Der ISO Standard ISO / IEC 15408 basiert auf den "Common Criteria for Information Technology Security Evaluation" („Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik“) eignet sich für die Bewertung der Sicherheitseigenschaften von informationstechnischen Systemen und Produkten.
Es wird dabei zwischen funktionalen Sicherheitsanforderungen und Anforderungen an die Vertrauenswürdigkeit unterschieden. Sieben Vertrauenswürdigkeitsstufen (Evaluation Assurance Level, kurz EAL), die mit EAL1 bis EAL7 bezeichnet werden, entsprechen dabei inhaltlich den Stufen E1 bis E6 von ITSEC, welches der Vorgänger der Common Criteria war.
IT-SEC
CC
EAL 1
Functional tested
E1
EAL 2
Structural tested
E2
EAL 3
Methodically tested and proofed
E3
EAL 4
Methodically developed, tested and proofed
E4
EAL 5
Semiformal developed and tested
E5
EAL 6
Semiformal verification of the design
E6
EAL 7
Formal verification of the design
In Schutzprofilen (Protection Profiles) werden für bestimmte Produkte oder Systeme die Anforderungen an die Funktionalität und an die Vertrauenswürdigkeit spezifiziert. Eine wichtige Voraussetzung für die internationale Anerkennung der Evaluierung ist die in einem gesonderten Dokument beschriebene Gemeinsame Evaluationsmethodologie (Common Evaluation Methodology, CEM).
Mit diesem Standard haben Entwickler eine Richtlinie um ihre Systeme auf eine Evaluierung vorzubereiten, die im Grunde auf das Sicherheitsbedürfnis von Konsumenten ausgerichtet ist.
Strength Of Mechanisms (SOF)
Basic
Protection against unintentional penetration
Medium
Protection against attacker with limited opportunities and means
High
Only conquered by attackers with exceptional knowledge, nearly unlimited opportunities and resources, although such a successful attack is actual seen as infeasible!
Sicherheitsstandards zeigt den Zusammenhang und den Einfluss von verschiedenen Sicherheitsstandards auf einander.
ISO 17799 / ISO 27002
Impressum
