Sie sind nicht angemeldet
Kompetenzzentrum
Wissensdatenbank
Anwendungsfelder
SE-Themen
Glossar
Forschungsprojekte
Anbieterverzeichnis
Datenbanksuche
Highlights
Wissensbrowser starten
Einordnung im Wissensnetz
Thema
Einstieg Security i.d AT
Themeneinstiege
Analyse Security-Anford.
Probleme Automat.-Techn.
Zuordnung zu SE-Themen
SE Prozesse
Umsetzung & Änderung
Eintrag kommentierenErfahrung zum Thema berichtenEintrag bewerten
Dieser Eintrag wurde im Schnitt mit 0 von 5 Punkten bewertet
Verfahren
Analyse der Security-Anforderungen
Methode/Technik:28337
Externe Quellen zum Thema NEU: Externe Quellen zum Thema suchen 
Beschreibung

Schutzprofile mit ISO/IEC 15408

Basis der im Jahre 1999 veröffentlichten Norm ISO/IEC 15408 sind die Common Criteria der Version 2.1. Die Common Criteria (CC) werden im deutschen als “Gemeinsame Kriterien zur Prüfung und Bewertung der Sicherheit von Informationstechnik” bezeichnet. Die Common Criteria sind der Öffentlichkeit frei zugänglich.

Mit den CCs können:
  • Anwender ihre Funktions- und Sicherheitsanforderungen (Angebotsanfrage) an Produkte oder Systeme durch die Erstellung von Protection Profiles (PP) spezifizieren,
  • Anbieter von Sicherheitslösungen ihre produktspezifische Umsetzung von Anforderungen in den Security Targets (ST) beschreiben.
Sowohl PPs (Schutzprofile) als auch STs dienen der Prüfungsinstanz (Zertifizierer) im Rahmen der Evaluierung zur Bewertung und Einstufung der Sicherheitsprodukte in einen „Evaluation Assurance Level“ (EAL). Ein EAL drückt dabei nicht die Leistungsfähigkeit eines Produktes aus, sondern vielmehr die Güte bei dessen Umsetzung. Die Einstufung in einen EAL gewährleistet Vergleichbarkeit zwischen Produkten mit gleichem Funktionsumfang.

Die CC bieten im Teil 1, Anhang B eine ausführliche Beschreibung zur genauen Spezifizierung von Schutzprofilen. Die folgende Abbildung gibt eine Übersicht über die Inhalte und die empfohlene Struktur von Schutzprofilen.

Zum Vergrößern bitte klicken

Abbildung 1: Struktur von Schutzprofilen nach [Common Criteria]

Die Inhalte umfassen dabei:

1. PP-Einführung:
  • soll das Schutzprofil als solches eindeutig identifizieren und
  • soll einen allgemeinen Überblick über das Schutzprofil geben, so dass der Leser dessen Relevanz erkennt
2. EVG-Beschreibung:
  • soll den Evaluierungsgegenstand (EVG), also das Sicherheitsprodukt beschreiben, auf das sich das Schutzprofil bezieht
  • die Beschreibung soll dabei die Einsatzmöglichkeiten, die allgemeinen Sicherheitseigenschaften und auch Grenzen für die Benutzung beinhalten
3. EVG-Sicherheitsumgebung:
  • soll als Annahmen die Sicherheitsaspekte (personell, materiell) der beabsichtigten Einsatzumgebung und die erwartete Art der Nutzung des EVG beschreiben
  • führt eine Art Bedrohungsanalyse durch (alle Bedrohungen, die den korrekten Betrieb des EVG gefährden können), wobei Verursacher einer Bedrohung, dessen Motivation und Mittel analysiert werden müssen
4. Sicherheitsziele:
  • müssen allen relevanten Bedrohungen entgegenwirken bzw. alle Sicherheitspolitiken erfüllen (Sicherheitsziel vs. Bedrohung )
  • werden in Sicherheitszielen des EVGs (technische Anforderungen) und Sicherheitszielen der Umgebung (Anforderungen an die Einsatzumgebung) unterschieden
5. IT-Sicherheitsanforderungen:
  • beinhalten funktionelle Anforderungen und Anforderungen an die Vertrauens-würdigkeit des EVG, um alle Sicherheitsziele zu erfüllen
  • muss der EVG im Rahmen der Prüfung und Bewertung genügen
  • sind dem Teil 2 und 3 der CC zu entnehmen oder können frei formuliert werden
6. PP-Anwendungsbemerkungen:
  • (optionaler Abschnitt) enthält zusätzliche Anwenderinformationen, die für die Erstellung, die Evaluierung oder den Gebrauch des EVG nützlich sein können.
7. Erklärung:
  • Stellt den Nachweis für die Evaluierung des Schutzprofils dar (d.h. PP enthält eine vollständige und in sich abgeschlossene Menge von Anforderungen; PP konformer EVG erbringt wirksame Gegenmaßnahmen)
Fortsetzung

Externe Quellen zum Thema NEU: Externe Quellen zum Thema suchen 
 Eintrag kommentieren 
 Eintrag bewerten 
 Erfahrung zum Thema berichten 
Zu dieser Seite wurden noch keine Kommentare oder Bewertungen abgegeben.
Übergeordnet
Einstieg IT-Sicherheit - Security in der Automatisierungstechnik
Analyse der Security-Anforderungen
Untergeordnet
Fortsetzung Analyse der Security-Anforderungen
Literaturhinweise
Common Criteria - Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik, Teil 1 „Einführung und allgemeines Modell"
System Protection Profile – Industrial Control Systems, Version 1.0
 
Zum Seitenanfang Top Drucken Impressum AGB
Home
VSEK ©2001-2012