Anforderungen zur Kompetenzfeststellung als Evaluator im Bereich Common Criteria. CC-Evaluatoren

Transkript

1 Anforderungen zur Kompetenzfeststellung als Evaluator im Bereich Common Criteria CC-Evaluatoren Version 1.0 vom

2 Änderungshistorie Version Datum Name Beschreibung Anerkennungsstelle S 25 Erstausgabe aufgrund Dokumentenumstrukturierung Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: service-center@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik 2015

3 CC-Evaluatoren 1.0 Inhaltsverzeichnis Inhaltsverzeichnis Änderungshistorie Einleitung Zielsetzung des Dokuments CC-Evaluatoren Eingliederung in die Dokumentenstruktur Programm zur Kompetenzfeststellung CC-Evaluatoren Persönliche Anforderungen Fachliche Anforderungen Technical Domain Smartcards and Similar Devices Technical Domain Hardware Devices with Security Boxes Information Technology Security Evaluation Criteria (ITSEC) Verfahren zur Kompetenzfeststellung von CC-Evaluatoren Notwendige Unterlagen zur Kompetenzfeststellung Nachmeldung weiterer CC-Evaluatoren (erfahrene CC-Evaluatoren und CC-Evaluatoren in Einarbeitung) Aufrechterhaltung der Kompetenz Anforderungen an den Ablauf der Evaluierung im Rahmen der Zertifizierung von Produkten Erneute Kompetenzfeststellung Spezielle Rahmenbedingungen Anforderungen an die Zusammenarbeit Arbeitstreffen mit den Evaluatoren Referenzen und Glossar Abbildungsverzeichnis Abbildung 1: Zertifizierungs- und Anerkennungsprogramme (Dokumentenübersicht)...5 Bundesamt für Sicherheit in der Informationstechnik 3

4 CC-Evaluatoren 1.0 Einleitung 1 1 Einleitung Die Kompetenzfeststellung eines CC-Evaluators wird auf Veranlassung einer Prüfstelle im Rahmen der Anerkennung von Prüfstellen durchgeführt. 1.1 Zielsetzung des Dokuments CC-Evaluatoren Dieses Dokument beinhaltet detaillierte Anforderungen und weitere Informationen als Ergänzung zur übergeordneten Verfahrensbeschreibung zur Kompetenzfeststellung und Zertifizierung von Personen [VB-Personen]. Es richtet sich insbesondere an die Antragsteller, die sich dafür entschieden haben, eine Anerkennung im Bereich der Common Criteria [CC] (oder der Information Technology Security Evaluation Criteria [ITSEC]) durchführen zu lassen. Es werden die speziellen Anforderungen mit detaillierten Hinweisen zu Verfahrensabläufen benannt, die ein Antragsteller berücksichtigen muss. An den entsprechenden Stellen im Dokument wird z. B. auf Formulare oder weitere Hilfsmittel hingewiesen, die insbesondere bei einer Erstanerkennung hilfreich sind. 1.2 Eingliederung in die Dokumentenstruktur Einen Überblick über die zur Verfügung stehenden Dokumente sowie die Zertifizierungs- und Anerkennungsprogramme gibt die folgende Abbildung. Alle Dokumente stellen Informationen zielgruppenorientiert zur Verfügung. Abbildung 1: Zertifizierungs- und Anerkennungsprogramme (Dokumentenübersicht) Die Beschreibung der verschiedenen Dokumentenkategorien befindet sich in den übergeordneten Dokumenten [VB-Personen] bzw. [VB-Stellen]. Das Dokument Verzeichnisse [Verzeichnisse] gibt einen Überblick über alle benötigten Hilfs- und Informationsquellen (Literaturverzeichnis) und enthält ein Stichwort- und Abkürzungsverzeichnis (Glossar). Bundesamt für Sicherheit in der Informationstechnik 5 von 12

5 2 Programm zur Kompetenzfeststellung CC-Evaluatoren Programm zur Kompetenzfeststellung Das Programm zur Kompetenzfeststellung beschreibt die jeweiligen Geltungsbereiche. 2.1 CC-Evaluatoren Die Common Criteria for Information Technology Security Evaluation (CC) stellen die international anerkannten Kriterien zur Prüfung und Bewertung der Sicherheit von IT-Produkten dar. Sie sind für die Bewertung der Sicherheitseigenschaften praktisch aller informationstechnischer Produkte geeignet. Eine Produktevaluierung nach CC erfordert einen bestimmten Maß an Fachwissen und spezifischer Fachqualifikationen der CC-Evaluatoren. Um ein hohes Qualitätsniveau unserer Zertifizierungs- bzw. Evaluierungsverfahren gewährleisten zu können, müssen die bei den Prüfstellen eingesetzten CC-Evaluatoren fachliche und persönliche Mindestanforderungen erfüllen. Bereits bei der Einstellung der neuen CC-Evaluatoren müssen folgende Eingangsanforderungen erfüllt sein: Persönliche Anforderungen Analytisches Vorgehen. Belastbarkeit. Konfliktfähigkeit. Teamfähigkeit Fachliche Anforderungen Abschluss eines einschlägigen mathematisch-technischen Fachhochschul- oder Hochschulstudiums (z. B. Mathematik, Informatik, Elektrotechnik, Physik). Bei ausländischen Hochschulabschlüssen muss eine Gleichwertigkeit mit einem entsprechenden inländischen Hochschulabschluss gewährleistet sein. Grundkenntnisse der IT-Security. Kenntnisse im Projektmanagement. Beherrschung der deutschen und englischen Sprache. Die Komplexität und Vielfalt der IT-Produkte erfordert von den Prüfstellen und den dort für die Evaluierung eingesetzten Personen ein hohes Maß an Fach- und Produktwissens und gute Kenntnis der relevanten Standards. Aus diesen Rahmenbedingungen ergibt sich die Notwendigkeit, Mindestanforderungen an die CC-Evaluatoren der Prüfstellen, die eine Anerkennung beim BSI anstreben, zu formulieren. Bei der Antragsstellung zur Anerkennung und Reanerkennung im Bereich CC müssen mindestens zwei erfahrene CC-Evaluatoren benannt werden. Sie müssen zwingend folgende Mindestanforderungen erfüllen: 1. Erfolgreiche Teilnahme am CC-Einführungskurs des BSI (Abschlussprüfung), 2. Kenntnisse in Standortsicherheit, Netzwerksicherheit und Sicherheitsmanagement (z.b. IT-Grundschutz), 3. Grundkenntnisse Kryptographie, 4. Laborerfahrungen bezüglich Penetrationstests, 5. Spezifische Kenntnisse der Technologien (je nach Anerkennungsbereich), 6 von 12 Bundesamt für Sicherheit in der Informationstechnik

6 CC-Evaluatoren 1.0 Programm zur Kompetenzfeststellung 2 6. Tool-Kenntnisse (insb. Entwicklungstools, Analyse- und Angriffstools) und 7. Erfahrungen in Recherche von Schwachstellen. Darüber hinaus sind in Abhängigkeit vom Produkttyp und dem angestrebten Evaluierungsumfang und -tiefe Kenntnisse der internationalen Anforderungen der Standardisierungsgremien [SOG-IS] und verfahrensspezifische Fachkenntnisse erforderlich. Exemplarisch werden diese für den Bereich Smartcards and Similar Devices in Kapitel 2.2 und Hardware Devices with Security Boxes in Kapitel 2.3 benannt. Bei anderen Produkttypen sind andere Kenntnisse erforderlich, z.b. muss der Evaluator eines Softwareprodukts die Programmiersprache, in welcher das Produkt geschrieben wurde, relevante Test- und Debuggingtools sowie Penentrationstools gut beherrschen und eine entsprechende Fachkompetenz belegen können. 2.2 Technical Domain Smartcards and Similar Devices Wie im SOGIS-Abkommen [SOGIS-MRA] definiert, sind im Anerkennungsbereich (der Technical Domain ) Smartcards and smilar devices signifikante Sicherheitsfunktionalitäten des Evaluierungsgegenstandes von der Hardware abhängig. Ein Angreifer, der physischen Zugriff besitzt, kann somit Zugang zu kritischen Informationen, wie z.b. Schlüssel, die zum Selbstschutz dienen, erhalten. Bei der Evaluierung müssen alle hardwarespezifischen Angriffsmethoden sowie Angriffsmethoden auf die im Chip gespeicherte und ablaufende Embedded Software nach dem jeweils aktuellen Stand der Technik betrachtet werden, auch solche, die besondere Kompetenzen, Einrichtungen oder Ressourcen benötigen. Prüfstellen, die Ihre Anerkennung im Bereich CC auf den Bereich Smartcards and Similar Devices erweitern möchten, müssen gewährleisten, dass eingesetztes Personal unter anderem über Kompetenzen in folgenden Bereichen verfügt: Kenntnisse des Smartcard spezifischen Lebenszyklus: Entwicklungs-/Produktionsprozesse, über Sicherheitsanforderungen während der Entwicklung und Produktion, Kenntnisse zu Chip-Präparierung und Reverse-Engineering sowie über Smartcard spezifische Entwicklungs- und Produktionsunterlagen, Kenntnisse über physische Manipulationen und Probing, Kenntnisse überfault-injection Angriffe (u. a. Laser, Spannung), Kenntnisse über Seitenkanalanalysen (Charakterisierung des Untersuchungsobjektes, Messtechnik kontaktlos/-behaftet, Auswertung), Kenntnisse in Kryptographie (z.b. Zufallszahlengeneratoren, Speicher- und Busverschlüsselungen, Standardalgorithmen und sichere Implementierungsmethoden), Kenntnisse über Angriffe auf Embedded Software z. B. über die Schnittstellen, auch in Kombination mit Angriffen auf die Hardware, z.b. durch Fault-Injection (u.a. Laser, Spannung), Kenntnisse der formaler Methoden und Kenntnisse über öffentlich bekannte Angriffsmethoden auf Produkte dieser Art. Umfassend sind die notwendigen Kompetenzen in den offiziellen Dokumenten des [SOG-IS] für die Technical Domain Smartcards and Similar Devices aufgeführt. 2.3 Technical Domain Hardware Devices with Security Boxes Wie im SOGIS-Abkommen [SOGIS-MRA] definiert, sind im Anerkennungsbereich (der Technical Domain ) Hardware Devices with Security Boxes signifikante Sicherheitsfunktionalitäten des Evaluationsgegenstandes von der Hardware, den verwendeten Bauteilen, dem Leiterplatten- und Gehäusedesign Bundesamt für Sicherheit in der Informationstechnik 7 von 12

7 2 Programm zur Kompetenzfeststellung CC-Evaluatoren 1.0 abhängig. Insbesondere ist auch die physische Gehäusesicherheit von Bedeutung. Darüber hinaus verfügen Produkte dieses Typs über komplexe Betriebssysteme und vielfältige Schnittstellen zu IT-Netzwerken und externen Geräten. Bei der Evaluierung müssen alle Angriffsmethoden in Bezug auf Gehäuse, Hardware und Embedded Software nach dem jeweils aktuellen Stand der Technik betrachtet werden, auch solche, die besondere Kompetenzen, Einrichtungen oder Ressourcen benötigen. Prüfstellen, die Ihre Anerkennung im Bereich CC auf den Bereich Hardware Devices with Security Boxes erweitern möchten, müssen gewährleisten, dass eingesetztes Personal unter anderem über Kompetenzen in folgenden Bereichen verfügt: Kenntnisse typischer Lebenszyklen für Embedded Devices: Entwicklungs-/Produktionsprozesse und über Sicherheitsanforderungen während der Entwicklung und Produktion, Kenntnisse zur Gehäusesicherheit und deren Analyse, Methoden des Reverse-Engineering von Baugruppen, Leiterplatten und Embedded Software, Kenntnisse über physische Manipulationen der Geräte, Kenntnisse zur Fault-Injection bei Hardwarebauteilen, Leiterplatten und an Schnittstellen, Kenntnisse zu Seitenkanalanalysen (Charakterisierung des Untersuchungsobjektes, Messtechnik kontaktlos/-behaftet, Auswertung), Kenntnisse in Kryptographie (z. B. Zufallszahlengenerator, Standardalgorithmen und sichere Implementierungsmethoden in Embedded Software), Kenntnisse über Angriffe auf Embedded Software z. B. über die Schnittstellen, auch in Kombination mit Angriffen auf die Hardware, z. B. durch Fault Injection, Kenntnisse der formaler Methoden (für die Produktzertifizierung ab EAL-Stufe 6) und Kenntnisse über öffentlich bekannte Angriffsmethoden auf Produkte dieser Art, auch insbesondere im jeweils relevanten Anwendungsbereich wie z. B. Point of Interaction, Hardware Security Module und Digitaler Tachograph. Umfassend sind die notwendigen Kompetenzen in den offiziellen Dokumenten des [SOG-IS] für die Technical Domain Hardware Devices with Security Boxes aufgeführt. 2.4 Information Technology Security Evaluation Criteria (ITSEC) Die Information Technology Security Evaluation Criteria (ITSEC) bieten eine Skala für eine abgestufte Bewertung der Wirksamkeit, d.h. der Fähigkeit des IT-Produktes, den angenommenen Bedrohungen zu widerstehen. Die Abstufung bei der Wirksamkeit reicht von niedrig über mittel bis hoch. Zudem wird die nachgewiesene Qualität nach einer sechsstufigen Bewertungsskala angegeben (E1 als niedrigste Stufe bis E6 als höchste Stufe für die Korrektheit). Die Stufen beziehen sich auf die Prüftiefe und die Prüfmethoden. Eine Kompetenzfeststellung für den Standard ITSEC wird nicht mehr durchgeführt, da es sich hierbei um ein Kriterienwerk handelt, das grundsätzlich nicht mehr für Zertifizierungsverfahren zur Verfügung steht. Ausnahmen im Langzeitprojekt A400M werden im Einzelfall abgestimmt. 8 von 12 Bundesamt für Sicherheit in der Informationstechnik

8 CC-Evaluatoren 1.0 Verfahren zur Kompetenzfeststellung von CC-Evaluatoren 3 3 Verfahren zur Kompetenzfeststellung von CC-Evaluatoren Die Evaluierungen in einer CC-Prüfstelle führen CC-Evaluatoren durch. Alle Evaluatoren müssen vor der Begutachtungsphase der Anerkennung der CC-Prüfstelle eine Kompetenzfeststellung durchlaufen. Dabei wird im ersten Schritt bei der Beantragung der Anerkennung anhand der eingereichten Nachweise geprüft, ob die genannten Anforderungen formal erfüllt sind. In der Fachbegutachtung wird die Konformität vor Ort überprüft und bestätigt. 3.1 Notwendige Unterlagen zur Kompetenzfeststellung Folgende Unterlagen und Nachweise muss die Prüfstelle ihrem Antrag auf Anerkennung bzw. Reanerkennung als CC-Prüfstelle beifügen: Kompetenzprofile der benannten CC-Evaluatoren mit folgenden Mindestangaben: 1 Hochschulabschluss. 2 Auditierungskompetenzen und -erfahrungen. 3 Erfolgreicher Abschluss der CC-Schulung beim BSI. 4 Erfahrungen in Common Criteria. 5 Erfahrungen im deutschen Schema. 6 Nachweis der aktiven Mitarbeit in mindestens zwei Projekten mit Bezug zur IT-Sicherheit innerhalb der letzten fünf Jahre (Benennung der Projekte und der Umfang der Tätigkeit). 3.2 Nachmeldung weiterer CC-Evaluatoren (erfahrene CC-Evaluatoren und CC-Evaluatoren in Einarbeitung) Die Prüfstellen müssen gewährleisten, dass sie über genügend Personalressourcen verfügen, ihre Evaluierungsarbeiten sachgerecht durchführen zu können. Während der Anerkennungsperiode können weitere erfahrene CC-Evaluatoren benannt werden. Dafür müssen die im Kapitel 3.1. genannten Angaben und Nachweise für die nachzumeldenden CC-Evaluatoren elektronisch oder per Post eingereicht werden. In der Regel beschäftigen die Prüfstellen neben den erfahrenen auch weniger bis gar nicht erfahrene Evaluatoren. Um dieser Tatsache Rechnung zu tragen und trotzdem ein hohes Qualitätsniveau der Evaluierungsverfahren halten zu können, gibt es die Kategorie Evaluator in Einarbeitung. Folgende Anforderungen sind dabei zu beachten: Erfolgreicher Abschluss der CC-Schulung beim BSI. Meldung des Evaluators in Einarbeitung beim BSI (s. dazu Angaben im Absatz 1). Die Prüfstelle muss ein Mitarbeiterentwicklungskonzept in Hinblick auf die genannten Fachanforderungen etablieren und umsetzen. Das Konzept muss folgende Mindestinhalte einschließen: Einarbeitung in die Tools und Prozesse durch ein Mentor, Schnellstmöglicher Einsatz des CC-Evaluators in Einarbeitung in den aktuellen CC-Evaluierungsverfahren und Bewertung des Fortschritts der Ausbildung. Bundesamt für Sicherheit in der Informationstechnik 9 von 12

9 4 Aufrechterhaltung der Kompetenz CC-Evaluatoren Aufrechterhaltung der Kompetenz 4.1 Anforderungen an den Ablauf der Evaluierung im Rahmen der Zertifizierung von Produkten Das Verfahren einer Produktzertifizierung mit den Aufgaben wird in dem Dokument [CC-Prüfstelle] dargestellt. Weitere Aufgaben sind in dem Dokument [VB-Produkte] mit der zugehörigen [CC-Produkte] beschrieben. Einen Überblick über alle benötigten Hilfsmittel befindet sich im Dokument [Verzeichnisse]. Fachkenntnisse zu jedem speziellen Verfahren müssen jeweils vor Beginn einer Evaluierung gegenüber dem Produktzertifizierungsstelle des BSI bestätigt werden. Sollte die Produktzertifizierungsstelle feststellen, dass ein Evaluator wiederholt mangelhafte Prüfberichte vorlegt, behält sich die Produktzertifizierungsstelle vor, den Evaluator von weiteren ITSEC- bzw. CC-Zertifizierungsverfahren (in den jeweiligen Geltungsbereichen) auszuschließen. In diesem Fall eskaliert und leitet die Anerkennungsstelle ein Mahn- und Aussetzungsverfahren bzgl. der Anerkennung als Prüfstelle gemäß [VB-Stellen] ein. 4.2 Erneute Kompetenzfeststellung Das BSI behält es sich vor, eine erneute Kompetenzfeststellung bei den benannten CC-Evaluatoren in den Fällen durchzuführen, wenn: die Arbeitsergebnisse eines CC-Evaluators mangelhaft sind. Das ist der Fall, wenn: die Vorgaben der Methodologie und der Arbeitspapiere nicht eingehalten werden, der Evaluierungsbericht nicht den erforderlichen Standards entspricht, die Kenntnisse der jeweiligen Technologie, des Lebenszyklus oder der Angriffsmethoden sich als nicht ausreichend herausgestellt haben, Fachkenntnisse und Analysemethoden in Spezialbereichen wie z.b. semiformalen/formalen Methoden und Kryptographie sich als nicht ausreichend herausgestellt haben. 10 von 12 Bundesamt für Sicherheit in der Informationstechnik

10 CC-Evaluatoren 1.0 Spezielle Rahmenbedingungen 5 5 Spezielle Rahmenbedingungen 5.1 Anforderungen an die Zusammenarbeit Der Evaluator muss die prozessspezifischen Anforderungen gemäß Kapitel 4.1 Anforderungen an den Ablauf der Evaluierung im Rahmen der Zertifizierung von Produkten einhalten. ist gegenüber der Produktzertifizierungsstelle verpflichtet, Auskünfte zum Ablauf und Inhalt laufender Evaluierungsverfahren zu erteilen. muss seine Arbeiten nach den jeweiligen aktuellen Stand der Technik unter Anwendung der Vorgaben durchführen. muss sich im jeweiligen Anerkennungsbereich auf technisch aktuellem Stand zu Entwicklungs- und Produktionsmethoden, zu Evaluierungs-, Analyse- und Angriffsmethoden halten. arbeitet nach den Grundsätzen der Sorgfaltspflicht, der Vertraulichkeit, der Unvoreingenommenheit und Unparteilichkeit. 5.2 Arbeitstreffen mit den Evaluatoren Bei Bedarf können Arbeitstreffen mit den Evaluatoren angesetzt werden. Bundesamt für Sicherheit in der Informationstechnik 11 von 12

11 6 Referenzen und Glossar CC-Evaluatoren Referenzen und Glossar Die Aufschlüsselung der referenzierten Dokumente und das Glossar befindet sich im Dokument Verzeichnisse [Verzeichnisse]. 12 von 12 Bundesamt für Sicherheit in der Informationstechnik