IT — Evaluationshandbuch

Als “Meßlatte” zur Beurteilung der Sicherheit informationstechnischer Systeme hat die Zentralstelle für Sicherheit in der Informationstechnik (ZSI) unter Beteiligung von Wirtschaft und Wissenschaft und öffentlicher Verwaltung “IT-Sicherheitskriterien” erarbeitet und veröffentlicht Das “IT-Evaluationshandbuch” stellt eine Ergänzung zu den “IT-Sicherheitskriterien” dar und regelt die Prüfung informationstechnischer Systeme oder selbständiger Komponenten und die Vergabe von Sicherheitszertifikaten. Es soll vor allem eine Gleichbehandlung der an einem Zertifikat interessierten Hersteller und ihrer Produkte gewährleisten.Es ist Bestandteil der Standardwerke zur IT-Sicherheit und enthält Aussagen und Hinweise, die sich mit organisatorischen Fragen im gesamten Umfeld einer Evaluation befassen.Wenn erforderlich, wird es fortgeschrieben, damit praktische Erfahrungen aus abgeschlossenen Evaluationen genutzt werden können.Von 12 Kapiteln orientieren sich die ersten vier Kapitel an den IT-Sicherheitskriterien, die restlichen Kapitel enthalten eigenständige Aussagen zum Umfeld und Ablauf einer Evaluation.Kapitel 1 gibt zur Einführung der Bewertung von Mechanismen detaillierte Beispiele.Kapitel 2 erläutert die einzelnen Funktionalitätsklassen und weist besonders darauf hin, daß die Anzahl der Funktionalitätsklassen erweiterbar ist.Kapitel 3 gibt detaillierte Erläuterungen zu den einzelnen Punkten jeder Qualitätsstufe. Dieses Kapitel steh in engem Zusammenhang mit den Qualitätsstufen der IT-Sicherheitskriterien.Kapitel 4 enthält detaillierte Ausführungen zum Inhalt und Umfang der bei einer Evaluation vorzulegenden Dokumentation.Kapitel 5 gibt Erläuterungen zum Qualitätsaspekt “Qualität der Abgrenzung zu nicht zu evaluierenden Systemteilen”.Kapitel 6 beschreibt das Umfeld einer Evaluation und Zertifikation.Hier werden insbesondere Aussagen gemacht zu Evaluationsstellen, zur Anmeldung einer Evaluation, zum Evaluationsvertrag, zu den Kosten einer Evaluation, zum Sicherheitszertifikat und zum Schiedsverfahren bei Streitfragen zwischen Evaluationsstelle und Hersteller.Die anschließenden Kapitel 7 bis 12 beziehen sich auf den Evaluationsvorgang.So beschreibt Kapitel 7 den Ablauf einer Evaluation, den möglichen organisatorischen Aufbau des Evaluationsteams und gibt Hinweise zum Reviewprozeß, Kapitel 8 die Besonderheiten von begleitenden Evaluationen und Kapitel 9 erläutert, wann eine Reevaluation notwendig wird, und wie in allen anderen Fällen verfahren wird.Kapitel 10 behandelt die Evaluation von IT-Systemen, die bereits evaluierte Komponenten enthalten.Kapitel 11 beschreibt den Aufbau einer Werkzeuge- und Methodenliste, die für die Hersteller von IT-Systemen der höheren Qualitätsstufen unbedingt notwendig ist.Kapitel 12 beinhaltet die Abbildung auf andere Kriterienkataloge, dies wird exemplarisch dargestellt durch die Abbildung auf die Klassen der “Trusted Computer System Evaluation Criteria” des amerikanischen Verteidigungsministeriums.Es schließt sich ein Glossar der wichtigsten im IT-Evaluationshandbuch verwendeten Begriffe an.Im Folgenden werden die einzelnen Kapitel in stark verkürzter Form auszugsweise dargestellt.