In der Bildfolge wird das Zusammenwirken aller Beteiligten und die einzelnen Verfahrensschritte nacheinander aufgebaut und für einen ersten Überblick kurz erklärt. Ein detaillierter Prozessablauf kann den Schemadokumenten entnommen werden.
Beteiligte Stellen
Bild / Video1 von 12
Am NESAS CCS-GI Zertifizierungsverfahren sind vier Stellen beteiligt: der Hersteller, der sein Produkt an einen Mobilfunknetzbetreiber verkaufen möchte, das Audit-Team, eine für das Zertifizierungsverfahren anerkannte Prüfstelle und die Zertifizierungsstelle.
Produkt und Prozesse
Bild / Video2 von 12
Während des Zertifizierungsprozesses wird nicht nur das Produkt selbst untersucht, sondern auch die Entwicklungs- und Lebenszyklusprozesse beim Hersteller, nach denen das Produkt entwickelt wurde und zukünftig gepflegt wird. Es ergeben sich für den Prozess vier Phasen: eine Vorbereitungsphase, eine Auditierungsphase, eine Evaluierungsphase und eine Zertifizierungsphase.
Zertifizierungsantrag
Bild / Video3 von 12
Vorbereitungsphase: Möchte ein Hersteller eine Produktzertifizierung durchlaufen, benötigt er eine Prüfstelle zur Durchführung der Produktevaluation. Im Anschluss kann der Hersteller einen Antrag auf Erteilung eines Deutschen IT-Sicherheitszertifikats für ein IT-Produkt gemäß NESAS CCS-GI stellen, in dem die ausgewählte Prüfstelle auch schon benannt werden muss. Die Zertifizierungsstelle prüft den Antrag und eröffnet im Anschluss das Zertifizierungsverfahren.
Festlegung Audit-Team
Bild / Video4 von 12
Auditphase: Die Auditphase beginnt mit der Auswahl des Audit-Teams durch die Zertifizierungsstelle und Mitteilung an den Hersteller. Das Audit-Team nimmt anschließend mit dem Hersteller Kontakt auf und stimmt das weitere Vorgehen ab.
Prozessaudit
Bild / Video5 von 12
Auditphase: Das Audit-Team führt anschließend das Audit der Produktentwicklungs- und Lebenszyklusprozesse durch. Das Audit findet auf zu Beginn auf Basis einer vom Hersteller bereitgestellten Dokumentation statt und wird durch ein mehrtägiges Audit an einem exemplarischen Standort des Herstellers fortgeführt.
Auditabschuss/-bericht
Bild / Video6 von 12
Auditphase: Als Ergebnis des Audits erstellt das Audit-Team einen Audit-Bericht. In diesem Bericht sind alle Ergebnisse festgehalten. Zusätzlich beinhaltet der Auditbericht Hinweise für den Hersteller wie er gegenüber Dritten nachweisen kann, dass er sich für ein spezifisches Produkt an die auditierten Prozesse hält. Diese Nachweise werden vom Audit-Team während des Audits festgelegt. Die Zertifizierungsstelle begleitet den Auditprozess und nimmt den Auditbericht zum Abschluss der Phase ab.
Nachweiserstellung Prozesseinhaltung
Bild / Video7 von 12
Mit Hilfe des Auditberichtes hat der Hersteller im nächsten Schritt die Möglichkeit alle im Auditbericht geforderten Nachweise gegenüber Dritten zur Einhaltung seiner Prozesse für ein spezifisches Produkt, welches zertifiziert werden soll, zu erstellen, um mit der Evaluierungsphase fortzufahren.
Vorbereitung Produktevaluierung
Bild / Video8 von 12
Evaluierungsphase: Zu Beginn der Phase stellt der Hersteller der Prüfstelle das zu evaluierende Produkt, den Auditbericht und die erstellten Nachweise, dass er sich bei dem bereitgestellten Produkt an seine auditierten Prozesse gehalten hat, bereit.
Produktevaluierung
Bild / Video9 von 12
Evaluierungsphase: Die Prüfstelle führt anschließend die Produktevaluation durch und überprüft ob die für das Audit erbrachten Nachweise den vom Auditor festgelegten Forderungen im Auditbericht entsprechen. Die Prüfstelle erstellt einen Evaluierungsbericht mit allen Ergebnissen, welcher durch die Zertifizierungsstelle abgenommen und überprüft wird. Während der Evaluation steht die Zertifizierungsstelle für Klärungsbedarf und zur einheitlichen Interpretation von Prüfanweisungen zur Verfügung.
Zertifizierungsbericht
Bild / Video10 von 12
Zertifizierungsphase: Nach Abschluss der Evaluation wird auf Basis des Audit- und Evaluierungsberichtes durch die Zertifizierungsstelle eine Zertifizierungsentscheidung getroffen und ein Zertifizierungsbericht erstellt. Dieser fasst Ergebnisse aus dem Audit und der Evaluierung zusammen und ergänzt diese. Weiterhin beinhaltet er Hinweisen und Auflagen der Zertifizierungsstelle.
Zertifikatsvergabe
Bild / Video11 von 12
Zertifizierungsphase: Weiterhin wird dem Hersteller eine Zertifikatsurkunde ausgestellt.
Produktvermarktung
Bild / Video12 von 12
Der Hersteller hat so die Möglichkeit gegenüber seinen Kunden ein Produkt bereitzustellen, welches gemäß NESAS CCS-GI ein IT-Sicherheitszertifikat erteilt bekommen hat.
Wie in der Bildfolge dargestellt, umfasst das Verfahren zwei Prüftätigkeiten. Zunächst werden die Softwareentwicklungs- und Lebenszyklusprozesse auditiert, anschließend wird das konkrete Produkt evaluiert. Grundlage der Produktevaluation bilden die Security Assurance Specifications (SCAS) für standardisierte und von dem 3rd Generation Partnership Project (3GPP) spezifizierte Funktionen. Eine Nutzung des Audits für mehrere Produktevaluationen ist für Produkte möglich, die nach denselben Prozessen entwickelt wurden. Das spart Kosten und Zeit für alle beteiligten Parteien.
Im Ergebnis der Prüftätigkeiten verfügt die Zertifizierungsstelle über belastbare Sicherheitsaussagen zum Produkt und auch den Prozessen, unter denen dieses Produkt entwickelt und gepflegt wird. Das erlaubt der Zertifizierungsstelle erstmals, die Gültigkeit von Zertifikaten über die tatsächlich evaluierte Produktversion hinaus zu erstrecken, sofern der Hersteller nur „geringfügige Aktualisierungen“ zur Verbesserung oder Wiederherstellung von Sicherheitsleistung seines Produkts vornimmt. Dies ist für die gesamte Zertifikatslaufzeit von zwei Jahren möglich, ohne dass es einer expliziten Rezertifizierung durch das BSI bedarf. Der Hersteller muss diese geringfügigen Aktualisierungen dazu vorab der Prüfstelle mitsamt einer Auswirkungsanalyse melden. Die Prüfstelle erstellt dann ein Votum für die Zertifizierungsstelle, die abschließend entscheidet, ob die Aktualisierung tatsächlich geringfügig ist.
Kontakt
Bundesamt für Sicherheit in der Informationstechnik
Referat S 26 - BSZ, NESAS Zertifizierung
Postfach 20 03 63
53133 Bonn
