Bundesamt für Sicherheit in der Informationstechnik

Schutzprofile nach Common Criteria (CC) für IT-Produkte

In Schutzprofilen sind generische Anforderungen an eine Produktkategorie festgeschrieben. Sie sind zunächst implementierungsunabhängig, können aber durch die daraus ableitbaren Sicherheitsvorgaben auf einen konkreten Evaluationsgegenstand (EVG) zugeschnitten werden. Anforderungen an die Funktionalität sowie an die Vertrauenswürdigkeit werden in Schutzprofilen zusammengefasst und decken eine bestimmte Menge von Sicherheitszielen vollständig ab. Durch das Verfassen von Schutzprofilen kann das BSI somit Mindeststandards für bestimmte Produktgruppen setzen. Anwendungen, für die Schutzprofile entwickelt wurden, sind z. B. der In einem Schutzprofil sind die allgemeinen IT-Sicherheitseigenschaften sowie die Bedingungen für den sicheren Einsatz des Produktes festgelegt. Dieses IT-Sicherheitskonzept beschreibt nicht nur den Wert der Daten und deren Verarbeitung, sondern erfasst auch die Annahmen an eine typische Einsatzumgebung.
Einzuhaltende gesetzliche Auflagen oder vorgeschriebene Sicherheitsstandards finden in dem Sicherheitskonzept des Schutzprofils ebenso ihren Niederschlag wie alle durch die IT abzuwehrenden Bedrohungen auf die zu schützenden Werte. Mit der Zertifizierung eines Schutzprofils wird der Nachweis erbracht, dass das Schutzprofil vollständig, konsistent und technisch stimmig ist.

Weitere zertifizierte Schutzprofile finden sich auf den Webseiten: www.commoncriteriaportal.org und www.sogisportal.eu.