|
| |
Sicherheitszertifizierungen
Kefk Network : Security : Zertifizierungen
13-Feb-2003/09-Jan-06
Ãœbersicht
Verschiedene Faktoren bewirkten die Notwendigkeit von unabhängigen
Evaluationen, Zertifizierungen und Spezifikationen für
Netzwerksicherheit; in Deutschland ist in diesem Bereich neben privaten
Unternehmen seit 1991 auch die Bundesbehörde BSI aktiv.
Bekannte Anforderungskataloge sind
- in den USA die TCSEC des NCSC (Orange Book) mit vier definierten
Sicherheitsklassen (D bis A) und einigen Differenzierungen (C1, C2,
B1 bis B3);
- in Europa der ITSEC mit 7 hierarchischen Evaluationsstufen (E0
bis E6) sowie
- die multinational anerkannten Common Criteria (CCITSE bzw. CC)
mit 8 Sicherheitsstufen (EAL0 bis EAL7).
Diese Einstufungen bieten zwar Herstellern von Sicherheitsprodukten
eine Orientierung und den Anwendern eine relativ objektive Bewertung der
Systeme, allerdings sind die Zertifizierungsprozeduren zeit- und
kostenintensiv, was eine Verbreitung jenseits von Bereichen mit explizit
erhöhtem Schutzbedarf (Finanzgewerbe, Militär) bisher verhindert hat.
Common Criteria
"The Standard for Information Security".
www.commoncriteria.org.
Die Common Criteria sind eine international anerkannte Basis für die
Beschreibung von IT-Sicherheit nach dem Standard ISO-IEC 15408 (csrc.nist.gov/cc/ccv20/ccv2list.htm).
Darin wurden IT-Sicherheitskriterien wie ITSEC und Orange Book
weiterentwickelt. Der Standard soll eine Bibliothek von Anforderungen
zur Definition und Evaluation von IT- Sicherheitsanforderungen geben und
eine grenzübergreifende Anerkennung von Prüfung und Zertifizierung
ermöglichen.
Aus der Selbstdarstellung:
»The Common Criteria.org website serves as an international
Common Criteria Support Environment (CCSE). The site offers
international Evaluation Laboratories, Sponsors, Developers and
other interested parties an arena for raising issues about the
content and interpretation of the Common Criteria (CC). It also
serves as an information portal for international users of the CC«
(Quelle:
www.commoncriteria.org/docs/aboutus.html; Zugriff: 13-Feb-2003)
Assurance Levels EAL1-EAL4
www.commoncriteria.org/epl/AssuranceLevel.
EAL1
www.commoncriteria.org/epl/AssuranceLevel/index.html#EAL1.
EAL1 is applicable where some confidence in correct operation is
required, but the threats to security are not viewed as serious. It
will be of value where independent assurance is required to support
the contention that due care has been exercised with respect to the
protection of personal or similar information.
EAL1 provides a basic level of assurance by an analysis of the
security functions using a functional and interface specification
and guidance documentation, to understand the security behaviour.
For EAL1 products that contain cryptography, a full cryptographic
evaluation has not been performed. For these products, DSD has
assessed that the set of cryptographic algorithms used in the
product are appropriate, however, the correctness of their
implementation has not been evaluated.
This EAL1 provides a meaningful increase in assurance over an
unevaluated IT product or system. However, EAL1 is no more than a
health check or security audit of the product which requires a
minimum of documentary evidence.
EAL2
www.commoncriteria.org/epl/AssuranceLevel/index.html#EAL2.
EAL2 is applicable in those circumstances where developers or
users require a low to moderate level of independently assured
security in the absence of ready availability of the complete
development record. Such a situation may arise when securing legacy
systems, or where access to the developer may be limited.
EAL2 provides assurance by an analysis of the security functions,
using a functional and interface specification, guidance
documentation and the high-level design of the TOE, to understand
the security behaviour.
This EAL provides a meaningful increase in assurance from EAL1 by
requiring developer testing, a vulnerability analysis, and
independent testing based upon more detailed TOE specifications.
EAL3
www.commoncriteria.org/epl/AssuranceLevel/index.html#EAL3.
EAL3 is applicable in those circumstances where developers or
users require a moderate level of independently assured security,
and require a thorough investigation of the TOE and its development
without substantial re-engineering.
EAL3 provides assurance by an analysis of the security functions,
using a functional and interface specification, guidance
documentation, and the high-level design of the TOE, to understand
the security behaviour.
This EAL represents a meaningful increase in assurance from EAL2
by requiring more complete testing coverage of the security
functions and mechanisms and/or procedures that provide some
confidence that the TOE will not be tampered with during
development.
EAL4
www.commoncriteria.org/epl/AssuranceLevel/index.html#EAL4
EAL4 is applicable in those circumstances where developers or
users require a moderate to high level of independently assured
security in conventional commodity TOEs and are prepared to incur
additional security specific engineering costs.
EAL4 provides assurance by an analysis of the security functions,
using a functional and complete interface specification, guidance
documentation, the high-level and low-level design of the TOE, and a
subset of the implementation, to understand the security behaviour.
Assurance is additionally gained through an informal model of the
TOE security policy.
This EAL represents a meaningful increase from EAL3 by requiring
more design description, a subset of the implementation, and
improved mechanisms and/or procedures that provide confidence that
the TOE will not be tampered with during development or delivery.
Zertifizierte Produkte
Microsoft Windows 2000.
Microsoft Windows 2000 wurde im Oktober 2002 laut SAIC
nach ISO 15048 Common Criteria Evaluation Assurance Level 4
(EAL4) geprüft und ist das erste Betriebssystem, das nach dem
United States Common Criteria Evaluation and Validation Scheme
(CCEVS) eine Zertifizierung für EAL4 erreicht hat. Getestet wurden
Microsoft Windows 2000 Professional, Server und Advanced Server,
jeweils mit Service Pack 3 und Hotfix Q326886.
Red Hat Linux Advanced Server.
Red Hat und Oracle streben für den Linux Advanced Server
von Red Hat eine Zertifizierung nach den Common Criteria an.
Der Advanced Server des Linux-Distributors soll dabei den
Evaluation Assurance Level 2 (EAL2) erreichen. In einem weiteren
Schritt will Oracle seine Oracle 9i Database Release 2 unter Red Hat
Linux für EAL4 zertifizieren lassen. Oracle 9i ist bereits nach EAL4
unter Windows NT und Solaris zertifiziert; dies muss aber für jedes
Betriebssystem getrennt wiederholt werden.
Netmarks
Heise Online: "Red Hat und Oracle streben
Sicherheitszertifikat für Linux an", Meldung vom 13.02.2003 12:57,
www.heise.de/newsticker/data/jk-13.02.03-003.
Heise Online: "Sicherheitszertifikat für Windows 2000
[Update]", Meldung vom 30.10.2002 13:45,
www.heise.de/newsticker/data/anw-30.10.02-001.
Anmerkungen
| Blättern: << Anfang | < Zurück | Weiter > | Ende >> |
| |
 Zertifizierungen |
|
Ihr Name: Besucher (nicht angemeldet).
Online: 5 aktive User.
|
|
Anmelden | Abmelden |
|
|
Benachrichtigen bei Änderungen: |
|
|
|
|
|
Antivirus-Infos: |
|
|
Kefk Network :
Security |
About |
Wiki
