Common Criteria Sikkerhetsevaluering: Spesielt for leverandører/utviklere

Hvilke fordeler vil bedriften ha av et sertifikat?

Internasjonalt marked
Når kunder og brukere i økende grad blir oppmerksomme på sikkerhetsaspektene i sine IT-systemer og produkter, vil et sertifikat gi et uavhengig bevis på at produktet gir den grad av sikkerhet som defineres i sertifikatet.

Høyere kvalitet på produktet
Common Criteria (CC), spesifiserer et sett krav for å gjennomgå og teste alle aspekter til et produkt. Dette gjelder helt fra design/ utvikling, gjennom produksjon, til leveranse og bruk. Utvikler avgjør dybde på evaluering og testing, avhengig av hvilken grad av tillit (EAL-nivå) som ønskes. Dette gjør at produktet vil gjennomgå en omfattende kvalitetsprosess.

Høyere tillit til produktet
Ved å gjennomføre en sertifiseringsprosess som ender med et sertifikat, vil produktet, så vel som leverandøren, oppnå en høyere grad av tillit.

Korrekt og sikker bruk
For å sikre korrekt og sikker bruk av produktet, vil sertifiseringsrapporten inneholde all nødvendig informasjon om administrasjon og bruk. Feil bruk av produktet kan gi uheldig effekt, mtp. tap og anseelse til både utvikler og kunder.

Hvilke fordeler gir en evaluering iht. CC?

• Internasjonal anerkjennelse av resultatene av en sertifisering, iht. internasjonale avtaler (EAL1-4)
• Lavere kostnader, da det kun er nødvendig med én evaluering world-wide
• Salgsmuligheter i nye/internasjonale markeder
• Standardisert spesifikasjon av sikkerhetsfunksjonalitet, gjennom internasjonalt anerkjente krav
• Høyere grad av tillit og omdømme, gjennom en internasjonal standard som CC.
  

Hva er innholdet i en sertifiseringsrapport?

• Beskrivelse av sikkerhetsfunksjoner og karakteristikk iht. gitte trusler
• Grad av tillit til produktet, iht. fastsatte nivåer
• Spesifisering av krav til installasjon og operasjonelt miljø
• Fastslår sårbarheter, og relevante mottiltak
  

Hvem er involvert i en evaluering?
Gjennom en evaluering, er det flere aktører som involveres:

• Kunde/kjøper: Stiller krav om tillit til et høyverdig sikkerhetsmessig produkt.
• Leverandør/utvikler: Produkt eller system utvikles for å bevise at det innehar den gitte sikkerhetsfunksjonalitet
• EVIT - Akkreditert evaluator: En uavhengig tredjepart som evaluerer produkt eller system, iht. formelle kriterier og prosedyrer
• SERTIT - Sertifiseringsmyndigheten for IT-sikkerhet: Fører tilsyn med og godkjenner evalueringsprosessen, og er ansvarlig for utgivelse av sertifikat og sertifiseringsrapport.
  

Ved hvilken fase i utviklingsprosessen kan sertifisering påbegynnes?

Produktet er under utvikling:
Sertifisering kan påbegynnes parallelt med utviklingsprosessen, slik at sertifikatet kan tildeles samtidig med lansering av produktet. Ved å samkjøre utviklings- og sertifisertingsprosessen, kan man også oppnå et høyere nivå av tillit til produktet.

Produktet er allerede på markedet:
Sertifiseringsprosessen er i prinsippet den samme som ved sertifisering av et produkt under utvikling, men nødvendige modifiseringer vil resultere i en ny versjon av produktet.

Forbedringer av et sertifisert produkt:
Secode kan foreta en re-evaluering der et allerede sertifisert produkt skal oppgraderes/modifiseres. Med dette gjennomgås kun endringer og relevante områder, for å unngå unødvendig dobbeltarbeid.

Hvem skal jeg kontakte for en sertifisering?
Både SERTIT og Secode Norge kan kontaktes ved ønske/behov for en sertifisering.

Har du flere spørsmål?
Følgende kontaktpersoner kan svare på spørsmål angående evaluering og evaluerings-prosesser:
Leder for akkreditert enhet CC - Jorunn Terjesen
Tlf: 37 05 81 35
Mob: 99 28 29 35
E-post: jorunn.terjesen@secode.no

Link til www.sertit.no