PQRST - IT security nach Common Criteria

 

Die "Common Criteria for Information Technology Security Evaluation" ( CC) bieten einen Rahmen, mit dem ein Vergleich zwischen Evaluierungsprozessen für IT-Produkte mit Sicherheitsfunktionen möglich wird.

Zu diesem Zweck definieren die CC

  • in Teil 1 die allgemeinen Vorgaben und Ansätze der Common Criteria
  • in Teil 2 die funktionalen Sicherheitsanforderungen (SFR - Security Functional Requirements)
  • und in Teil 3 die dazu passenden Anforderungen an Prüfungen (SAR - Security Assurance Requirements)

In der "Evaluation methodology" ist beschrieben, wie die SARs bei einer Evaluierung anzuwenden sind. Diese vier Teile bilden sich nahezu wortgleich in den Normen ISO/IEC 15408-1/-2/-3 und ISO/IEC 18045 ab.

Sogenannte Schutzprofile (PP - Protection Profiles) beschreiben bestimmte Anforderungen an die IT-Sicherheit von Produkten. So gibt es beispielsweise ein "Protection Profile for Voice over IP (VoIP) Applications" oder ein Schutzprofil für "Software zur Verarbeitung von personenbezogenen Bilddaten". Die anerkannten  Schutzprofile sind auf der Webseite der CC gelistet.

Die Sicherheitsvorgaben (ST - Security Targets) können anhand eines Schutzprofils oder von einem PP isoliert erstellt werden. Sie ähneln in Form und Inhalt einem Schutzprofil, gehen jedoch konkret auf eine bestimmte Implementierung eines Produkts ein. Aus den dort definierten Sicherheitsanforderungen werden danach die Anforderungen an das konkrete Produkt abgeleitet. Wie im Umfeld der funktionalen Sicherheit üblich teilt man diese in Sicherheits-relevante, Sicherheits-unterstützende und Nicht-Sicherheits-relevante Anforderungen ein.

Der EAL (Evaluation Assurance Level) legt in 7 Abstufungen fest, "wieviel Sicherheit" das Produkt auf- bzw. nachweisen muss. Bei einer Evaluierung werden - ausgehend vom ST - unter anderem die Architektur, das Design, die abgeleiteten Sicherheits-Anforderungen, die zugehörigen Anleitungen, das Life-Cycle-Management und die Testdurchführung geprüft. Ab EAL2 ist unter anderem ein Konfigurationsmanagementsystem erforderlich.

Eine konkrete Anwendung der Common Criteria findet sich im Zertifizierungsvorgang für technische Sicherheitseinrichtungen von Registrierkassen in Deutschland. Hier sind anhand der vom BSI (Bundesamt für Informationssicherheit) erstellten Schutzprofile "Cryptographic Service Provider (Light)" und "Security Module Application for Electronic Record-keeping Systems" zunächst die Security Targets zu erstellen und zu evaluieren. In Folge kann anhand der STs eine Evaluierung eines konkreten Produkts (TOE - Target Of Evaluation) erfolgen. Mit den Evaluierungsergebnissen kann abschließend die benötigte Zertifizierung erlangt werden.