Common Criteria (CC) evaluering og sertifisering

I takt med en stadig økende digitalisering på verdensbasis blir funksjoner og enheter digitalisert og koblet på nett. Samtidig oppstår en situasjon der ulike former for dataangrep utgjør en av de største truslene i samfunnet vårt. En trussel mot den enkeltes personvern og mot selskapers økonomi, men også en trussel mot hele samfunnets sikkerhet.

Common Criteria (CC) sikkerhetsevaluering og sertifisering er den mest utbredte og anerkjente sertifiseringsordningen for IT-sikkerhet som finnes i dagens samfunn. Enkelt sagt defineres det et sikkerhetsnivå; Security Target (ST) som produktet skal dekke, og CC spesifiserer sikkerhetskravene som skal oppfylles, i tillegg til en metodikk for å evaluere disse kravene.

Nemko er, gjennom sitt datterselskap System Sikkerhet AS, en av kun to bedrifter i Norge som er akkreditert av Norsk Akkreditering som prøvingslaboratorium (TEST 182) etter NS-EN ISO/IEC 17025. System Sikkerhet har dermed vist nødvendig kompetanse til å gjennomføre Common Criteria evalueringer og har store aktører i Norge, i både offentlig og privat sektor, som kunder. CC har syv evalueringsnivåer, såkalte Evaluation Assurance Levels (EAL) der sertifiseringer for EAL1-2 er anerkjent internasjonalt, mens EAL 1-4 er anerkjent i Europa gjennom SOGIS avtalen. System Sikkerhet er akkreditert for å foreta evalueringer fra EAL 1 til EAL 5.

Med over 1 500 aktive sertifikater er CC den mest velegnede måten for en produsent å demonstrere høy grad av sikkerhet på. CC har 31 medlemsland, inkl. USA, Tyskland og Japan, men CC godtas også utenfor medlemslandene og reduserer dermed arbeidet med å duplisere evalueringer.

Hensikten med CC er å få til en ordning der IT-produkter kan anskaffes eller brukes uten behov for ytterligere evaluering. CC oppnår høy tillit i markedet ved å sette strenge krav til alle som sertifiserer iht. ordningen.

Sertifiseringsordningen baserer seg på den internasjonale standarden ISO/IEC 15408 og er ofte satt som innkjøpskrav, spesielt for utstyr med ekstra høye krav til sikkerhet, for eksempel produkter for trådløs kommunikasjon, finans, infrastruktur eller militær bruk.

Vi i Nemko har, gjennom System Sikkerhet, lang erfaring med evaluering i henhold til CC. System Sikkerhet har bl.a. autorisasjon til å foreta sikkerhetstesting av Forsvarets systemer. Teamet vårt har svært lang kompetanse innenfor dette fagområdet og er klarert for håndtering av gradert informasjon. 

Ta kontakt for mer informasjon om hvordan vi kan hjelpe til med evaluering for sertifisering eller hvis du vil ha veiledning for å oppnå sikrere produkter og løsninger.

Kontakt Geir Langemyr på tlf. +47 992 82 931 eller e-post: geir.langemyr@nemko.com