Knowit Secure

Vi gjør IT sikrere!

Har du hørt om Common Criteria?

CCDenne uken tar jeg en ny pause i serien om ISO 27001 for å fortelle litt om et av de mindre kjente områdene vi i Knowit Secure jobber med: Common Criteria. (Også kjent som CC blant noen få innvidde).


Så, hva er Common Criteria?
Common Criteria (CC) er en internasjonal standard (ISO/IEC 15408) som skaper et rammeverk som hjelper virksomheter å sjekke at deres informasjonssikkerhetsprodukter lever opp til forventede og lovede sikkerhetskrav.

Et produkt sertifiseres til ett av 7 sikkerhetsnivåer. EAL 1 er det laveste nivået og EAL 7 er det høyeste (EAL = Evaluation Assurance Level). Ikke tro at et produkt som er sertifisert EAL 4 nødvendigvis er sikrere enn et produkt som er sertifisert EAL 1. Et høyere sertifiseringsnivå sier bare at produktet har vært gjennom flere tester og at du kan være sikrere på at produktet leverer som leverandøren lover.

For å evaluere et produkt må leverandøren først forberede et dokument som kalles «Security Target» (eller bare ST). Dokumentet gir en oversikt over produktet og produktets sikkerhetsegenskaper, inneholder en vurdering av mulige trusselaktører, trusler, sikkerhetsmåltrusler og hvilke sikkerhetsfunksjoner produktet inneholder. Poenget med dokumentet er å vise at sikkerhetsfunksjonene som er oppgitt er tilstrekkelige til å dekke truslene og målene som er satt.

Ved en evaluering fungerer Security Target dokumentet som en kravspesifikasjon. De som gjør evalueringen sjekker produktet mot Security Target-dokumentet og vil påpeke alle avvik som finnes. Så lenge det er avvik kan ikke produktet sertifiseres.

Hvorfor gjøres CC-sertifiseringer?
Målet med en CC-sertifisering er å forsikre kunder om at produktet de kjøper er kontrollert og at leverandørens løfter verifiseres av en nøytral part.

Hva gjør vi i Knowit Secure?
Knowit Secure er rådgivere innen Common Criteria og kan hjelpe eierne av produkter som skal sertifiseres med å forstå sertifiseringsprosessen og eventuelt med å utarbeide Security Target. Videre kan vi også bistå produkteieren med å utarbeide underlagsdokumentasjon til en evaluering. Knowit Secure er ikke et sertifisert evalueringslaboratorium, disse er det i dag to av i Norge og kan finnes på SERTITs hjemmeside.


Bjørn-Are (med hjelp fra gode kolleger),
Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, der de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den november 18, 2015 av i Common Criteria med stikkord , , , , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: