Zertifizierung von Produkten
Das BSI hat nach dem BSI-Gesetz und der BSI-ZertV die Aufgabe, Zertifizierungen informationstechnischer Produkte oder Komponenten sowie informationstechnischer Systeme durchzuführen.
Um diese Aufgaben zu erfüllen, betreibt das BSI Zertifizierungsprogramme, in denen jeweils die Regeln (Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen und Nachweise), das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind.
Die Zertifizierung eines Produktes wird auf Antrag durchgeführt. Voraussetzung für eine Zertifizierung ist eine technische Evaluierung bzw. Prüfung gemäß den im Zertifizierungsprogramm veröffentlichten Sicherheitskriterien bzw. Technischen Richtlinien.
Das Verfahren ist im Dokument Verfahrensbeschreibung zur Zertifizierung von Produkten [VB-Produkte] beschrieben und wird durch folgende Anforderungsdokumente ergänzt:
- Anforderungen für Antragsteller zur IT-Sicherheitszertifizierung von Produkten, Schutzprofilen und Standorten
- Anforderungen für Antragsteller zur Zertifizierung von Produkten nach Technischen Richtlinien [TR-Produkte],
- Produktzertifizierung: Programm Beschleunigte Sicherheitszertifizierung (BSZ) und
- Produktzertifizierung: Programm Network Equipment Security Assurance Scheme (NESAS).
- Im Dokument "Verzeichnisse" befindet sich die zentrale Aufschlüsselung aller Referenzen (Stammliste der aktuellen Dokumente) und ein Glossar.
- Die "Zeichenordnung" enthält die Nutzungsbedingungen für alle Zeichennutzer an den jeweiligen Zeichen zur Zertifizierung und Anerkennung.
Vertrauenswürdigkeitszusicherung
Die Produktzertifizierung bestätigt im Rahmen einer Typprüfung, dass eine Produktversion bestimmte funktionale und Sicherheitseigenschaften erfüllt, die in Schutzprofilen, Sicherheitsvorgaben oder Technischen Richtlinien spezifiziert sind. Die Vertrauenswürdigkeit des Personals des Produktentwicklers und -herstellers selbst wird für ein Produktzertifizierungsverfahren jedoch vorausgesetzt, und kann durch das BSI nicht überprüft werden. Für diesen Bereich kann ein Hersteller oder ein Produzent eine Eigenerklärung, z.B. gegenüber einer Beschaffungsstelle abgeben. Das BSI unterstützt dies durch Bereitstellung der Vorlage einer sog. Vertrauenswürdigkeitszusicherung.