Was ist eine Common Criteria-Zertifizierung?

Common Criteria ist das Modell, das Regierungen als Zertifizierungssystem für die Produkte verwenden, die sie in Regierungsbehörden und kritischen Infrastrukturen verwenden. Viele Unternehmen verwenden Common Criteria auch bei der Softwareauswahl, da die Common Criteria-Zertifizierung eine hohe Qualität garantiert.

Das Common Criteria Recognition Arrangement (CCRA) ist in den Common Criteria for Information Technology Security Evaluation und der Common Methodology for Information Technology Security Evaluation (CEM) definiert. Dabei handelt es sich um sehr allgemeine Standards, die keine Sicherheit garantieren.

Eine Common Criteria-Zertifizierung kann jedoch sicherstellen, dass die Sicherheitsansprüche eines Anbieters unabhängig bewertet wurden.

Die CC-Zertifizierung macht evaluierte Produkte einer breiteren Benutzergruppe zugänglich, stellt sicher, dass das Produkt den Ansprüchen des Anbieters gerecht wird, und entlastet Softwarekunden von der Last und den Kosten, die mit der Bewertung von Software verbunden sind.

‍

Wichtige Konzepte von Common Criteria

Hier sind einige Konzepte, die Sie möglicherweise kennen müssen, wenn Sie Common Criteria verstehen wollen:

‍

• Ziel der Bewertung (TOE): Dies ist das Produkt oder System, das bewertet wird.
• Sicherheitsziel (ST): Dieses Dokument definiert die Sicherheitseigenschaften des Produkts, das bewertet wird. Es ermöglicht Softwareanbietern, die Bewertung an die spezifischen Funktionen ihres Produkts anzupassen. Es hilft potenziellen Kunden auch dabei, festzustellen, welche Sicherheitsfunktionen des Produkts getestet wurden, sodass sie fundiertere Entscheidungen treffen können.
• Schutzprofil (PP): Dies ist ein Dokument, das die Benutzergemeinschaft erstellt, um die Sicherheitsanforderungen für eine bestimmte Klasse von Sicherheitsgeräten wie digitale Signaturen oder Firewalls zu identifizieren. Anbieter können wählen, ob sie Produkte herstellen, die einem oder mehreren PPs entsprechen, und ihre Produkte dann anhand dieser Kriterien bewerten lassen. Anbieter können PPs auch als Modell verwenden, um ihre eigenen Sicherheitsziele zu erstellen.
• Funktionale Sicherheitsanforderungen (SFRs): Diese listen die einzigartigen Sicherheitsfunktionen auf, die ein Produkt bietet.
• Anforderungen an die Sicherheitsgarantie (SARs): Diese werden im Qualitätssicherungsprozess verwendet und beschreiben die Schritte, die zu ergreifen sind, um sicherzustellen, dass ein Produkt die angegebenen Sicherheitsstandards erfüllt.
• Bewertungssicherungsstufe (EAL): Dies ist eine numerische Bewertung, die die Tiefe und Genauigkeit der Bewertung beschreibt. Jeder EAL entspricht einer Reihe von SARs. Common Criteria listet sieben EAL-Stufen auf, wobei 1 die grundlegendste Bewertungsebene und 7 die strengste ist.

‍

So werden Produkte CC-zertifiziert

Hier sind einige Schritte, die ein Unternehmen ergreifen muss, um nach Common Criteria zertifiziert zu werden:

1. Das Unternehmen muss eine Beschreibung des Sicherheitsziels zusammen mit allen Belegen ausfüllen. Diese sollte einen Überblick über das Produkt, seine Sicherheitsfunktionen und mögliche Sicherheitsbedrohungen enthalten.
2. Das Unternehmen muss ein unabhängig lizenziertes Labor finden, das sein Produkt bewertet und feststellt, ob es die Sicherheitsstandards erfüllt, die das Unternehmen für das Produkt definiert hat.
3. Sobald das Produkt die Bewertung bestanden hat, stellt eines der vielen Certificate Authoring Schemes die Zertifizierung aus.

Common Criteria ist ein internationaler Standard für Computersicherheitszertifizierungen. Produktanbieter können ihre Produkte nach Common Criteria zertifizieren lassen, um ihre Sicherheitsansprüche nachzuweisen. Anschließend können Unternehmen ihre Sicherheitsanforderungen mit den getesteten Angaben vergleichen, um Software und Systeme zu finden, die ihre Infrastruktur erweitern können.

‍

Mehr erfahren

Weitere Informationen zur Common Criteria-Zertifizierung von Illumio und anderen staatlichen Sicherheitszertifizierungen finden Sie auf unserer Zertifizierungen und Regierungsseiten.