Common Criteria for Information Technology Security Evaluation
Im Jahre 1999 sind die Common Criteria, die zwischenzeitlich in der Version 2.1 vorliegen, zum ISO International Standard 15408 erklärt worden. Die CC umfassen drei Teile:
- Teil 1: Einführung und allgemeines Modell / Introduction and General Model
- Teil 2: Funktionale Sicherheitsanforderungen / Functional Requirements
- Teil 3: Anforderungen an die Vertrauenswürdigkeit / Assurance Requirements
Die Bewertung ist, wie bereits bei ITSEC und dem älteren BSI-Standard ITS, in die Bewertung der Funktionalität (Funktionsumfang) des betrachteten Systems und der Vertrauenswürdigkeit (Qualität) gegliedert. Letztere muß nach dem Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementation betrachtet werden.
| Inhaltsverzeichnis |
|
2 Vertrauenswürdigkeit 3 Common Criteria Evaluation Methodology 4 Zertifizierte Produkte 5 Siehe auch 6 Weblinks |
Funktionalitätsklassen
Im Gegensatz zu den bisherigen Normen sind die Funktionalitätsklassen nicht hierarchisch gegliedert. Statt dessen beschreibt jede Klasse eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss. Wichtige Funktionalitätsklassen sind:
- FAU (Sicherheitsprotokollierung)
- FCO (Kommunikation)
- FCS (Kryptographische Unterstützung)
- FDP (Schutz der Benutzerdaten)
- FIA (Identifikation und Authentisierung)
- FMT (Sicherheitsmanagement)
- FPR (Privatsphäre)
- FPT (Schutz der Sicherheitsfunktionen)
- FRU (Betriebsmittelnutzung)
- FRU (Schnittstelle)
- FTP (vertrauenswürdiger Pfad/Kanal)
Vertrauenswürdigkeit
Die Common Criteria definieren sieben Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level, EAL1-7), die die Korrektheit der Implementation des betrachteten Systems, bzw. die Prüftiefe beschreiben:
| CC EAL | ITSEC E | ITSK Q | Bedeutung | TCSEC |
|---|---|---|---|---|
| EAL1 | E0-E1 | Q0-Q1 | funktionell getestet | D-C1 |
| EAL2 | E1 | Q1 | strukturell getestet | C1 |
| EAL3 | E2 | Q2 | methodisch getestet und überprüft | C2 |
| EAL4 | E3 | Q3 | methodisch entwickelt, getestet und durchgesehen | B1 |
| EAL5 | E4 | Q4 | semiformal entworfen und getestet | B2 |
| EAL6 | E5 | Q5 | semiformal verifizierter Entwurf und getestet | B3 |
| EAL7 | E6 | Q6 | formal verifizierter Entwurf und getestet | A |
Common Criteria Evaluation Methodology
Ergänzend zu den Common Criteria wurde von den beteiligten Gremien und Einrichtungen eine Zertifizierungsmethodik entwickelt, die die Ergebnisse von Zertifizierungen nachvollziehbar und vergleichbar machen soll. Aktuell sind sie für die Teile 1 und 2 ausgeführt und analog zur den EAL 1-4 aufgebaut.Zertifizierte Produkte
z. B.: Betriebssysteme:
Windows 2000 - EAL4
RedHat Linux - EAL3
SUSE Linux Enterprise Server und Trusted Solaris - EAL4+
IBM PR/SM - EAL5
Siehe auch
Trusted Third Party, Public Key InfrastructureWeblinks
- http://www.bsi.bund.de/cc/ - CC beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
- http://www.bsi.bund.de/cc/downcem.htm - Common Criteria Evaluation Methodology
- http://www.commoncriteriaportal.org/ - Common Criteria Official Website
