Evaluierung und Zertifizierung der Cyber-Security nach Common Criteria

ISO/IEC 15408-1:2009 „Informationstechnik – IT-Sicherheitsverfahren –  Evaluationskriterien für IT-Sicherheit
Teil 1: Einführung und allgemeines Modell“ liefert einen international anerkannten Rahmen für die Bewertung der Sicherheit von IT-Einrichtungen. Weithin bekannt unter dem Namen „Common Criteria“ legt die Norm allgemein akzeptierte Kriterien für das Design, die Entwicklung und die Evaluierung von IT-Einrichtungen unter dem Gesichtspunkt der Cyber-Sicherheit fest.

Kurz zusammengefasst beinhaltet die Evaluierung der Einhaltung der Common Criteria gemäß ISO/IEC 15048-1 zwei Aspekte der Qualitätssicherung. Zum einen werden bestimmte Anforderungen an die Vertrauenswürdigkeit (Security Assurance Requirements, SARs) untersucht, d.h. es werden die Prozesse geprüft, die bei der Entwicklung und Evaluierung eines gegebenen IT-Systems oder -Geräts die Erreichung der vorgeschriebenen Sicherheitsfunktionalität bewerten sollen. Die Anforderungen an die Sicherheitsfunktionalität (SFR) können von Gerät zu Gerät variieren je nach vorgesehenem Verwendungszweck und voraussichtlichem Risikoumfeld. 

Der zweite Aspekt - das Evaluation Assurance Level (EAL) - befasst sich mit der Prüftiefe und dem Aufwand des eigentlichen Evaluationsprozesses. Die EAL-Stufen reichen dabei von EAL 1 für die einfachste Form der Cyber-Sicherheitsbewertung bis EAL 7 für das gründlichste Verfahren zur Bestätigung des angegebenen Cyber-Sicherheitsniveaus.  Wichtig ist dabei zu wissen, dass die EAL-Stufe nur besagt, wie aufwändig der Evaluationsprozess an sich ist. IT-Einrichtungen mit einer höheren EAL-Stufe müssen nicht zwangsläufig auch sicherer sein.

Eine Zertifizierung nach den Common Criteria gemäß ISO/IEC 15408-1 bietet die Gewähr, dass konkrete Aussagen zur Cyber-Sicherheit einer IT-Einrichtung umfassend und eingehend bewertet wurden. Aus diesem Grund bedienen sich zahlreiche Regierungsbehörden und Unternehmen in aller Welt der Common Criteria als Bedingung für die Fremdbeschaffung von IT-Einrichtungen. 

Wie Nemko Sie unterstützt

Nemko bietet Ihrem Unternehmen umfangreiche Orientierungshilfen zur Evaluation von IT-Einrichtungen nach den Anforderungen der Common Criteria gemäß ISO/IEC 15408-1. Dies beinhaltet die folgenden Serviceleistungen:

  • Protection Profile Assessment—Ein Schutzprofil (Protection Profile, PP) besteht aus einem festen Satz von Sicherheitsanforderungen, die für eine spezielle Gerätekategorie gelten. Beschaffungsorganisationen können von Fremdanbietern den Nachweis verlangen, dass das Design ihres Produkts den Anforderungen eines oder mehrerer Schutzprofile entspricht. Die Experten von Nemko bewerten mit Ihnen gemeinsam die Übereinstimmung Ihres Produkts mit den betreffenden Schutzprofilen und stellen Bescheinigungen aus, die Ihre Angaben bestätigen. 
     
  • EAL/Security Target (ST) Assessment—Die Bewertung des Schutzprofils dient als Grundlage für die Festlegung der erforderlichen Sicherheitseigenschaften eines gegebenen Geräts, auch Sicherheitsziel (Security Target, ST) genannt, und die Festlegung der empfohlenen EAL-Stufe. Die Experten von Nemko können Ihr Produkt im Einklang mit dem geforderten Sicherheitsziel und der benötigten EAL-Stufe evaluieren.
     
  • Zusätzlich zu diesen spezifischen Serviceleistungen kann Nemko im Vorfeld der formellen Sicherheitsanalyse eine vorläufige Funktionslückenanalyse durchführen, um ungeklärte Sicherheitsfragen mit weiterem Entwicklungsbedarf aufzudecken. Darüber hinaus können wir auch eine formelle Zertifizierungsprüfung durchführen, um sicherzustellen, dass Ihre IT-Einrichtung den wesentlichen Anforderungen der Common Criteria entspricht.  

 

Vorteile der Zusammenarbeit mit Nemko

Die Zusammenarbeit mit Nemko verschafft Ihrem Unternehmen eine ganze Reihe wichtiger Vorteile, wenn es darum geht, den heutigen Herausforderungen im Bereich der Cyber-Sicherheit zu begegnen.
Zum Beispiel:

  • Anerkannte Experten für Cyber-Sicherheit - Das von Nemko 2020 übernommene Unternehmen Systemsikkerhet ist das älteste Beratungsunternehmen für Informationssicherheit in Norwegen und eines von nur vier Prüflaboren für Informationssicherheit, die von der nationalen Sicherheitsbehörde in Norwegen akkreditiert sind.
     
  • Aktive Beteiligung an der Entwicklung und Umsetzung von Standards - Die technischen Mitarbeiter von Nemko sind aktiv involviert in die Entwicklung modernster Standards und Protokolle für Cyber-Sicherheit und bestens vertraut mit neuen und sich entwickelnden Anforderungen, die einen Beitrag zur Sicherheit leisten können. 
     
  • Alles aus einer Hand - Bei Nemko finden Sie Fachkenntnisse in den Bereichen Cyber-Sicherheit, Produktsicherheit, Funk/Telekommunikation und elektromagnetische Verträglichkeit (EMV) unter einem Dach vereint. Damit sind wir ein verlässlicher Gesamtanbieter für Hersteller, die umfassende Prüf- und Zertifizierungsdienstleistungen für ihre IT-Systeme und -Geräte benötigen. 

Globale Unterstützung—Mit fast 30 Standorten, verteilt auf sechs Kontinente weltweit ist Nemko bestens gerüstet, um Sie dabei zu unterstützen, einen globalen Marktzugang für Ihre Produkte zu sichern - unabhängig von der Lage Ihres Zielmarkts.