EN SV
standards

ISO/IEC 15408 Common Criteria for IT-sikkerhed forklaret

15 minutters læsning
ISO/IEC 15408 Common Criteria for IT-sikkerhed forklaret

Common Criteria (ISO/IEC 15408) er den internationale standard for IT-sikkerhed. Opdag kernebegreberne, evalueringsprocedurer og certificeringsprocesser.

Denne standard giver et struktureret og anerkendt rammeværk til vurdering af sikkerhedsegenskaberne ved IT-produkter og -systemer. Dens relevans fremhæves af dens integration i EU Cybersecurity Certification Scheme on Common Criteria (EUCC) inden for EU Cybersecurity Act, hvilket understreger den rolle, som Common Criteria spiller i harmonisering og styrkelse af cybersikkerhed på tværs af Europa.

Denne artikel tilbyder et omfattende blik på Common Criteria, deres struktur og praktiske anvendelse. Vi undersøger nylige ændringer, kaster lys over forholdet til EU Cybersecurity Act og forklarer centrale begreber som beskyttelsesprofiler, sikkerhedsmål og evalueringssikkerhedsniveauer. Derudover tager vi et detaljeret kig på evalueringsprocessen og testlaboratoriernes og certificeringsorganernes vigtige rolle.

Forholdet mellem ISO/IEC og Common Criteria

Forholdet mellem ISO/IEC 15408 og Common Criteria (CC) er et eksempel på succesfuld integration af en specialiseret standard i det internationale standardiseringssystem. Oprindeligt udviklet som en uafhængig standard til evaluering og certificering af informationsteknologisk sikkerhed blev Common Criteria optaget i ISO/IEC-familien i 1999 og udgivet som ISO/IEC 15408. Dette gjorde CC til en internationalt anerkendt standard og øgede deres verdensomspændende accept og anvendelighed. Siden da omtales standarden ofte både som "Common Criteria" og som "ISO/IEC 15408," hvor begge navne refererer til det samme indhold og almindeligvis bruges i flæng.

Styring og videreudvikling af CC sker i et unikt samarbejde mellem det internationale Common Criteria-fællesskab og ISO/IEC JTC 1/SC 27 (IT Security Techniques). Ændringer og opdateringer koordineres på tværs af begge fællesskaber, hvilket fører til kontinuerlig forbedring af standarden. Nye versioner udgives både som CC-dokumenter og som ISO/IEC-standarder, hvor ISO/IEC-versionerne typisk koster penge, mens CC-dokumenter ofte er frit tilgængelige. Derudover blev Common Evaluation Methodology (CEM) standardiseret som ISO/IEC 18045, hvilket skabte et konsistent rammeværk for evaluering og certificering.

Den nuværende version af Common Criteria kan downloades gratis fra den officielle Common Criteria Portal. Der finder du alle relevante dokumenter, herunder hoveddele af CC og tilknyttede metodikker. De tilsvarende ISO/IEC-standarder kan opnås på ISO publicly available standards page.

Struktur af Common Criteria

De fem dele af ISO/IEC 15408 sammen med ISO/IEC 18045 (CEM) danner et omfattende rammeværk til specifikation, udvikling og evaluering af IT-sikkerhedsprodukter. Mens dele 1-5 af ISO/IEC 15408 definerer krav og strukturer, giver CEM den nødvendige metodologi til praktisk udførelse af evalueringer.

ISO/IEC 15408-1 introduktion og generel model

Denne del giver et overblik over CC og definerer grundlæggende begreber, principper og terminologi. Den forklarer evalueringsprocessen og evalueringsresultaterne samt forholdet mellem de forskellige dele af CC.

ISO/IEC 15408-2 funktionelle sikkerhedskrav

Denne del indeholder et detaljeret katalog over standardiserede funktionelle sikkerhedskrav. Den bruges til præcis specifikation af sikkerhedsfunktioner i beskyttelsesprofiler (PP) og sikkerhedsmål (ST). Kravene er organiseret i klasser, familier og komponenter, hvilket tillader tilpasning og udvidelse til specifikke produkter eller systemer.

ISO/IEC 15408-3 sikringskrav

Denne del indeholder et omfattende katalog over sikringskrav. Den definerer foranstaltninger til vurdering af korrekt implementering af sikkerhedsfunktioner og specificerer krav til udviklings-, test- og leveringsprocesser.

ISO/IEC 15408-4 rammeværk for specifikation af evalueringsmetoder

Dette afsnit lægger grundlaget for udvikling af konsistente og reproducerbare evalueringsmetoder. Det definerer deres struktur og indhold og muliggør udvikling af specifikke metoder til forskellige teknologiområder.

ISO/IEC 15408-5 foruddefinerede pakker af sikkerhedskrav

Denne del indeholder foruddefinerede samlinger af sikkerhedskrav. Den definerer også evalueringsniveauerne (EAL1 til EAL7), som repræsenterer forskellige grader af evalueringsdybde. Disse pakker og EAL forenkler oprettelsen af beskyttelsesprofiler og sikkerhedsmål ved at levere ofte nødvendige kombinationer af krav og standardiserede sikringsniveauer.

Forholdet mellem Common Criteria og Common Evaluation Methodology

ISO/IEC 18045, også kendt som Common Evaluation Methodology (CEM), supplerer de fem dele af Common Criteria ved at beskrive, hvordan evalueringer udføres i praksis. Forholdet i detaljer:

  • CEM bygger direkte på begreberne og principperne defineret i del 1 og konkretiserer dem til praktisk anvendelse.
  • For de funktionelle og sikringskrav specificeret i dele 2 og 3 leverer CEM detaljerede testprocedurer og -teknikker. Den vejleder evaluatorer om, hvordan disse krav verificeres i praksis.
  • CEM implementerer rammeværket for evalueringsmetoder defineret i del 4 ved at levere en standardiseret metodologi til CC-evalueringer.
  • Ved evaluering af produkter, der bruger de foruddefinerede pakker i del 5, tilbyder CEM specifik vejledning til effektiv testudførelse.

Samlet set danner CEM broen mellem den teoretiske specifikation af sikkerhedskrav i Common Criteria og deres praktiske verificering. Den sikrer, at evalueringer under CC er konsistente, reproducerbare og sammenlignelige.

Ændringer i 2022-udgaven

2022-opdateringen af Common Criteria (ISO/IEC 15408) og ISO/IEC 18045 (CEM) introducerede flere betydelige ændringer. Nøglenyhederne sammenlignet med den tidligere version inkluderer:

  • Strukturen af standarden blev grundlæggende revideret. I stedet for de tidligere tre dele består ISO/IEC 15408 nu af fem dele. Den nye del 4 introducerer et rammeværk til specifikation af evalueringsmetoder, mens del 5 indeholder foruddefinerede pakker af sikkerhedskrav. Denne udvidelse sigter mod at forbedre anvendeligheden og fleksibiliteten af standarden.

  • Et centralt fokus for revisionen var modernisering og tilpasning til aktuelle teknologier og trusselscenarier. Dette afspejles i opdaterede og nye funktionelle sikkerhedskrav, der bedre tager hensyn til moderne IT-miljøer.

  • Sikringskravene blev også revideret for at gøre evalueringsprocessen mere effektiv og bedre opfylde behovene hos forskellige interessenter. Dette inkluderer forenkling af nogle krav og introduktion af nye begreber for bedre at vurdere sikkerheden i komplekse systemer.

  • Opdateringen øgede den praktiske orientering af standarden. De nye versioner lægger større vægt på praktisk anvendelighed og evalueringseffektivitet. Dette er blandt andet tydeligt i introduktionen af foruddefinerede pakker af sikkerhedskrav i del 5, som forenkler oprettelsen af beskyttelsesprofiler og sikkerhedsmål.

  • Evalueringsmetodologien beskrevet i ISO/IEC 18045 (CEM) blev tilsvarende justeret for at holde trit med ændringerne i ISO/IEC 15408. Dette sikrer konsekvent anvendelse af de nye krav og begreber under evalueringsprocessen.

  • Derudover blev kompatibiliteten med andre relevante standarder og reguleringer forbedret for at muliggøre bedre integration i eksisterende certificeringsrammer som EUCC-Skemaet.

Samlet sigter ændringerne mod at gøre standarden mere fleksibel, effektiv og relevant for moderne IT-sikkerhedsudfordringer, samtidig med at kerneprincipper i Common Criteria bevares. Revisionen afspejler indsatsen for at holde trit med hurtige udviklinger i cybersikkerhedslandskabet og opretholde standarden som et værdifuldt værktøj til evaluering og certificering af IT-sikkerhedsprodukter.

Common Criteria og EUCC-skemaet under EU Cybersecurity Act

EUCC-skemaet (European Cybersecurity Certification Scheme) blev udviklet under EU Cybersecurity Act. Det er baseret på Common Criteria og sigter mod at muliggøre en harmoniseret certificering af IT-produkter, tjenester og processer på tværs af EU.

Hovedaspekter af forbindelsen:

  • Harmonisering EUCC-skemaet bruger CC som grundlag for at etablere en EU-omfattende ensartet certificering.
  • Tilpasning det tilpasser CC til de specifikke krav og mål for EU.
  • Forenkling skemaet søger at forenkle certificeringsprocessen for at gøre den mere tilgængelig og effektiv.
  • Gensidig anerkendelse det fremmer gensidig anerkendelse af certificeringer inden for EU.
  • Sikringsniveauer EUCC-skemaet definerer sikringsniveauer (Basic, Substantial, High), der svarer til CC-evalueringsniveauerne.

Gennem denne forbindelse integreres Common Criteria i EU's juridiske og regulatoriske rammeværk for at styrke og standardisere cybersikkerheden i Europa.

Common Criteria byggeklodser beskyttelsesprofil, sikkerhedsmål og evalueringsobjekt

I hjertet af Common Criteria-evalueringsprocessen er tre væsentlige begreber: Target of Evaluation (TOE), Protection Profile (PP) og Security Target (ST). Disse byggeklodser danner grundlaget for en struktureret og sammenlignelig sikkerhedsvurdering af IT-produkter og -systemer.

Evalueret genstand

Target of Evaluation (TOE) betegner IT-produktet eller -systemet, der skal evalueres. Dette kan være software, hardware eller en kombination af begge. TOE indkapsler de konkrete sikkerhedsfunktioner, der vurderes i evalueringen.

Beskyttelsesprofil

En Protection Profile (PP) er en implementeringsuafhængig samling sikkerhedskrav til en bestemt kategori af TOE. Den definerer generelle sikkerhedsmål og krav til en produkttype uden at henvise til et specifikt produkt. PP'er oprettes ofte af brugergrupper eller myndigheder for at sætte standardiserede sikkerhedsforventninger for bestemte produktklasser. De tjener som reference for udviklere og evaluatorer og fremmer sammenligneligheden af sikkerhedsevalueringer.

Sikkerhedsmål

Security Target (ST) er en implementeringsspecifik beskrivelse af sikkerhedsegenskaberne ved en konkret TOE. Den indeholder detaljerede sikkerhedsmål, funktionelle og sikringskrav samt en beskrivelse af TOE's sikkerhedsfunktioner. En ST kan henvise til en eller flere PP'er og skal demonstrere, hvordan TOE opfylder kravene defineret i PP.

Interaktion mellem byggeklodserne

Disse tre byggeklodser er tæt forbundne: en ST kan baseres på en eller flere PP'er og forfiner deres generelle krav til den specifikke TOE. Under evalueringen kontrolleres det, om TOE opfylder sikkerhedskravene defineret i ST. Hvis ST er baseret på en PP, verificeres overholdelse af PP også.

Brug af disse byggeklodser fremmer standardisering og genanvendelighed af sikkerhedskrav. PP'er gør det muligt for kunder at specificere standardiserede krav til IT-produkter, mens producenter kan udvikle deres TOE'er i overensstemmelse hermed og dokumentere dette i deres ST'er. Denne strukturerede tilgang understøtter evalueringsprocessen og forenkler sammenligning og udvælgelse af IT-sikkerhedsprodukter på markedet.

Sikkerhedsanalyse og specifikation i Common Criteria

Common Criteria giver en struktureret tilgang til sikkerhedsanalyse og specifikation af IT-produkter og -systemer. Denne proces følger en logisk kæde fra problemdefinition til konkret implementering og verificering. Hovedelementerne i denne kæde er Security Problem Definition (SPD), Security Objectives, Security Functional Requirements (SFR'er) og Security Assurance Requirements (SAR'er).

Forholdet mellem definitionen af sikkerhedsproblemet, sikkerhedsmålene og sikkerhedskravene

Definition af sikkerhedsproblemet

Udgangspunktet er Security Problem Definition (SPD). Den beskriver sikkerhedsproblemet, der skal løses, ved at identificere potentielle trusler, relevante organisatoriske sikkerhedspolitikker og antagelser om driftsmiljøet. Baseret på denne SPD formuleres Security Objectives, der beskriver, hvordan det identificerede sikkerhedsproblem skal adresseres. Disse målsætninger defineres både for selve TOE og for dets driftsmiljø.

Funktionelle sikkerhedskrav

Security Functional Requirements (SFR'er) konkretiserer Security Objectives gennem specifikke funktionelle krav til TOE. De beskriver præcist, hvad produktet skal gøre i forhold til sikkerhed. SFR'er dækker områder som adgangskontrol, autentificering, revision og kryptografi. I Security Target (ST) specificeres disse krav i detaljer, ofte hentet fra en Protection Profile (PP) eller tilpasset til TOE's specifikke behov.

Sikringskrav

Derudover specificerer Security Assurance Requirements (SAR'er) dybden og stringensen, med hvilken implementeringen af sikkerhedsfunktioner skal verificeres under evalueringen. De definerer omfanget og omfanget af test og inkluderer krav til udviklingsdokumentation, test, sårbarhhedsanalyse og livscyklusunderstøttelse. SAR'er bestemmer derfor graden af tillid til den korrekte implementering af SFR'erne.

Evalueringssikringsniveauer

For at forenkle udvælgelse og anvendelse af SAR'er blev Evaluation Assurance Levels (EAL'er) introduceret. EAL'er er foruddefinerede pakker af SAR'er, der repræsenterer forskellige sikringsniveauer. De spænder fra EAL1 (funktionelt testet) til EAL7 (formelt verificeret og testet). Højere EAL'er kræver mere omfattende og stringente evalueringer, men involverer også højere omkostninger og indsats. EAL-pakker giver konsistente kravsæt for forskellige sikringsniveauer og letter dermed sammenligneligheden af evalueringer.

Indbyrdes forhold mellem elementerne

Komponenterne er tæt forbundne: SFR'er og SAR'er specificeres i ST og danner grundlaget for TOE-evalueringen. Valget af EAL påvirker omfanget og dybden af SFR-verifikationen. Under evalueringen kontrolleres det, om TOE opfylder SFR'erne, og om dette er blevet demonstreret i overensstemmelse med SAR'erne.

Under evalueringen kontrolleres det, om TOE opfylder SFR'erne, og om dette er blevet demonstreret i overensstemmelse med SAR'erne.

Denne strukturerede tilgang gør det muligt for Common Criteria at tilbyde en fleksibel, men standardiseret procedure til evaluering af IT-sikkerhed. SFR'er definerer den nødvendige funktionalitet, SAR'er sætter verifikationsdybden, og EAL'er giver standardiserede sikringsniveauer. Sammen muliggør de en omfattende og sammenlignelig vurdering af sikkerheden af IT-produkter og -systemer.

Evalueringsprocessen i Common Criteria

Den klassiske evalueringsproces begynder med, at producenten forbereder et Security Target (ST) til det produkt, der skal evalueres (Target of Evaluation, TOE). ST definerer sikkerhedsmålene og funktionerne for TOE. Valgfrit kan ST baseres på en eller flere Protection Profiles (PP'er), der sætter generelle sikkerhedskrav for en produktklasse. PP'er er ikke obligatoriske, men kan fremme sammenlignelighed og standardisering.

Evaluatoren gennemgår først ST for fuldstændighed og konsistens. TOE evalueres derefter mod kravene defineret i ST. Dette inkluderer gennemgang af dokumentation, test af sikkerhedsfunktioner og vurdering af udviklings- og leveringsprocesser. Evaluatoren producerer en evalueringsrapport, som gennemgås af et certificeringsorgan.

I en sammensat evaluering evalueres et komplekst produkt sammensat af flere komponenter, hvoraf nogle allerede kan være certificeret separat. Processen ligner den klassiske procedure, men tager derudover højde for interaktionerne mellem komponenter og bruger resultater fra tidligere evalueringer. Dette reducerer indsatsen og undgår duplikering.

I begge tilfælde tjener ST som reference for evalueringen, mens PP'er, hvis de bruges, danner grundlaget for ST og sikrer overensstemmelse med interesserne hos PP-forfatterne. Evalueringen verificerer i sidste ende, om TOE opfylder sikkerhedskravene defineret i ST (og indirekte i de refererede PP'er).

Evalueringslaboratorier og certificeringsorganer nøgleaktører i Common Criteria

Testlaboratorier og certificeringsorganer spiller en central rolle i Common Criteria (CC)-processen og er essentielle for gennemførelse og validering af sikkerhedsevalueringer. Deres samarbejde sikrer uafhængige, grundige og standardiserede evalueringer af IT-produkter og -systemer.

Testlaboratorier er ansvarlige for den faktiske evaluering af TOE. De gennemgår ST og producentens dokumentation, tester TOE's sikkerhedsfunktioner og producerer evalueringsrapporten. De arbejder tæt sammen med producenten for at afklare spørgsmål og indhente yderligere information. For at sikre uafhængighed og kompetence skal laboratorier være akkrediterede.

Eksempler på sådanne testlaboratorier inkluderer:

  • atsec information security (Tyskland, USA)
  • TÜV Informationstechnik GmbH (Tyskland)
  • Secuvera GmbH (Tyskland)
  • SGS Brightsight (Holland)
  • Gossamer Security Solutions (USA)

Certificeringsorganer fører tilsyn og sikrer kvalitet i CC-processen. De overvåger evalueringen, gennemgår testlaboratoriernes arbejde og udsteder det endelige certifikat. De sikrer også overholdelse af nationale og internationale standarder og repræsenterer deres land i Common Criteria Recognition Arrangement (CCRA). I nogle tilfælde er de ansvarlige for at akkreditere testlaboratorier.

Velkendte certificeringsorganer inkluderer:

  • Federal Office for Information Security (BSI) (Tyskland)
  • National Information Assurance Partnership (NIAP) (USA)
  • Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) (Frankrig)
  • Canadian Centre for Cyber Security (CCCS) (Canada)

Samspillet mellem testlaboratorier og certificeringsorganer er afgørende for CC-processen. Mens laboratorierne udfører det tekniske arbejde, fører certificeringsorganerne tilsyn med processen og sikrer kvalitet.

Et typisk workflow er som følger: en producent bestiller et akkrediteret testlaboratorium til at evaluere sit produkt. Laboratoriet gennemfører evalueringen og indsender rapporten til certificeringsorganet. Certificeringsorganet gennemgår rapporten, kan stille spørgsmål eller anmode om yderligere tests og udsteder CC-certifikatet ved succesfuld verifikation.

Dette system sikrer en uafhængig, grundig og standardiseret vurdering af IT-produkter og -systemer og hjælper med at opbygge tillid til evaluerede produkter, samtidig med at det muliggør international anerkendelse af certificeringer under CCRA.

Support til implementering og certificering

Common Criteria (ISO/IEC 15408) giver et internationalt anerkendt rammeværk til vurdering af sikkerheden af IT-produkter - især hvor formel certificering er påkrævet eller strategisk tilrådelig. Vejen til certificering kan være ressourcekrævende: fra definition af sikkerhedsmål til den succesfulde evaluering af et testlaboratorium.

Secuvi støtter producenter i implementering af Common Criteria - fra udvælgelse af egnede beskyttelsesprofiler og forberedelse af påkrævet dokumentation til koordinering af evalueringsprocessen. Vi fokuserer på løsninger, der opfylder regulatoriske krav, samtidig med at de integrerer med interne udviklingsprocesser.

Hvis du overvejer en CC-certificering eller forbereder dig på en, tilbyder vi ekspert- og metodologisk support.