich sein, dass der gesamte Quellcode in einem ├änderungsverwaltungssystem aufbewahrt oder eine vollst├Ąndige Funktionspr├╝fung durchgef├╝hrt wird. Die Common Criteria enthalten einen Katalog davon, und die Anforderungen k├Ânnen von Bewertung zu Bewertung variieren. Die Anforderungen an bestimmte Ziele oder Produktarten sind in ST bzw. PP dokumentiert.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte