Common Criteria, CCRA och svenska aktörer

Standarden Common Criteria

Under senare delen av 1980-talet utvecklades evalueringskriterier för IT-säkerhet i flera länder i Europa. Samarbete mellan Storbritannien, Frankrike, Nederländerna och Tyskland resulterade 1991 i gemensamma evalueringskriterier för IT-säkerhet under beteckningen ITSEC. En parallell utveckling i USA och Kanada resulterade i Federal Criteria respektive Canadian Criteria.

Dessa evalueringskriterier för IT-säkerhet är nu ersatta av Common Criteria (CC) som är ett resultat av internationellt samarbete inom ramen för samarbetsorganisationen Common Criteria Recognition Arrangement (CCRA) och den internationella standardiseringsorganisationen International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). Dessa kriterier har fått standardbeteckningen ISO/IEC 15408. CC version 1.0 och fastställdes 1996, under 2006 fastställdes version 3.1.

Beskrivning

CC är en internationell standard för hur man ställer krav på, deklarerar samt evaluerar (utvärderar) säkerhet i IT-produkter i deras användningsmiljöer. CC är alltså ett ramverk för hur man beskriver de funktionella kraven på säkerhet i en IT-produkt inte en samling krav i sig. Inom ramverket klarläggs först kravbilden så att IT-produkten sedan ska kunna evalueras i förhållande till denna. CC fokuserar på det behov av informationssäkerhet som uppstår på grund av avsiktliga eller oavsiktliga hot utgående från krav på konfidentialitet, riktighet och tillgänglighet.

Ramverket CC består av dokumentation i följande delar:

  • CC del 1 är en introduktion till metoden, terminologin och aktuella roller. Här beskrivs strukturen och de principer som gäller vid evaluering.
  • CC del 2 ger en detaljerad beskrivning av skyddsåtgärder (i den engelska texten används termen Security Functions). Här finns en katalog över säkerhetskomponenter (i den engelska texten används termen Security Components) indelade i klasser och familjer.
  • CC del 3 listar assuranskrav paketerade i sju olika assuransnivåer. Här finns även evalueringskriterier för skyddsprofiler och säkerhetsmål.

Dessutom tillkommer:

  • Common Evaluation Methodology (CEM) som är en standardiserad evalueringsmetodik (ISO/IEC 18045) som i detalj reglerar principerna och stegen i en säkerhetsutvärdering enligt CC.

Samtliga dessa dokument återfinns på CC-portalen www.commoncriteriaportal.org

Nedan syns Common Criterias officiella logotyp:

 

Användning av Common Criteria

Med hjälp av CC kan man kan utreda och beskriva behov av skyddsåtgärder i en IT-produkt som en organisation avser utveckla eller upphandla. Om behovet avser en potentiell köpares önskemål kallas de samlade skyddsåtgärderna för skyddsprofil och om det avser den utvecklande organisationens egna utfästelser kallas de samlade skyddsåtgärderna för säkerhetsmål.

CC ger en person eller organisation möjlighet att kunna uttrycka tydliga och kontrollerbara krav på säkerhet i IT-produkter samt att kunna ställa krav på hur noggrant dessa produkters skyddsåtgärder ska granskas. CC är med andra ord ett kraftfullt verktyg som ger upphandlare av IT-produkter möjlighet att kunna tillförsäkra sig om evaluerad och certifierad säkerhet samt möjlighet att styra sina kostnader. Detta medför också att det går att separera upphandlarens roll från IT-säkerhetsexperternas roller enligt följande:

  • experter skriver skyddsprofiler som beskriver köparens önskemål och krav generellt för en viss typ av IT-produkter - upphandlaren refererar till dessa vid upphandling
  • leverantören skriver säkerhetsmål som beskriver leverantörens utfästelser för en viss IT-produkt – experten relaterar säkerhetsmål till skyddsprofiler
  • experter certifierar att produkten motsvarar kraven - upphandlaren kräver att CC-certifikat finns

Systemägaren för det aktuella informationssystemet kan sedan använda CC-dokumentationen vid driftsättning och förvaltning av IT-produkten.

Common Criteria vid upphandling

En person eller organisation som avser upphandla certifierade IT-produkter med hjälp av CC bör inleda med en inventering och klassificering av informationstillgångar samt med en hot- och riskanalys. Med analysen som underlag kan kontrolleras om det finns någon tillgänglig skyddsprofil som motsvarar det egna behovet. Denna kontroll kan man göra på CC-portalen där CC-certifierade skyddsprofiler finns att tillgå. (Även skyddsprofiler och säkerhetsmål kan evalueras och certifieras enlig CC. Detta i syfte att säkerställa att de är korrekt formulerade och kompletta.)

  • Om en lämplig CC-certifierad skyddsprofil finns att tillgå kan IT-produkter som certifierats mot denna skyddsprofil upphandlas.

Om någon lämplig skyddsprofil inte finns att tillgå kan man arbeta fram en egen skyddsprofil för de aktuella IT-produkterna. Detta tillvägagångssätt är särskilt lämpligt om det finns branschgemensamma behov, varvid flera upphandlare kan samverka vid formuleringen av kraven.

  • Denna egna skyddsprofil bör CC-certifieras och kan sedan användas vid upphandling.

Finns redan CC-certifierade IT-produkter på CC-portalen som motsvarar behoven?

  • Kontrollera CC-certifikat, assuransnivå och funktionskrav samt inbjud dessa produkters leverantörer till att delta vid upphandling.

Common Criteria i en befintlig IT-infrastruktur

En person eller organisation som har ambitionen att säkra sin befintliga IT-infrastruktur bör inledningsvis analysera var CC-certifierade produkter borde användas. Därefter kan kontroll ske av vilka IT-produkter som används och vilka av dessa som eventuellt redan är certifierade enligt CC. För redan CC-certifierade IT-produkter bör kontrolleras: om hotbild och säkerhetsfunktioner beskrivna i IT-produktens säkerhetsmål motsvarar den egna verksamhetens behov och om assuransnivån är rimlig

  • om IT-produkten är driftsatt i certifierad konfiguration och om dess operativa miljö uppfyller kraven angivna i säkerhetsmålet
  • Om något av dessa krav inte uppfylls bör lämpliga åtgärder vidtas.

För IT-produkter som inte är evaluerade och certifierade enlig CC bör man kontrollera

  • om IT-produkten används i en kritisk tillämpning och om man i så fall bör ersätta denna med en CC-certifierad produkt.

För övriga IT-produkter bör man överväga att efterfråga CC-certifikat vid kommande upphandling.

Common Criteria Recognition Arrangement

Sverige är medlem i Common Criteria Recognition Arrangement (CCRA) som är ett avtal för ömsesidigt erkännande av CC-certifikat utgivna av medlemsnationerna. CCRA är både en avtalsstruktur och en internationell samarbetsorganisation syftande till ömsesidigt erkännande av utfärdade CC-certifikat. Ömsesidigt erkännande innebär att nationella certifieringsordningar, och de organisationer som har olika roller i dessa, uppfyller uppställda krav och dessutom är bedömda och godkända av CCRA. Som ett resultat av detta erkänns utfärdade certifikat av alla övriga CCRA-nationer vid statlig upphandling. Avtalet avser certifieringar upp till assuransnivån EAL 4. Idag (2011) deltar 26 nationer i CCRA-samarbetet.

Inom CCRA finns två typer av medlemskap:

  • Konsument (Certificate Consuming Participant) innebär att landet erkänner CC-certifieringar inom avtalet men inte har någon nationell certifieringsordning och därmed inte certifierar produkter. I dag är följande länder konsumenter: Danmark, Finland, Grekland, Indien, Israel, Malaysia, Pakistan, Singapore, Tjeckien, Turkiet, Ungern och Österrike.
  • Producent (Certificate Authorizing Participant) är ett land som har infört en av CCRA erkänd nationell certifieringsordning och som därmed kan utfärda certifikat. I dag är följande länder producenter: Australien och Nya Zeeland, Frankrike, Italien, Japan, Kanada, Tyskland, Nederländerna, Norge, Storbritannien, Sverige, Sydkorea, Spanien och USA.

Samarbetet inom CCRA omfattar dessutom att:

  • säkerställa att utvärdering av IT-produkter och system sker med hög tillförlitlighet och konsistens.
  • öka tillgången på utvärderade IT-produkter och system samt förbättrade skyddsprofiler för ökad säkerhet.
  • eliminera behovet av dubblerade granskningar av IT-produkter och system samt skyddsprofiler.
  • Kontinuerligt utveckla ändamålsenligheten och kostnadseffektiviteten i metodiken för att utvärdera IT-produkter och skyddsprofiler.

CCRA organisation

CCRA är även en internationell organisationsstruktur där medlemskapet är baserat på CCRA-avtalet. Inom CCRA-organisationen utvecklas såväl standarden som metoder och regelverk för att stödja avtalet om ömsesidigt erkännande.

Management Committee (MC) och Executive Subcommittee (ES)

Enligt CCRA-avtalet ska detta administreras av en Management Committee. Samtliga nationer som undertecknat avtalet har en plats i MC och behandlar där policyfrågor, förslag till ändringar av avtalet, godkännande av nya certifieringsorgan och dylikt. MC kan också tillsätta arbetsgrupper.

Enligt avtalet ska MC inom sig också tillsätta en Executive Subcommittee som har till uppgift att sköta det löpande arbetet och förse MC med råd och förslag. I ES ingår de producerande CCRA-medlemmarna, det vill säga länder som har infört en av CCRA erkänd nationell certifieringsordning eller är på väg att etablera en egen certifieringsordning. Dessutom tillåts två ytterligare ytterligare konsumentländer att delta.

Development Board (DB) och Maintenance Board (MB)

MC har genom en särskilt instruktion fastställt verksamhetsinriktningen för ett Development Board och för ett Maintenance Board. DB har till huvuduppgift att vidareutveckla CC och CEM samt att harmonisera de nationella certifieringsordningarna. MC har till huvuduppgift att underhålla CC och CEM, huvudsakligen genom att hantera ändringsförslag och ta ställning till förslag till tolkningar.

MSB som signatär inom CCRA

Svensk signatär inom CCRA är Myndigheten för Samhällsskydd och Beredskap (MSB) och arbetet inom CCRA sker i samarbete med Sveriges Certifieringsorgan för IT-säkerhet (FMV/CSEC). Verksamheten inom CCRA syftar till ömsesidigt erkännande av utfärdade CC-certifikat men har också ett övergripande gemensamt mål att höja den nationella säkerheten genom att CC används som ett verktyg för kravställning och granskning. Ett ytterligare gemensamt mål är att verka för att antalet säkra IT-produkter ökar.

Sveriges Certifieringsorgan för IT-säkerhet, FMV/CSEC

På uppdrag av regeringen har Försvarets materielverk (FMV) etablerat en nationell certifieringsordning för säkerhet i IT-produkter - Sveriges Certifieringsorgan för IT-säkerhet (CSEC). FMV/CSEC är en självständig enhet inom FMV och verksamhetens syfte är att säkerställa att säkerhetsfunktioner i certifierade IT-produkter och system verkligen ger det skydd som utlovas.

 

Läs mer på CSEC:s webbplats www.csec.se

Common Criteria

Kontakt

2010 © Myndigheten för samhällsskydd och beredskap (MSB)
MSB: Telefon: 0771-240 240. Fax: 010-240 56 00. Webb: www.msb.se