BSI-CC-PP-0088-V2-2017
Base Protection Profile for Database Management Systems (DBMS PP) Version 2.12 and DBMS PP Extended Package - Access History (DBMS PP_EP_AH) Version 1.02
| Herausgeber / Issuer | DBMS Working Group / Technical Community c/o IBM Silicon Valley laboratory |
| Prüfstelle / Evaluation Facility |
atsec information security GmbH |
| Prüftiefe des Produktes / Assurance of the TOE |
EAL2+, ALC_FLR.2 |
| Version der CC / CC Version |
3.1 R4 |
| Ausstellungsdatum / Certification Date |
05.04.2017 |
| gültig bis / valid until |
04.04.2027 |
BSI-CC-PP-0088-V2-2017
Zertifizierungsreport / Certification Report
Schutzprofil / Protection ProfileDBMS PP Extended Package - Access History
Im Rahmen dieser Re-Zertifizierung wurde die Funktionalität der Zugriffshistorie in ein Extended Package ausgelagert. Die Kombination aus DBMS PP Base Package und Extended Package - Access History ist hinsichtlich der durch sie gemeinsam definierten Sicherheitsproblematik, der Sicherheitsziele und der Sicherheitsfunktionen identisch zur Vorversion des DBMS PP, welches im Verfahren BSI-CC-PP-0088-2015 zertifiziert wurde.
In the context of this re-certification, functionality related to TOE access history was moved to an Extended Package. The combination of DBMS PP Base Package and Extended Package - Access History defines the same functionality as the previous version of the DBMS PP already certified as BSI-CC-PP-0088-2015.- BSI-CC-PP-0088-2015 (17.09.2015)
Zertifizierungsreport / Certification Report
Schutzprofil / Protection Profile
Das "Base Protection Profile for Database Management Systems" in seiner Version 2.07 vom 9. September 2015 spezifiziert Sicherheitsanforderungen an kommerzielle Datenbankmanagment-Systeme. Der vom Schutzprofil adressierte EVG-Typ lautet "database management system".
Schutzprofil-konforme EVGs bestehen u.a. aus einem DBMS-Server und werden als reine Softwareapplikation betrachtet, die auf einem darunterliegenden, nicht zum EVG gehörenden System bestehend aus Betriebssystem, Hardware, Netzwerkdiensten und ggf. zusätzlich erforderlicher Anwendungssoftware betrieben werden. Das Gesamtsystem wird üblicherweiser als Bestandteil einer größeren Einsatzumgebung eingesetzt.
Das Schutzprofil definiert die zur Erreichung der Sicherheitsziele des EVG und seiner Umgebung erforderlichen Anforderungen.
Konforme EVGs umfassen Zugriffskontrollmechnismen auf Basis von Nutzer- und Nutzergruppenkennungen (DAC) sowie die Erzeugung von Auditnachweisen für sicherheitsrelevante Ereignisse. Die autorisierten Administratoren verwalten den EVG auf vertrauenswürdige Art und Weise unter Verwendung der ihnen zugewiesenen Privilegien.
Sicherheitsvorgaben, die Konformität zum Schutzprofil behaupten, müssen diese Behauptung mindestens durch "demonstrable conformance" nachweisen.
The "Base Protection Profile for Database Management Systems" version 2.07 as of 2015-09-09 specifies security requirements for a commercial-off-the-shelf (COTS) database management system (DBMS). The TOE type is a database management system.
A TOE compliant with this Protection Profile includes, but is not limited to, a DBMS server and can be evaluated as a software only application layered on an underlying system, i.e., operating system, hardware, network services, and/or custom software, and is usually embedded as a component of a larger system within an operational environment. This profile establishes the requirements necessary to achieve the security objectives of the Target of Evaluation (TOE) and its environment.
Conformant TOEs provide access control based on user identity and, optionally, group membership, e.g., Discretionary Access Control (DAC), and generation of audit records for security relevant events. Authorized administrators of the TOE are trusted to not misuse the privileges assigned to them.
Security Targets (STs) that claim conformance to this PP shall meet a minimum standard of demonstrable-PP conformance.
Bitte beachten Sie, dass nur die aktuelle Version des Schutzprofils für neue Produktzertifizierungen verwendet werden darf.
Please note, that only the most recent Protection Profile version may be used in new product certifications.