IT-Sicherheitszertifizierung

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Zertifizierung von IT-Produkten/-Systemen, die eine Sicherheitsfunktionalität im Zusammenhang mit der

  • Verfügbarkeit von Daten und Dienstleistungen,
  • Vertraulichkeit von Informationen,
  • Unversehrtheit / Integrität von Daten
  • Authentizität von Daten oder der
  • Unabstreitbarkeit
    zur Verfügung stellen.

Zertifiziert werden können in Software und/oder Hardware realisierte IT-Produkte/-Systeme unterschiedlichster Art (z.B. Chipkarten, RF-Chips, PC-Sicherheitsprodukte (IT-Sicherheit), Betriebssysteme, Firewalls).

Ziel der IT-Sicherheitszertifizierung ist es, IT-Produkte/-Systeme hinsichtlich ihrer Sicherheitseigenschaften transparent und vergleichbar zu bewerten, um

  • einerseits Anwendern Detailinformationen und Orientierungshilfen bei der Auswahl von Produkten zu bieten,
  • andererseits den betreffenden Herstellern eine Bestätigung über die Qualität ihrer Produkte zu geben.

Die Zertifizierung von IT-Produkten und -Systemen auf Basis von formal bekannt gemachten IT-Sicherheitskriterien, wie z. B. den Common Criteria (CC) (ISO/IEC 15408), ist eine wichtige Aufgabe des BSI. Die Aufgaben der Zertifizierung und der Erarbeitung von Kriterien und Verfahren sind im BSI-Errichtungsgesetz geregelt.

Vom BSI zertifizierte Produkte können mit dem nachstehend abgebildeten Zertifizierungsbutton gekennzeichnet werden:

Vorbereitungsphase
Evaluierungsphase
Zertifizierungsphase
veröffentlicht

Die Zertifizierung kann vom Hersteller oder Vertreiber eines Produktes oder von einer Bundesbehörde als Anwender bei der Zertifizierungsstelle beantragt werden. Die Evaluierung der Produkte wird beim BSI selbst oder akkreditierten und lizenzierten Prüfstellen durchgeführt. Alle beteiligten Stellen sind zur Wahrung der Vertraulichkeit von Firmengeheimnissen verpflichtet und garantieren durch vielfältige Maßnahmen die Einhaltung dieser wichtigen Voraussetzung.

Der Verfahrensablauf gliedert sich in vier Phasen:

In der stellt der Hersteller oder Vertreiber einen Zertifizierungsantrag, schließt mit einer lizenzierten Prüfstelle einen Evaluierungsvertrag und stimmt mit der Zertifizierungsstelle und der Prüfstelle (Prüflabor/Prüfstelle) die Sicherheitsvorgaben und einen Meilensteinplan ab. Die Erarbeitung der Sicherheitsvorgaben kann durch die Verwendung eines Schutzprofils wesentlich vereinfacht werden.

In der wird das Produkt/System von der Prüfstelle evaluiert. Die Evaluierung umfasst die Aspekte

  • Konfigurationsmanagement,
  • Auslieferung und Betrieb,
  • Entwicklung,
  • Handbücher,
  • Lebenszyklus-Unterstützung,
  • Testen und
  • Schwachstellenbewertung.

Jede Evaluierung wird von der Zertifizierungsstelle begleitet (Prüfbegleitung), um eine einheitliche Vorgehensweise und Methodik und vergleichbare Bewertungen sicherzustellen. Der Aufwand für Audits, die Prüfung der Dokumentation und das Testen kann je nach gewählter Evaluationsstufe stark variieren. Der Hersteller muss für die Evaluierung das Produkt und die geforderte Dokumentation zur Verfügung stellen und die Auditierung der Entwicklungs- und Produktionsumgebung unterstützen. Sofern erforderlich, stellt der Hersteller auch Testeinrichtungen zur Verfügung und schult die Evaluatoren und Prüfbegleiter.

In der erstellt die Zertifizierungsstelle nach Abschluss der Evaluierung den Zertifizierungsreport. Er enthält neben einer sicherheitstechnischen Beschreibung des Produktes

  • die Bestätigung, dass die Evaluierung nach den anerkannten Verfahren und Kriterien durchgeführt wurde,
  • die Feststellung einer bestimmten Sicherheitsfunktionalität,
  • die Zuerkennung einer bestimmten Sicherheitsstufe / Bewertungsstufe,
  • Hinweise an den Anwender, wie das betreffende Produkt in der Praxis einzusetzen ist.

Sofern der Antragsteller einverstanden ist, wird das Zertifizierungsergebnis .

Nach Produktänderungen, Änderung der Kriterien, Änderung des Auslieferungsverfahren etc. kann das Produkt auf Basis der erfolgten Zertifizierung re-zertifiziert (Re-Zertifizierung) werden. Bei Produktänderungen ohne Sicherheitsrelevanz kann die Gültigkeit des Zertifikats in einem stark verkürzten Verfahren (Maintenace-Verfahren) auf die neue Produktversion ohne Beteiligung einer Prüfstelle erweitert werden.

Um die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten zu vermeiden, wurde zwischen dem BSI und den nationalen Stellen anderer Staaten eine gegenseitige Anerkennung von IT-Sicherheitszertifikaten - sofern sie auf ITSEC oder Common Criteria (CC) beruhen - unter gewissen Bedingungen vereinbart.


Siehe übergeordnete Stichworte

Siehe auch



Diese Seite wurde zuletzt am 8. September 2011 um 13:57 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Admin und Christian Krause.

Anzeigen