Common Criteria for Information Technology Security Evaluation (CC) ist eine internationale Norm für Sicherheitsanforderungen an IT-Produkte und -Systeme. Es handelt sich um eine Reihe von Sicherheitsanforderungen, die zur Bewertung der Sicherheit von IT-Produkten und -Systemen verwendet werden können. CC bietet einen gemeinsamen Rahmen für Anbieter, Kunden und andere Beteiligte zur Bewertung der Sicherheit von IT-Produkten und -Systemen.
Common Criteria wurde in den späten 1990er Jahren von der Internationalen Organisation für Normung, der Internationalen Elektrotechnischen Kommission und den Information Technology Security Evaluation Criteria ins Leben gerufen. Der Zweck von CC war es, eine einheitliche, international anerkannte Reihe von Sicherheitsanforderungen für IT-Produkte und -Systeme zu schaffen.
Die Verwendung von Common Criteria bietet Anbietern und Kunden eine gemeinsame Sprache, die sie bei der Diskussion und Bewertung der Sicherheit von IT-Produkten und -Systemen verwenden können. Es hilft den Anbietern zu gewährleisten, dass ihre Produkte den höchsten Sicherheitsstandards entsprechen, und es hilft den Kunden, bei der Auswahl von IT-Produkten und -Systemen fundierte Entscheidungen zu treffen.
Die Common Criteria bieten eine Reihe von Sicherheitsanforderungen, die zur Bewertung der Sicherheit von IT-Produkten und -Systemen verwendet werden können. Diese Anforderungen decken Bereiche wie Authentifizierung, Autorisierung, Datenschutz, Zugangskontrolle und Verschlüsselung ab.
Der Common Criteria Evaluation Process ist eine Reihe von Schritten, die bei der Evaluierung der Sicherheit eines Produkts oder Systems befolgt werden müssen. Dieser Prozess umfasst die Erstellung von Sicherheitsvorgaben, die Durchführung einer Sicherheitsbewertung und die Ausstellung eines Konformitätszertifikats.
Wenn ein IT-Produkt oder -System evaluiert wurde und die in den Common Criteria dargelegten Sicherheitsanforderungen erfüllt, erhält es eine Zertifizierung. Diese Zertifizierung ist ein wichtiger Hinweis darauf, dass das Produkt oder System die höchsten Sicherheitsstandards erfüllt.
Die Common Criteria sind ein sich weiterentwickelnder Standard und müssen gepflegt werden, um sicherzustellen, dass sie auf dem neuesten Stand und relevant bleiben. Dies geschieht durch regelmäßige Überprüfungen und Aktualisierungen sowie durch die Entwicklung neuer Sicherheitsanforderungen.
Die Common Criteria for Information Technology Security Evaluation (CC) sind ein internationaler Standard für Sicherheitsanforderungen an IT-Produkte und -Systeme. Sie bieten Anbietern, Kunden und anderen Beteiligten einen gemeinsamen Rahmen für die Bewertung der Sicherheit von IT-Produkten und -Systemen. Die Common Criteria bieten eine Reihe von Sicherheitsanforderungen, die zur Bewertung der Sicherheit von IT-Produkten und -Systemen verwendet werden können, und die Zertifizierung ist ein wichtiger Hinweis darauf, dass das Produkt oder System den höchsten Sicherheitsstandards entspricht. Die Common Criteria müssen auch gepflegt werden, um sicherzustellen, dass der Standard aktuell und relevant bleibt.
Bei der Common Criteria-Zertifizierung handelt es sich um eine internationale Norm ISO IEC 15408 für die Bewertung der IT-Sicherheit. Es handelt sich um einen Rahmen, der eine Struktur für die Bewertung der Sicherheit von IT-Produkten und -Systemen bietet. Die Zertifizierung wird von Regierungen, Unternehmen und Organisationen auf der ganzen Welt verwendet, um sicherzustellen, dass IT-Produkte und -Systeme ihren Sicherheitsanforderungen entsprechen.
EAL2 ist die zweithöchste von sieben Sicherheitsstufen im Rahmen des Common Criteria Recognition Arrangement (CCRA). Eine Evaluierungssicherheitsstufe (Evaluation Assurance Level, EAL) ist eine numerische Bewertung, die den Sicherheitsvorgaben nach Abschluss einer Common Criteria-Evaluation zugewiesen wird und ein Maß für die Strenge und Tiefe der Evaluation darstellt.
EAL2 bedeutet, daß die Sicherheitsvorgaben einer detaillierteren und gründlicheren Evaluation unterzogen wurden als für EAL1 erforderlich. Insbesondere werden strengere Anforderungen an den Entwicklungsprozeß und an die zu verwendenden Evaluationswerkzeuge und -techniken gestellt. Darüber hinaus muß das Evaluationsteam über mehr Fachwissen und Erfahrung verfügen, und die Evaluation selbst muß umfassender und strenger sein.
CC steht für "Credit Card"-Sicherheit. Es handelt sich dabei um eine Art von Sicherheit, die zum Schutz von Kreditkarteninformationen verwendet wird. Diese Art von Sicherheit ist wichtig, weil sie hilft, Betrug und Identitätsdiebstahl zu verhindern.
Die drei Kategorien der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.
Vertraulichkeit ist die Sicherheitsmaßnahme, die gewährleistet, dass nur befugte Personen Zugang zu Informationen haben. Integrität ist die Sicherheitsmaßnahme, die sicherstellt, dass Informationen nicht auf unautorisierte Weise verändert werden. Verfügbarkeit ist die Sicherheitsmaßnahme, die sicherstellt, dass Informationen für autorisierte Personen zur Verfügung stehen, wenn diese sie benötigen.
Die 5 Bewertungskriterien lauten wie folgt
1. sind die Daten korrekt?
2. Sind die Daten vollständig?
3. sind die Daten zeitnah?
4. sind die Daten konsistent?
5. sind die Daten zugänglich?