Newsletter
Home > Information > Technische Ressourcen > Black Box erklärt > KVM > NIAP-Zertifizierung vs. EAL-Zertifizierung für Sicherheitstests
Navigation
KVM
« Black Box erklärt
 

NIAP-Zertifizierung vs. EAL-Zertifizierung für Sicherheitstests

Black Box erklärt

Die NIAP-Zertifizierung und die EAL-Zertifizierung befassen sich beide mit der Sicherheitsprüfung von IT-Produkten. Sie unterscheiden sich jedoch in ihrem Ansatz und ihren Kriterien. Erfahren Sie den Unterschied zwischen diesen beiden internationalen Standards und warum NIAP heute bevorzugt wird.

NIAP-Zertifizierung

Die National Information Assurance Partnership (NIAP) ist die US-amerikanische Organisation, die für die Umsetzung des Common Criteria Frameworks verantwortlich ist. Das Common Criteria Evaluation and Validation Scheme (CCEVS) ist das US-amerikanische Evaluierungssystem, das im Rahmen von NIAP implementiert wurde, um die Anforderungen des Common Criteria Recognition Arrangement (CCRA) zu erfüllen. NIAP CCEVS beaufsichtigt die Evaluierung von kommerziellen IT-Produkten für den Einsatz in nationalen Sicherheitssystemen. Der Vorteil der Verwendung des internationalen Standards Common Criteria besteht darin, dass Produkte einmal evaluiert und in mehreren Ländern verkauft werden können. Dies ermöglicht eine effiziente Nutzung der Ressourcen von Regierung und Industrie. Die CCRA stellt sicher, dass akkreditierte Laboratorien, unabhängig von ihrem geografischen Standort oder ihrer nationalen Zugehörigkeit, Produkte nach denselben Kriterien und mit derselben Prüfmethodik prüfen. Die Begriffe „NIAP“ und „CCEVS“ werden üblicherweise synonym verwendet.

EAL-Zertifizierung

Evaluation Assurance Level (EAL) ist ein numerisches Bewertungssystem, das zur Beschreibung des Umfangs und der Schwere der Produktbewertung verwendet wurde. Jede EAL-Nummer entsprach einem kategorialen Rang, der einem IT-Produkt oder -System zugewiesen wurde und aus sieben Stufen bestand: EAL1 war die einfachste und am kostengünstigsten zu bewertende und zu implementierende Stufe, während EAL7 die intensivste und kostenintensivste Stufe darstellte.

Ab 2013 akzeptierte NIAP keine EAL-basierten Evaluierungen mehr und ging zu Evaluierungen mit exakter Übereinstimmung mit technologiespezifischen Schutzprofilen (PP) über, um erreichbare, wiederholbare und prüfbare Evaluierungsergebnisse zu liefern. Dadurch wurde die durch EAL verursachte Verwirrung bei Käufern/Endanwendern verringert.

Obwohl die Sicherheitsanforderungen für jedes Produkt und System gleich waren, waren die funktionalen Anforderungen unterschiedlich, und jedes Produkt konnte innerhalb desselben Schutzprofils unterschiedliche Stufen haben, was Vergleiche sehr schwierig machte. Endbenutzer und Käufer müssen jetzt nur noch nach Produkten suchen, die PP-konform für das Schutzprofil sind, das ihren Anforderungen entspricht, und nicht mehr versuchen, die Bedeutung des früheren EAL-Nummernschemas zu verstehen.

Vergleichstabelle

NIAP-Zertifizierung EAL-Zertifizierung
Alle Lieferanten desselben Produkttyps müssen dieselben Sicherheitsanforderungen einhalten. Der Lieferant wählt individuell, welche Sicherheitsanforderungen er angibt, was zu Uneinheitlichkeit bei ähnlichen Produkten führt.
Vom Common Criteria Recognition Arrangement akzeptierte Evaluierungsmethoden Eingeschränkte Anerkennung durch das Common Criteria Recognition Arrangement, nur bis zu EAL2
Eine objektive Herangehensweise bei Evaluierungsmethoden Eine subjektive Herangehensweise zur Identifizierung der funktionellen Anforderungen des Produkts
Relevante, erreichbare, wiederholbare Ergebnisse mit Standard-Gefährdungsmodellen und funktionellen Sicherheitsanforderungen, die in einem Schutzprofil erfasst werden müssen Schutzprofile nicht verwendet und Ergebnisse über verschiedene Produkte und Lieferanten nicht wiederholbar
Von den Technical Communities über die Common Criteria Community entwickelte Schutzprofile Von individuellen Lieferanten entwickelte generische Anforderungen
Gefährdungen identifiziert und durch die NSA und andere internationale Sicherheitsbehörden überwacht; Hardwareanforderungen basierend auf Gefährdungen Gefährdungen identifiziert, nachdem der Lieferant die Produktfunktionalität Common Criteria zuordnet, was zu unterschiedlichen Hardwareanforderungen und weniger Sicherheit führt

Was sind Common Criteria?

Die international anerkannten Common Criteria sind eine Reihe von Richtlinien für die Sicherheit von Produkten der Informationstechnologie. Common Criteria wurde entwickelt, um Käufern und Endbenutzern die Gewissheit zu geben, dass die Spezifikation, Bewertung und Implementierung eines jeden Produkts auf gründliche und standardisierte Weise erfolgt ist. Um die Anforderungen der Common Criteria zu erfüllen, muss jedes Produkt unabhängig getestet und von einem unabhängigen Sicherheitslabor daraufhin überprüft werden, ob es sich sicher gegenüber international vereinbarten Standards verhält.

Common Criteria gewährleistet konsistente Ergebnisse, die von einer unabhängigen Prüfstelle auf die Einhaltung bestimmter Sicherheitsanforderungen überprüft werden. Diese Anforderungen sind derzeit für die US-Bundesregierung sowie für viele andere internationale Regierungen verbindlich.

Was ist ein Schutzprofil (PP)?

Die Common Criteria können auf viele verschiedene Produkte der Informationstechnologie (oder Computer) angewendet werden, z. B. Software, Netzwerk-Switches/Router, Firewalls, E-Mail-Clients und sogar USB-Flash-Laufwerke. Für jede Art von Produkt wird ein Schutzprofil (Protection Profile, PP) erstellt, um die Sicherheitsanforderungen für die jeweilige Geräteklasse festzulegen. Das Schutzprofil spezifiziert allgemeine Kriterien für die Sicherheitsevaluierung, um die Konformität des Geräts mit den Sicherheitsanforderungen für diese Produktfamilie zu bestätigen. Schutzprofile werden verwendet, um eine international anerkannte Grundlage für Sicherheitsanforderungen und -techniken zu schaffen.

Erfahren Sie mehr über NIAP Common Criteria und konforme Produkte:

Warum ein Common Criteria-zertifiziertes Produkt wie die Black Box Secure KVM Switches kaufen?

Black Box Secure KVM-Switches wurden von einem vom National Institute of Standards and Technology (NIST) akkreditierten Sicherheitslabor (Accredited Testing and Evaluation, AT&E) gründlich getestet und bewertet. Die Switches werden nach international anerkannten Kriterien und einem von der Regierung (NSA) verwalteten Rahmenwerk getestet. Das bedeutet, dass die Sicherheitsfunktionen aller Black Box NIAP Peripheral Sharing Devices (PSD) v4.0 Secure KVM-Produkte von unabhängiger Seite verifiziert wurden. Das Produkt wurde auf Schwachstellen untersucht, hat Penetrationstests erfolgreich bestanden und wurde einer strengen Prüfung des technischen Entwicklungsprozesses gemäß dem PSD v4.0 Protection Profile unterzogen.