Definition und Zweck

Das Hauptziel von ISO/IEC 15408 oder Common Criteria besteht darin, einen standardisierten Satz von Anforderungen an die Sicherheitsfunktionen von IT-Produkten und die Sicherheitsmaßnahmen, die während einer Sicherheitsbewertung auf diese Produkte angewendet werden, bereitzustellen. Es ermöglicht Anbietern, ihre Produkte unabhängig zu bewerten und nach anerkannten Sicherheitsstandards zu zertifizieren, und bietet Käufern eine Metrik zur Bestimmung der Sicherheitseigenschaften von IT-Produkten.

Regelungskörperschaft

Der Standard wird gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht.

Zuletzt aktualisiert

ISO/IEC 15288 wurde zuletzt im Jahr 2022 aktualisiert und ist bekannt als ISO/IEC15288-1:2022.

Gilt für

ISO/IEC 15408 gilt für IT-Branchen und alle anderen Sektoren, die auf IT-Produkte angewiesen sind und sicherstellen möchten, dass diese Produkte spezifische Sicherheitskriterien erfüllen. Dies umfasst, ist aber nicht beschränkt auf Sektoren wie Regierung, Verteidigung, Gesundheitswesen, Finanzen und Telekommunikation.

Kontrollen und Anforderungen

Das Common Criteria-Rahmenwerk besteht aus drei Hauptteilen:

• Einführung und allgemeines Modell - Dies umfasst die allgemeinen Konzepte und Prinzipien der IT-Sicherheitsbewertung und bildet die Grundlage für die anderen Teile.
• Komponenten der Sicherheitsfunktionen - Definiert einen Satz von Anforderungen an die Sicherheitsfunktionen, die als Kriterien für die Bewertung der Sicherheitsfähigkeiten eines Produkts verwendet werden.
• Komponenten der Sicherheitsgarantie - Beschreibt die detaillierten Kriterien für die Sicherheitsmaßnahmen, die während einer Sicherheitsbewertung auf Produkte angewendet werden.

Um die Zertifizierung zu erreichen, muss ein Produkt bestimmte Schutzprofile (Protection Profiles, PP) erfüllen, die einen standardisierten Satz von Sicherheitsanforderungen für eine bestimmte Art von Produkt oder System definieren.

Bitte konsultieren Sie die offizielle ISO/IEC15288-1:2022 Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Evaluierungen nach den Common Criteria werden in lizenzierten Evaluierungseinrichtungen durchgeführt, was zur Erteilung einer Sicherheitszertifizierung durch die Zertifizierungsstelle eines teilnehmenden Landes führt. Die Häufigkeit der Bewertungen wird oft durch Änderungen am Produkt, die Notwendigkeit, ein höheres Evaluierungs-Sicherheitsniveau (Evaluation Assurance Level, EAL) zu erreichen, oder das Auslaufen einer bestehenden Zertifizierung bestimmt.

Die Dauer einer Evaluierung hängt von der Tiefe und dem Umfang der Bewertung sowie dem angestrebten Evaluierungs-Sicherheitsniveau (Evaluation Assurance Level, EAL) ab, wobei EAL1 das einfachste und EAL7 das strengste ist.