Common Criteria / ISO15408

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Logo Common Criteria

"Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik/Common Criteria for Information Technology Security Evaluation (CC)".

Im August 1999 wurde nach mehrjähriger intensiver Arbeit die Version 2.1 der CC fertiggestellt. Sie sind für die Bewertung der Sicherheitseigenschaften praktisch aller informationstechnischen Produkte und Systeme geeignet. Nach der erfolgreichen Abstimmung bei der Internationalen Standardisierungsorganisation (ISO) wurden die CC technisch unverändert als Internationaler Standard ISO/IEC 15408 veröffentlicht. Damit ist das internationale Projekt unter Beteiligung Deutschlands, Frankreichs, Großbritanniens, Kanadas, der Niederlande und der USA erfolgreich zu einem technischen Abschluss gekommen.

Die CC sind eine Weiterentwicklung und Harmonisierung der europäischen "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC)", des "Orange-Book (TCSEC)" der USA und der kanadischen Kriterien (CTCPEC). Die Kompatibilität zu den Basiskriterien ist dabei weitgehend erhalten geblieben, der Informationsgehalt und die Flexibilität sind in den CC jedoch deutlich höher.

Versionsanwendung

Folgende Versionen der Common Criteria (CC) werden in Deutschland angewendet:

CC Version 3.1

Die aktuelle CC Version 3.1 Revision 3 wurde im Juli 2009 verabschiedet und löst die Version 2.3 von 2005 ab.

CC Version 2.3

Die CC Version 2.3 wurde im Bundesanzeiger vom 19.05.2006 offiziell bekannt gemacht. Sie sind durch die Internationale Standardisierungsorganisation (ISO) unter der Nummer 15408 ein internationaler Standard geworden. (ISO/IEC 15408:2005) Die gemeinsame Evaluationsmethodologie (Common Methodology for Information Security Evaluation CEM ) Version 2.3 legt eine abgestimmten Methodik für die Evaluierung auf Grundlage der CC fest.


Aufbau

Die Common Criteria bestehen aus den folgenden Teilen:

Teil 1 Einführung und allgemeines Modell

Hier werden die Grundlagen der IT-Sicherheitsevaluation und der allgemeine Geltungsbereich der CC erläutert. In den Anhängen werden Schutzprofile (Protection Profile) und Sicherheitsvorgaben (Security Target) für den zu prüfenden Evaluationsgegenstand (EVG) beschrieben.

Teil 2 Funktionale Sicherheitsanforderungen

Dieser Teil enthält einen umfangreichen Katalog von Funktionalitätsanforderungen. Er stellt ein empfohlenes Angebot für die Beschreibung der Funktionalität eines Evaluationsgegenstandes dar, von dem jedoch in begründeten Fällen abgewichen werden kann. Ein Anhang bietet Hintergrundinformationen an. Zusätzlich werden Zusammenhänge zwischen Bedrohungen, Sicherheitszielen und funktionalen Anforderungen aufgezeigt.

Teil 3 Anforderungen an die Vertrauenswürdigkeit

Hier sind die Anforderungen an die Vertrauenswürdigkeit aufgelistet. Zu beachten ist, dass ein Evaluationsergebnis immer auf einer Vertrauenswürdigkeitsstufe (EAL) basieren sollte, eventuell ergänzt durch weitere Anforderungen. Die CC geben 7 hierarchische EAL-Stufen vor.


Schutzprofile

Die Anforderungen an die Funktionalität sowie an die Vertrauenswürdigkeit können in Schutzprofilen für bestimmte Produkttypen zusammengefasst werden. Zusätzlich enthalten diese Schutzprofile einen ausführlichen Beschreibungsteil, in dem u.a. das Sicherheitskonzept beschrieben und die Bedrohungen den Anforderungen gegenübergestellt werden. Bei der Evaluation von Schutzprofilen wird geprüft, ob das Schutzprofil eine vollständige und in sich geschlossene Menge von Anforderungen ist und dass ein zu diesem Schutzprofil konformer Evaluationsgegenstand eine wirksame Menge von IT-Sicherheitsgegenmassnahmen in der Sicherheitsumgebung bereitstellt. Durch die Registrierung von Schutzprofilen - in Zukunft auf internationaler Ebene durch die ISO - wird sichergestellt, dass Schutzprofile der gesamten interessierten Öffentlichkeit zur Nutzung offen stehen. Weiterführende Informationen sind auf der Seite des BSI zugänglich.


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 3. Juli 2012 um 12:02 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Markus Albert, Admin und Axel Munde.

Anzeigen