Med SERTIT sin internasjonale godkjenning fra februar 2006 kan virksomheter få utstedt internasjonalt anerkjente Common Criteria sertifikater i Norge. Etterspørselen etter Common Criteria sertifiserte produkter er sterkt økende internasjonalt. SERTIT har blitt internasjonalt godkjent sertifikatutsteder.
Stortinget vedtok I 1998 å opprette en sertifiseringsordning for IT-sikkerhet i produkter og systemer. SERTIT - Sertifiseringsmyndigheten for IT-sikkerhet - er ansvarlig for etablering og drift av ordningen, herunder også godkjenning av evalueringsfirma underlagt ordningen. Secode Norge er et av i alt to selskaper i Norge med godkjenning som evalueringsfirma (EVIT) under SERTIT..
Internasjonalt er det i enkelte sammenhenger et krav at produkter som skal benyttes i forvaltningen er sertifisert. Det finnes også eksempler på IT-anskaffelser i Norge der man har stilt sikkerhetskrav i forhold til Common Criteria (CC). CC gir norske virksomheter mulighet til å dokumentere IT-sikkerhetsnivået i sine IT-produkter og systemer med internasjonalt anerkjent sertifikat. Standarden kan også benyttes for å differensiere aktuelle produsenter og systemintegratorer med hensyn på IT-sikkerhet i anskaffelsesprosesser. Secode er godkjent av SERTIT som EVIT (Evalueringsselskap for IT-sikkerhet) og har 20 års erfaring med sikkerhetsevaluering av IT-produkter og systemer opp mot Forsvarets krav og internasjonale standarder. Secode tilbyr i tillegg rådgivningstjenester, kurs og foredrag relatert til Common Criteria.
Secode evaluerer sikkerheten i IT-produkter og IT-systemer, på oppdrag både fra kjøpere av produkt eller system, og leverandører/utviklere. En sikkerhetsevaluering kan omfatte produkter som brannmurer, tilgangskontrollsystem, PKI-løsninger og smartkortløsninger, samt militære systemer. Secode kan også hjelpe utviklere, kjøpere og organisasjoner, ved tydelig å vise hva sikkerhetsevaluering innebærer:
Hvordan vet jeg at et IT-produkt eller system er sikkert? Hvor sikkert er det? Hva må jeg gjøre for å "bevise" at mitt produkt er sikkert?
Hva er sikkerhetsevaluering?
Sikkerhetsevaluering er en uavhengig tredjeparts gjennomgang av sikkerhetsfunksjonalitet i et IT-produkt eller system, iht. et forutbestemt tillitsnivå.
Ved behandling av sensitiv/gradert informasjon, kan en sikkerhetsevaluering gi en gjennomgang av IT-produkter og systemer, for å avklare om beskyttelsen av informasjon er god nok sikkerhetsmessig. En evaluering benytter formelle kriterier og metoder for å vurdere de gitte sikkerhetsmekanismer. I tillegg foretas det sårbarhetsanalyse og penetreringstesting, for å se om det er mulig å bryte implementerte sikkerhetsbarrierer.
Hvorfor sikkerhetsevaluering?
Gjennom en sikkerhetsevaluering bevises det at sikkerhetsfunksjonalitet er implementert iht. et avtalt nivå, etter krav fra kjøper, leverandør/utvikler, offentlige krav og lover:
Konkurransekraft i markedet
Markedet for sikkerhetsprodukter og løsninger inneholder mange konkurrerende produkter, og ethvert konkurransefortrinn må vurderes nøye . En vellykket formell sikkerhetsevaluering viser at produktet har gjennomgått en uavhengig vurdering iht. en internasjonal anerkjent standard, og alle som går til anskaffelse av produktet kan være sikker på at det inneholder den sikkerhetsfunksjonalitet det gir uttrykk for å ha.
Offentlige krav
Myndigheter kan sette krav om at et sikkerhetsprodukt eller system skal være evaluert og godkjent, før det kan tas i bruk til forsvar og offentlige departementer og etater. For at virksomheten skal kunne selge sitt produkt, må det derfor gjennom en sikkerhetsevaluering.
Lovgivning
Lover kan sette begrensninger mht. salg til bestemt bruk eller operasjon. Produktet må derfor tilby et gitt sett sikkerhetsfunksjoner, og være sikkerhetsevaluert, slik at tillit oppnås.
Ved å sikkerhetsevaluere et IT-produkt eller et system oppnår bedriften:
Internasjonalt anerkjent mål på sikkerhetsnivå i produkt/system
Et dokumentert sikkerhetsnivå for sitt produkt/system
Konkurransefortrinn fremfor ikke evaluerte produkter
Redusert sannsynlighet for sikkerhetshull/svakheter i et produkt
Strukturell implementering av sikkerhetsfunksjoner
En evalueringsprosess som kvalitetssikrer utviklingsmetodikk og rutiner
Hva er Common Criteria?
Common Criteria (CC) er fastsatte kriterier og prosedyrer for å definere, vurdere, og bedømme IT-produkter og IT-systemer, ut fra et IT-sikkerhetsperspektiv. Leverandører kan ved hjelp av CC levere sertifiserte produkter og systemer. CC kan gi svar på spørsmål som "hvilke sikkerhetsfunksjoner har produktet/løsningen", og "hvor sikker er du i dette". CC versjon 2.1 tilsvarer den internasjonale standarden ISO/IEC 15408:1999.
CC-evalueringen benyttes som et verktøy for å etablere et produkt eller et systems sikkerhetsnivå. Gjennomføringen kan gjøres etter 7 predefinerte tillitsnivå, såkalte EAL (Evaluation Assurance Level). Gjennomføringen kan også foregå etter et skreddersydd tillitsnivå bestemt av utvikler. Secode utfører evalueringer etter internasjonal metodikk for tillitsnivåene EAL1-4, og etter egenutviklet metode for EAL5, og omfatter følgende elementer:
Konfigurasjonsstyring
Leveranse og installasjon
Utviklingsprosessen
Drifts- og brukerdokumentasjon
Livsløpsvedlikehold
Testing
Sårbarhetsvurdering
Protection Profile (PP) og Security Target (ST)
Et IT-produkt eller system kan evalueres opp mot en gitt beskyttelsesprofil (PP), eller opp mot sikkerhetskrav og funksjoner for det aktuelle produktet, definert i en ST.
En beskyttelses profil (PP) består av et oppsett av implementasjonsuavhengige sikkerhetskrav for en gitt kategori produkter eller systemer. Dersom det ikke er utarbeidet PP for det produkt eller system som skal evalueres, kan det ved gitte kriterier defineres og godkjennes ny PP. I andre tilfeller, når produktet eller systemet er spesifikt, og ikke kan kategoriseres, kan sikkerhetskrav og funksjoner settes opp i en ST.
Et Security Target (ST) gir et oppsett av sikkerhetskrav og funksjoner, og benyttes som basis for en evaluering av et IT-produkt eller system. En ST utarbeides for hvert IT-produkt eller system, for hver evaluering. ST kan inneholde krav fra, eller bygge på en eller flere PP. I ST gis det krav til sikkerhetsfunksjoner som er spesifikke for et IT-produkt eller system i dets tiltenkte miljø.
Hvilke garantier gir et Common Criteria sertifisert produkt?
Resultatet av en CC sikkerhetsevaluering, gir tillit til at vurderingen av sikkerheten er gjennomført på korrekt nivå, iht. potensielle trusler for det aktuelle IT-produkt eller system i et gitt miljø.
Hvilke tjenester innen sikkerhetsevaluering kan Secode tilby?
I tillegg til å gjennomføre sikkerhetsevalueringer, tilbyr Secode også rådgivningstjenester, kurs og foredrag relatert til oppstart og gjennomføring av sikkerhetsevalueringer. Rådgivningstjenestene kan være alt fra utarbeidelse av Security Target (ST) og annen relatert dokumentasjon, til generell rådgivning og prosjektledelse.
|
Tips en venn
Skriv ut
