Common Criteria
Common Criteria (CC) sind ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.
Beschreibung
- Common Criteria for Information Technology Security Evaluation
Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie
- Internationaler Standard
- Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten
Vorgehensmodell
Die Common Criteria unterscheiden zwischen der Funktionalität (Funktionsumfang) des betrachteten Systems und der Vertrauenswürdigkeit (Qualität).
- Die Unterscheidung zwischen der Funktionalität eines Systems auf der einen Seite und dem Vertrauen, das durch eine Prüfung in diese Funktionalität entstehen kann, ist eines der wesentlichen Paradigmen der Common Criteria.
- Die Vertrauenswürdigkeit wird nach den Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung betrachtet.
- Das Vorgehen kann als rückgekoppeltes Wasserfallmodell verstanden werden.
Idealerweise wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen Schutzprofils führt.
- Aus diesem Sicherheitskatalog können dann für bestimmte Produkte gezielt Sicherheitsvorgaben erarbeitet werden, gegen die dann die Evaluierung gemäß CC durchgeführt wird.
- Dabei wird die geforderte Vertrauenswürdigkeit, die Prüftiefe, im Allgemeinen gemäß EAL (Evaluation Assurance Level, s. u.) festgelegt.
- Eine Angabe der Prüftiefe ohne zugrunde liegende funktionale Sicherheitsanforderungen ist sinnlos.
- Vor allem die Nennung der EAL-Stufen ohne weitere Angaben hat sich durchgesetzt, was vielfach zu Irritationen und hitzigen Debatten führt.
Im Dezember 1999 sind die Common Criteria zum International Standard ISO/IEC 15408 erklärt worden.
- Der deutsche Anteil an dieser Arbeit wird u. a. vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Die CC umfassen drei Teile:
- Teil 1: Einführung und allgemeines Modell / Introduction and General Model
- Teil 2: Funktionale Sicherheitsanforderungen / Functional Requirements
- Teil 3: Anforderungen an die Vertrauenswürdigkeit / Assurance Requirements
In Deutschland sind die Normteile als DIN-Normen DIN ISO/IEC 15408-1…3 veröffentlicht.
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
- Überarbeitung im Rahmen der 7. CC-Konferenz
- Common Criteria beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Common Criteria Official Website
- Inhaltsverzeichnis der DIN ISO/IEC 15408-1:2007-11 beim Beuth-Verlag
- Inhaltsverzeichnis der DIN ISO/IEC 15408-2:2007-11 beim Beuth-Verlag
- Inhaltsverzeichnis der DIN ISO/IEC 15408-3:2007-11 beim Beuth-Verlag
Einzelnachweise
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5