Das Dokument behandelt die Common Criteria (CC) und Protection Profiles, die als internationale Standards für die Sicherheitsanalyse und Anforderungserstellung von IT-Produkten dienen. Es erklärt die Entwicklung dieser Standards, deren Ziele und die organisatorischen Rahmenbedingungen, einschließlich der relevanten Adressaten wie Hersteller, Verbraucher und Gutachter. Die CC zielt darauf ab, die Sicherheitsfunktionalitäten zu bestätigen sowie eine neutrale, objektive Bewertung der IT-Sicherheit zu gewährleisten.

1. Thema: Common Criteria und Protection Profiles Kurs: IT Sicherheit Nadine Zoar 05.12.2008

2. Bedeutung des Themas Die Protection Profiles nach Common Criteria sind der wichtigste Internationale Standard zur Sicherheitsanalyse und Sicherheitsanforderungsdefinition von IT-Produkten. Nadine Zoar - 209814 - 05.12.2008

3. Was ist CC? Einheitlicher und neutraler Maßstab zur Beurteilung der Sicherheit von Informationssystemen Entwicklung und Einhaltung von Sicherheitsstandards entsprechend der Gefährdungsgrundlage Schaffung von Kriterien für eine Prüfung und Bewertung der IT-Sicherheit > Hauptziel ist die Sicherung der Vertraulichkeit, Verfügbarkeit und Integrität (Fehlerfreiheit, Richtigkeit bzw. Vollständigkeit von Daten) Nach BSI-Errichtungsgesetzes (BSIG 17.12.1990) gilt die Erstellung von IT Sicherheitskriterien als Aufgabe des BSI. Zur Erweiterung und weiteren Standardisierung fanden hier mehr und mehr Kooperationen statt. Nadine Zoar - 209814 - 05.12.2008

4. Geschichte 1989 Kriterienkatalog Wurde von BSI herausgebracht Unabhängige Prüfstellen konnten damit nach einheitlichen Evaluationskriterien IT-Systeme und IT-Produkte auf Korrektheit und Wirksamkeit ihrer Sicherheitsbezogenen Maßnahmen bewerten 1991 ITSEC ITSEC - Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik Wurde unter Beteiligung von Frankreich, Deutschland, Niederlande und Großbritannien veröffentlicht Europaweit harmonisierte IT-Sicherheitskriterien Wurde kompatibel zum US-amerikanischen TCSEC (Trusted Computer System Evaluation Cirteria) konzipiert 1998 CC CC - Common Criteria - Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik Nadine Zoar - 209814 - 05.12.2008

5. Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.it-sa.de/fileadmin/itsa_files/Handouts/2006/BL_Mi_10_00_Hahlen.pdf?PHPSESSID=

6. Bsp. für vom BSI anerkannte Prüfstellen Nadine Zoar - 209814 - 05.12.2008 Atos Origin GmbH Prüfstelle IT-Sicherheit Herrn Cordes Lohberg 10 49716 Meppen Internet: http://www.atosorigin.de datenschutz cert GmbH (ehemals datenschutz nord GmbH) Prüfstelle für IT-Sicherheit Herr Dr. Sönke Maseberg Barkhausenstraße 2 27568 Bremerhaven Internet: http://www.datenschutz-cert.de CSC Deutschland Solutions GmbH Competence Center IT-Sicherheit und Technologie Herrn Dr. Goswin Eisen Sandstr. 7-9 80335 München Internet: http://www.de.csc.com Deutsches Forschungszentrum für künstliche Intelligenz GmbH Prüfstelle IT-Sicherheit Herrn Dr. Keller Im Stadtwald, Gebäude 6 66123 Saarbrücken Internet: http://www.dfki.de

7. Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://technet.microsoft.com/en-us/library/Cc723510.scurev02_big(en-us,TechNet.10).gif

8. Grundsätzliche Funktion des CC Basierend auf dem CC Framework … Werden Sicherheitsanforderungen festgelegt Erfolgt die Umsetzung Bewerten Prüfstellen ob Ansprüche tatsächlich erfüllt sind > Durch den wird CC gewährleistet, dass der Prozess der Spezifikation, die Durchführung und die Bewertung den Sicherheitsvorschriften entspricht Nadine Zoar - 209814 - 05.12.2008

9. Ziel des CC Ziel des CC ist eine Bestätigung der Sicherheitsfunktionalität Analyse von Schwachstellen ist zentrales Prüfziel Mit wachsenden EAL-Stufen wird erreicht zunehmend, komplexere Schwachstellen zu entdecken Die Untersuchung durch eine neutrale Instanz ermöglicht eine objektive Bewertung bzgl. Schwachstelleneinschätzung Richtschnur für die Entwicklung sicherer, vertrauenswürdiger Systeme Anwender / Benutzer bei der Auswahl eines geeigneten IT-Sicherheitsprodukts zu unterstützen International anerkanntes Sicherheitszertifikat Bsp. Vergleichbar mit einer TÜV-Untersuchung für das Auto. Eine neutrale Stelle bewertet, jedoch wird hier nur auf Basis einer einheitlichen Prüftiefe geprüft. > Die Prüfung von IT-Sicherheit ist wesentlich komplexer und größer Durch EAL Stufen wurde eine wirtschaftlich durchführbarer Evaluierungsprozess geschaffen Nadine Zoar - 209814 - 05.12.2008

10. Was ist das Ziel des CC? … … … … Nadine Zoar - 209814 - 05.12.2008

11. Was ist das Ziel des CC? Sicherstellung von Sicherungsfunktionalität Analyse von Schwachstellen Neutrale Bewertung International anerkanntes Sicherheitszertifikat Nadine Zoar - 209814 - 05.12.2008

12. Adressanten Hersteller Verbraucher Gutachter Sonstige In den Bereichen: Access Control Devices and Systems(35) Boundary Protection Devices and Systems(90) Data Protection(37) Databases(37) Detection Devices and Systems(21) ICs, Smart Cards and Smart Card related Devices and Systems(243) Key Management Systems(24) Network and Network related Devices and Systems(79) Operating systems(84) Other Devices and Systems(250) Products for Digital Signatures(44) Nadine Zoar - 209814 - 05.12.2008

13. Adressanten - Entwickler Qualitätssicherung der Produkte Kriterienkatalog für die systematische Evaluation Gibt einen Überblick über mögliche Sicherheitsmaßnahmen in IT-Produkten CC beschreibt demnach alle gängigen Sicherheitsanforderungen die in Sicherheitsfunktionen umgesetzt werden sollen Ermittlung von Anforderungen an die Sicherheit Diese Anforderungen sind in eine Implementierung abhängigen Konstrukt bezeichnet der Sicherheits Target (ST). Diese ST kann sich auf ein oder mehrere PPs zu zeigen, dass die ST entspricht den Anforderungen der Sicherheit der Verbraucher, wie sie in den KKS. Zuständigkeiten und Maßnahmen zur Bereitstellung von festgelegten Anforderungen gegenüber den Zielen können geprüft werden und dessen Festlegung unterstützt die Evaluierung Nadine Zoar - 209814 - 05.12.2008

14. Adressanten - Verbraucher Kaufentscheidungen werden oft nicht aufgrund einer objektiven Beurteilung getroffen (oft nach Gefühl und Erfahrung) Keine sichere Funktionsgarantie durch Hersteller (schließen oft die Haftung mit deren Lizenzbedingungen aus) Bewertungsmaßstarb für Anwender/Nutzer Wenn unter CC evaluiert und zertifiziert wurde, wird ein Vertrauenswürdigkeitspotential geschaffen Verbraucher Durch Bewertung soll Verbraucher Lösung einschätze können, entsprechend Bedürfnissen finden können Sehen ob Sicherheitsbedürfnisse gegeben sind Ergebnisvergleich Abgleich mit Risikokatalog Implementierungsunabhängige Struktur Nadine Zoar - 209814 - 05.12.2008

15. Enthält Maßnahmen die durch Gutachter genutzt werden, um die Sicherheit der Anwendungen zu beurteilen. Die CC beschreibt eine Reihe von Maßnahmen die der Gutachter für seine Bewertung nutzt, ein genaues Verfahren ist jedoch nicht beschrieben. Adressanten - Gutachter Nadine Zoar - 209814 - 05.12.2008

16. • System Depotbanken-und System-Beauftragte, die für die Bestimmung und das Treffen organisatorischen IT-Security-Maßnahmen und Anforderungen zuständig sind • Prüfer, sowohl intern als auch extern, zuständig für die Beurteilung der der Sicherheit einer IT-Lösung • Sicherheitsarchitekten und -designern, die für die Spezifikation der Sicherheitseigenschaften von IT-Produkten zuständig sind • Akkreditierungsstellen, die für die Annahme einer IT-Lösung dessen Einsatz in einem bestimmten Umfeld zuständig sind • Sponsoren der Evaluation nach CC • Behörden die evaluieren –verwalten und überwachen die Sicherheitsbewertung Adressanten - Sonstige Nadine Zoar - 209814 - 05.12.2008

17. Welche Adressanten gibt es? … … … … Nadine Zoar - 209814 - 05.12.2008

18. Welche Adressanten gibt es? Hersteller Verbraucher Gutachter Sonstige Nadine Zoar - 209814 - 05.12.2008

19. Ziel der Evaluation TOE - Target Of Evaluation Ziel der Evaluation Beschreibt das Produkt oder System welches Ziel der Evaluation (Bewertung) ist Das Produkt oder System kann Software, Firmware und / oder Hardware sein Die Bewertung dient der Prüfung der Anwendung. In der Prüfung werden die Sicherheitsmerkmale der Lösungen eingeschätzt. Nadine Zoar - 209814 - 05.12.2008

20. TOE Beispiele Kann ein IT Produkt sein, ein Teil des Produkts, eine Sammlung von Produkten, eine einzelne Technologie die nie einem Produkt angehören kann oder eine Kombination all dieser Beispiele: Eine Software-Anwendung Ein Betriebssystem Eine Software-Anwendung in Kombination mit einem Betriebssystem Eine Software-Anwendung in Kombination mit einem Betriebssystem und einer Workstation Ein Betriebssystem in Kombination mit einem Arbeitsplatz Eine in einer Smart-Card integrierte Schaltung Software Beispiele: Eine Liste der Dateien in einem Konfigurations-Management-System Einer einzigen gerade erstellten Master-Kopie Eine Box mit einer CD-ROM und einem Handbuch, bereit für die Auslieferung an den Kunden Nadine Zoar - 209814 - 05.12.2008

21. Beispiel Produkte Access Control Devices and Systems Oracle Identity and Access Management Databases Oracle Internet Directory 10g IBM WebSphere Federation Server v9.1 Detection Devices and Systems Cisco Security Agent ICs, Smart Cards and Smart Card related Devices and Systems Infineon Smart Card IC (Security Controller) Operation Systems Microsoft Windows Vista and Windows Server 2008 Products for Digital Signatures Virtuelle Poststelle des Bundes (OSCI) Quelle: http://www.commoncriteriaportal.org/products.html Nadine Zoar - 209814 - 05.12.2008

22. Begrifflichkeiten Assets Vermögenswerte Countermeasures Maßnahmenkatalog, Gegenmaßnahmen Owner Besitzer Risk Risiko & Gefahr Threat Bedrohung & Gefahr Threat Agent Bedrohungsverursacher Nadine Zoar - 209814 - 05.12.2008

23. Zuordnen! 1.Assets a.Bedrohungsverursacher 2.Countermeasures b.Risiko & Gefahr 3.Owner c.Vermögenswerte 4.Risk d.Besitzer 5.Threat e.Bedrohung & Gefahr 6.Threat Agent f.Maßnahmenkatalog, Gegenmaßnahmen Nadine Zoar - 209814 - 05.12.2008

24. Zuordnen! 1.Assets a.Bedrohungsverursacher 2.Countermeasures b.Risiko & Gefahr 3.Owner c.Vermögenswerte 4.Risk d.Besitzer 5.Threat e.Bedrohung & Gefahr 6.Threat Agent f.Maßnahmenkatalog, Gegenmaßnahmen Nadine Zoar - 209814 - 05.12.2008 Lösung: 1-c; 2-f; 3-d; 4-b; 5-e; 6-a;

25. Sicherheitskonzept & Beziehungen Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf

26. CC Vertrauens Konzept Besitzer eines Vermögenswertes (zBsp. Daten) hat den Gegenmaßnahmen seiner Prüfung zu vertrauen > Nicht ausreichend System muss ebenfalls geschützt sein: - Nur bestimmte Besitzer mit Zugriff auf die Daten - Daten an sich müssen frei von Sicherheitslücken sein - Maßnahmenkatalog - Ausreichender Schutz - Immun gegen Angriffe auf sich selbst > Systemteile müssen ebenfalls sicher sein Nadine Zoar - 209814 - 05.12.2008

27. Mögliche Umsetzung > Identifikation von Sicherheitslücken und Gefahren > Bewertung von Sicherheitslücken und Gefahren > Prüfung von Risiken und Daten - nach Sicherheitslevel - nach Missbrauchswahrscheinlichkeit > Erstellen von Maßnahmen > Analyse des Systems Fertig! Oder 1. 2. 3. 3. Erneute Prüfung > Prüfung Benutzerzugriff > Identifikation von Systemen und Vermögenswerten Bsp. Daten > Einstufung der Daten (Sicherheitslevel) Nadine Zoar - 209814 - 05.12.2008

28. Mögliche Umsetzung > Prüfung Benutzerzugriff > Identifikation von Systemen und Vermögenswerten Bsp. Daten > Einstufung der Daten (Sicherheitslevel) > Identifikation von Sicherheitslücken und Gefahren > Bewertung von Sicherheitslücken und Gefahren > Prüfung von Risiken und Daten - nach Sicherheitslevel - nach Missbrauchswahrscheinlichkeit > Erstellen von Maßnahmen > Analyse des Systems Fertig! Oder 1. 2. 3. 3. Erneute Prüfung Assets - Vermögenswerte Countermeasures - Maßnahmenkatalog, Gegenmaßnahmen Owner - Besitzer Risk - Risiko & Gefahr Thread - Bedrohung & Gefahr Thread Agent - Bedrohungsverursacher Nadine Zoar - 209814 - 05.12.2008

29. Security Requirements Die Sicherheits-Anforderungen besteht aus zwei Gruppen: SFR - Sicherheit Funktionaler Anforderungen eine Übersetzung der Sicherheits Ziele für die TOE in einer standardisierten Sprache SAR - Sicherheit Zusicherungs Anforderungen eine Beschreibung, wie Qualitätssicherung zu gewinnen ist, damit das TOE die SFRs erfüllt Nadine Zoar - 209814 - 05.12.2008

30. SFR SFR - Security Functional Requirements Sicherheits Funktions Bedarf Spezifiziert individuelle Sicherheitsfunktionen die durch ein Produkt bereitgestellt werden müssen CC enthält einen Standardkatalog solcher Funktionen Das SFR kann variieren, auch unter gleichen und ähnlichen Produkten CC schreibt nicht vor, dass das SFR ein ST (Security Target) einhalten muss. Bsp. SFR sagt wie ein User einer bestimmten Rolle authentifiziert werden muss (Identitätsüberprüfung) > Möglichkeit, Benutzerrollen beschränkten Zugang zu verschaffen oder auch die Möglichkeit Rollen zu Identifizieren Nadine Zoar - 209814 - 05.12.2008

31. SAR SAR - Security Assurance Requirements Sicherheit Zusicherungs Anforderungen Beschreibt Maßnahmen die während der Produktion und Bewertung angewandt werden, um die Einhaltung der Sicherheitsfunktionalität zu gewährleisten. CC stellt einen Katalog dieser bereit. Die Anforderungen variieren hier ebenfalls unter den jeweiligen Bewertungen. Die Anforderungen bestimmter Ziele oder Produkttypen sind im ST (Security Target) oder PP (Protection Profile) dokumentiert. Bsp. Das Gutachten kann verlangen, dass der Source-Code in einem Change-Management-System vorliegt oder das eine vollständige Funktionsprüfung durchgeführt wurde. Nadine Zoar - 209814 - 05.12.2008

32. PP PP = Protection Profile Schutzprofil Enthält… eine implementierungs-unabhängige Menge von Sicherheitsanforderungen an eine Gruppe oder eine Kategorie von zu untersuchenden IT-Systemen (Evaluierungsgegenstand, kurz EVG) Das Konzept… der Schutzprofile wird dazu verwendet, um die Sicherheitslage eines Evaluierungsgegenstandes anhand von Sicherheitszielen, möglichen Gefährdungen und Annahmen über die Betriebsumgebung der IT zu beschreiben, um dann auf einer möglichst abstrakten Ebene generische Musterlösungen definieren zu können. Nadine Zoar - 209814 - 05.12.2008

33. ST ST = Security Target Sicherheitsvorgaben Ähnlich dem PP… nur das ein ST für die Implementierung spezifische Informationen enthält. Die Informationen zeigen wie das Produkt an die Sicherheitsbelange angepasst werden kann. Ausgangspunkt des Bewertungsverfahrens ist … eine Spezifikation der Sicherheit (bzgl. Funktionalität und Sicherheit) in der Zielsetzung der Bewertung. ST enthält und spezifiziert… Sicherheitsziele, Bedrohungen der Ziele, sowie weitere Sicherheitsmechanismen die eingesetzt werden. Nadine Zoar - 209814 - 05.12.2008

34. PP PP ist ein Dokument … ähnlich dem ST (Security Target), nur das dieses von einer Gruppe Benutzer geschrieben wird und ein erfundenes Produkt definiert. PP definiert eine Klasse von Sicherheitsvorkehrungen. Ein Beispiel ist … NSA hat eine Reihe Firewall PPs definiert, welche die Mindestanforderungen einer Firewall beschreiben. Anbieter sind ermutig sich bei der Entwicklung nach diesen PPs zu richten. Das PP wird als Template… Für das ST genutzt. Die Ersteller des STs werden zumindest sicherzustellen, dass alle Anforderungen des PPs auch in den Zielen des ST-Dokuments vorkommen. Ein PP enthält… die Umsetzung unabhängiger Satz- und Sicherheitsanforderungen für eine Kategorie von IT-Produkten, welches bestimmten Verbraucherwünschen entspricht. Nadine Zoar - 209814 - 05.12.2008

35. Ein PP enthält … Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf

36. Für was man ein PP nutzt - Anforderungsspezifikation . Wenn eine bestimmte Kundengruppe nur bestimmte IT kauft, wenn diese dem PP entspricht - Verordnungen rechtlicher Einheiten , die die Nutzung bestimmter IT nur erlaubt, wenn diese dem PP entspricht - Eine Grundbasis definiert durch IT-Developer , die basierend auf dieser weitere IT (standardisiert) entwickeln möchten Nadine Zoar - 209814 - 05.12.2008

37. Für was man ein PP nicht nutzt - Detailierte Spezifikation. Ein PP stellt Sicherheitsspezifikationen auf einem hohen Level dar und ermöglicht so die Abstraktion Es sollte demnach keine detailierten Protokoll Spezifikationen , Beschreibungen oder Mechanismen enthalten. - Vollständige Spezifikation. Die Spezifikation liegt bei Sicherheit, nicht auf allgemeinen Informationen , nur wenn Gefahrenabwehr relevant ist können mehr Informationen aufgeführt sein. - Detailierte Angaben. Größe und Gewicht, erforderliche Spannung usw. sind nicht Teil des PP . -Spezifiziert auf ein einzelnes Produkt. Das PP beschreibt nur eine bestimmte Art von IT, kein einzelnes Produkt . Bei Produkten sollte ein ST genutzt werden. Nadine Zoar - 209814 - 05.12.2008

38. ST = Security Target Sicherheitsvorgaben Ähnlich dem PP… nur das ein ST für die Implementierung spezifische Informationen enthält. Die Informationen zeigen wie das Produkt an die Sicherheitsbelange angepasst werden kann. Ausgangspunkt des Bewertungsverfahrens ist … … ST enthält und spezifiziert… … Nadine Zoar - 209814 - 05.12.2008

39. ST = Security Target Sicherheitsvorgaben Ähnlich dem PP… nur das ein ST für die Implementierung spezifische Informationen enthält. Die Informationen zeigen wie das Produkt an die Sicherheitsbelange angepasst werden kann. Ausgangspunkt des Bewertungsverfahrens ist … eine Spezifikation der Sicherheit (bzgl. Funktionalität und Sicherheit) in der Zielsetzung der Bewertung. ST enthält und spezifiziert… Sicherheitsziele, Bedrohungen der Ziele, sowie weitere Sicherheitsmechanismen die eingesetzt werden. Nadine Zoar - 209814 - 05.12.2008

40. Ein ST enthält … Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf

41. Für was man ein ST nutzt - Vor und während der Evaluation legt das ST fest was bewertet werden muss In dieser Rolle bildet das ST die Grundlage zwischen Entwickler und Gutachter, bzgl. der genauen Sicherheitseigenschaften der TOE und des Bewertungsumfangs. Technische Richtigkeit und Vollständigkeit sind ebenso wichtige Themen für diese Rolle. - Nach der Bewertung wird durch das ST spezifiziert was bewertet wurde . Damit bildet das ST die Grundlage zwischen Verkäufer und Verbraucher. - Der Verbraucher kann sich auf die Beschreibung verlassen , da das TOE evaluiert wurde um den Eigenschaften des STs zu entsprechen. Benutzerfreundlichkeit und Verständlichkeit sind wichtige Themen für diese Rolle. Nadine Zoar - 209814 - 05.12.2008

42. Für was man ein ST nicht nutzt - Detailierte Spezifikation Ein ST stellt Sicherheitsspezifikationen auf einem relativ hohen Level dar und ermöglicht so die Abstraktion - Lange Protokoll-Spezifikationen Oder detaillierte Beschreibungen sollten nicht enthalten sein - Vollständige Spezifikation Beim ST liegt die Spezifikation auf Sicherheit, nicht auf allgemeine Informationen, nur wenn Gefahrenabwehr relevant ist, können mehr Informationen aufgeführt sein. Detailierte Angaben wie Größe und Gewicht, erforderliche Spannung usw. sind nicht Teil des ST. Nadine Zoar - 209814 - 05.12.2008

43. PP vs. ST Art des Produktes PP ist zur Beschreibung einer bestimmten Art von IT dar. Zur Beschreibung eines einzelnen Produktes wird ST genutzt. Ergebnis Eine PP Evaluation führt zu in Katalogen bewerteten PPs. Eine ST Evaluation hingegen, schafft ein Zwischenergebnis im Rahmen einer TOE Evaluation Inhaltliche Unterschiede Ein PP gibt nur einen TOE Überblick, ein ST beschreibt das TOE Nadine Zoar - 209814 - 05.12.2008

44. Conformance Claim Conformance Claim = „Anspruch auf Übereinstimmung“ Der Conformance Claim bildet die Bezugsquellen der gesammelten Sicherheitsanforderungen ab, die beim erfolgreich evaluieren eines PP oder ST entstanden sind Beschreibt… - die genutzte Version des CC (Common Criteria) - die Übereinstimmung zu den SFRs Nadine Zoar - 209814 - 05.12.2008

45. Security Problem Security Problem = Sicherheitsproblem Der Prozess zur Ermittlung des Security Problem Ergebnisses gehört nicht dem CC Modell an. Wichtig ist das die Nützlichkeit des Ergebnisses stark vom ST abhängt und die Nützlichkeit des STs stark vom Ergebnis des Security Problems. > Es ist daher sinnvoll auch Ressourcen in die Ermittlung des Security Problems zu investieren > Dieses zeigt Gefahren und Annahmen auf, die es zu bekämpfen gilt Nadine Zoar - 209814 - 05.12.2008

46. Security Problem Security Problem = Sicherheitsproblem Zuerst wird das Sicherheitsproblem Adressiert Gefahren werden aufgezeigt Nutzungsumgebung Möglichkeiten werden gezeigt Sicherheitsregeln, Verfahren und Leitlinien Annahmen Voraussetzungen, Eigenschaften (Hardware- oder Softskillbasierend) Sicherheitsziele Zusammenfassung und Klärung der Lösung Nadine Zoar - 209814 - 05.12.2008

47. Security Objectives Security Objectives = Sicherheitsziele Sind eine knappe Zusammenfassung und Erklärung der geplanten Lösungen für das Problem der Definition des Sicherheits-Problems Auf high-level , natürliche Darstellung des Problems Zweiteilige Lösung Teil-Lösung, um unterschiedliche Sichtweisen des Problems zu reflektieren Durchdachte Lösungen bilden und zeigen Nadine Zoar - 209814 - 05.12.2008

48. PP vs. ST (Inhalte) Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf

49. ST/TOE Evaluation Eine ST /TOE Evaluation erfolgt in zwei Schritten: • Eine ST-Bewertung: wo die Angemessenheit der TOE und des betrieblichen Umfelds festgelegt wird Die ST-Bewertung erfolgt durch die Anwendung der Security Target Bewertungskriterien zum Security Target. Die genaue Methode zur Anwendung der Kriterien wird durch die verwendete Bewertungsmethodik bestimmt. • Eine TOE-Bewertung: wo die Richtigkeit der TOE bestimmt wird. Die TOE-Bewertung beurteilt nicht die Richtigkeit der betrieblichen Umfelds Die TOE-Evaluation ist komplex Die wichtigsten Inputs für eine TOE-Bewertung sind: Bewertungsbelege (enthält TOE und ST), enthält meist auch auch Beiträge aus der Entwicklungsumgebung, wie Design-Dokumente oder Entwickler Testergebnisse. Nadine Zoar - 209814 - 05.12.2008

50. Ergebnisse von ST/TOE-Evaluationen Das CC enthält Bewertungskriterien anhand derer der Gutachter festlegen kann ob ausreichend Sicherung vorhanden ist. Das das TOE die STRs und STs erfüllt. > Das Ergebnis der Bewertung eines TOE ist demnach ein Bestehen/Nicht Bestehen des STs. Wenn das ST und TOE die Bewertung bestanden haben, kann das Produkt in die Registrierung aufgenommen werden. Ein Conformance Claim sollte ebenfalls im Ergebnis enthalten sein. Es kann sein das die Ergebnisse anschließend im Zertifizierungsprozess genutzt werden, diese Zertifizierung gehört jedoch nicht mehr zum CC. Nadine Zoar - 209814 - 05.12.2008

51. Ergebnisse von PP-Evaluationen Das CC enthält Bewertungskriterien anhand derer der Gutachter festlegen kann ob ein PP komplett, konsistent, technisch solide und damit anwendbar für die Entwicklung eines STs ist. > Das Ergebnis der Bewertung eines PP ist demnach ein Bestehen/Nicht Bestehen der Beurteilung. Solle ein Bestehen erfolgt sein, wird das PP in das Register der PP-Profiles aufgenommen. Ein Conformance Claim sollte ebenfalls im Ergebnis enthalten sein. Nadine Zoar - 209814 - 05.12.2008

52. Evaluationsergebnisse Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.t-systems-zert.com/pdf/bas_03_kri/ccpart1v21_d.pdf

53. Was ist der weitere Nutzen des Evaluationsergebnisses … bei PP? … bei ST? … Nadine Zoar - 209814 - 05.12.2008

54. Was ist der weitere Nutzen des Evaluationsergebnisses … bei PP? Aus Prüfungen und Bewertungen von PP entstehen Kataloge evaluierter PPs bei ST? Die Prüfung und Bewertung von STs liefert Zwischenergebnisse, die im Rahmen der Prüfung und Bewertung eines TOE (EVG) genutzt werden. Nadine Zoar - 209814 - 05.12.2008

55. Nutzen des Ergebnisses Aus Prüfungen und Bewertungen von PP entstehen Kataloge evaluierter PPs Die Prüfung und Bewertung von STs liefert Zwischenergebnisse, die im Rahmen der Prüfung und Bewertung eines TOE (EVG) genutzt werden. Nadine Zoar - 209814 - 05.12.2008

56. EAL Evaluierungsstufen EAL = Evaluation Assurance Level Die Common Criteria bestehen aus mehreren Evaluierungsstufen (Vertrauenswürdigkeitsstufen) Die Stufen sind wichtig für eine Einordnung des Sicherheitsstandards EAL-1 ist die niedrigste und EAL-7 die höchste Stufe der Vertrauenswürdigkeit Kommerzielle Systeme können maximal Stufe 4 erreichen Die Stufen 5 bis 7 sind Produkten vorbehalten die bereits mit Sicherheitstechniken entwickelt wurden Nadine Zoar - 209814 - 05.12.2008

57. Bedeutung - Evaluierungsstufen Nadine Zoar - 209814 - 05.12.2008

58. Gebe kurz das System und den Sinn der EAL Stufen wieder! Nadine Zoar - 209814 - 05.12.2008

59. Anzahl Evaluierungen - Evaluierungsstufen Nadine Zoar - 209814 - 05.12.2008 Bild-Quelle: http://www.commoncriteriaportal.org/pp_STAT.html

60. Operations Funktionale und Sicherungskomponenten werden genau wie im CC definiert genutzt oder entsprechend zugeschnitten. Bei Nutzung von Operations sollten PP/ST Autoren beachten das die Abhängigkeiten anderer Anforderung, die hiervon abhängen auch beachtet werden/erfüllt sind. Folgende zulässige Operationen: - Wiederholung: Mehrmalige verwendung einzelner Bauteile - Zuteilung: Ermöglicht die Auswahl von Parametern; - Auswahl: Ermöglicht die Auswahl eines oder mehrerer Elemente einer Liste - Verfeinerung: Ermöglicht das Anfügen von Details oder Angaben Nadine Zoar - 209814 - 05.12.2008

61. Fazit Unabhängige Zertifizierungen werden immer wichtiger, sowohl für Entwickler als auch Verbraucher Bietet eine notwendige Ergänzung zu Herstellerangaben Schafft vertrauen durch offene Standards Ist zukunftsorientiert: Weltweite Transparenz und Vergliechbarkeit durch internationalen Standard Nadine Zoar - 209814 - 05.12.2008

62. Weitere Informationen … http://www.commoncriteriaportal.org/ http://www.bsi.de/cc/ http://www.niap-ccevs.org/cc-scheme/ http://www.tecchannel.de/sicherheit/management/402210 Nadine Zoar - 209814 - 05.12.2008