Cybersikkerhet Common Criteria-evaluering og sertifisering

Common Criteria evaluering og sertifisering

I takt med en stadig økende digitalisering på verdensbasis blir funksjoner og enheter digitalisert og koblet på nett. Samtidig oppstår en situasjon der ulike former for dataangrep utgjør en av de største truslene i samfunnet vårt. En trussel mot den enkeltes personvern og mot selskapers økonomi, men også en trussel mot hele samfunnets sikkerhet.

«Common Criteria for Information Technology Security Evaluation» (CC) er drivkraften for den bredest tilgjengelige gjensidige anerkjennelsen av sikre IT-produkter, hvor:

• CC og den tilhørende «Common Methodology for Information Technology Security Evaluation» (CEM) er det tekniske grunnlaget for en internasjonal avtale, «Common Criteria Recognition Arrangement» CCRA, som sikrer at produkter kan evalueres i henhold til bestemte sikkerhetsegenskaper for et bestemt tillitsnivå.

CC er fleksibel i hva som skal evalueres og er derfor ikke bundet opp av omfanget til IT-produkter. I sammenhengen ved evaluering bruker CC følgende begreper:

• «Target of Evaluation» (TOE). En TOE er definert som et sett med software, firmware og/eller hardware ev ledsaget av guidance.
• «Evaluation Assurance Level» (EAL). Hver EAL gir en økende skala som balanserer nivået på oppnådd tillit med kostnadene og gjennomførbarheten av å oppnå den grad av tillit. Syv hierarkisk ordnet evaluering tillitsnivåer (EAL 1 – EAL 7) er definert i CC for vurdering av en TOEs tillit, slik at hver EAL representerer mer tillit enn alle lavere EALer. En økning i tillit fra EAL til EAL medfører flere tillits-komponenter samt økende strenghet, omfang, og/eller dybde

Hvordan Nemko kan hjelpe

Nemko er gjennom sitt datterselskap System Sikkerhet AS:

• Akkreditert av Norsk Akkreditering som IT testlaboratorium (TEST 182) etter NS-ISO 17025.
• Lisensiert som evalueringsfirma (EVIT) under den norske sertifiseringsordningen for IT-sikkerhet, dvs SERTIT som er den offentlige sertifiseringsmyndigheten.
  
  

System Sikkerhet har dermed vist nødvendig kompetanse til å gjennomføre CC-evalueringer og har store aktører i Norge, i både offentlig og privat sektor, som kunder. CC sine syv evalueringsnivåer er definert som Evaluation Assurance Levels (EALs), hvorav akkrediteringen til System Sikkerhet AS omfatter:

• Sikkerhetsevaluering iht CC av IT produkter for omfanget EAL 1 – EAL 5, med referanse til standardene ISO/IEC 18045 (CEM) og ISO/IEC 15408 (CC).

Hensikten til det internasjonale CC arrangementet (CCRA) med over 30 medlemsland (inkludert USA, Tyskland og Japan), er at IT-produkter som får et CC-sertifikat kan anskaffes eller brukes uten behov for ytterligere evaluering. CCRA omfatter i dag IT-produkter som er sertifisert for EAL 1 og EAL 2, mens EAL 1 - EAL 4 er anerkjent i Europa gjennom SOG-IS avtalen (denne vil i fremtiden bli erstattet med EUCC).

CC oppnår høy tillit i markedet ved å sette strenge krav til alle som sertifiserer iht. ordningen, og med over 1 500 aktive sertifikater er CC den mest velegnede måten for en produsent å demonstrere høy grad av sikkerhet på produkter. Sertifiserings-ordningen er ofte satt som innkjøpskrav, spesielt for utstyr med ekstra høye krav til sikkerhet, for eksempel produkter for trådløs kommunikasjon, finans, infrastruktur eller militær bruk.

Vi i Nemko har, gjennom System Sikkerhet, lang erfaring med evaluering i henhold til CC. System Sikkerhet har bl.a. autorisasjon til å foreta sikkerhetstesting av Forsvarets systemer. Teamet vårt har svært lang kompetanse innenfor dette fagområdet og er klarert for håndtering av gradert informasjon.

Ta kontakt for mer informasjon om hvordan vi kan hjelpe til med evaluering for sertifisering eller hvis du vil ha veiledning for å oppnå sikrere produkter og løsninger.

Kontakt Geir Langemyr på tlf. +47 992 82 931 eller e-post: geir.langemyr@nemko.com