Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Collaborative Protection Profiles – cPPs

Im Rahmen der Fortentwicklung der Common Criteria haben sich die Mitgliedstaaten des CCRA-MC darauf verständigt, die Entwicklung von international abgestimmten Schutzprofilen (Collaborative Protection Profiles – cPPs) voranzutreiben.

Ein prominentes Beispiel eines cPPs ist das sogenannte Collaborative Protection Profile for Network Devices (NDcPP), das aktuell in der Version 2.2e vom 27.03.2020 vorliegt und vom BSI angewandt wird. Das zugehörige Supporting Document (SD) definiert zusätzliche Anforderungen, die für die o.g. Version des cPP berücksichtigt werden müssen. Zum SD gibt es darüber hinaus noch Interpretationen, so genannten „Network Device Interpretations“, die ebenso berücksichtigt werden müssen. Für die NDcPP-Version 2.2e handelt es sich um die „Network Device Interpretations“ mit den folgenden Nummern: #202200, #202207, #202208, #202209, #202210, #202211, #202212, #202213, #202214, #202215, #202216, #202217, #202218, #202219, #202220, #202221, #202222, #202223, #202224, #202225 und #202228.

Die oben gelisteten Interpretationen werden auf Nachfrage bei der Zertifizierungsstelle (zertifizierung@bsi.bund.de) zur Verfügung gestellt.

Die im Supporting Document (SD) definierten Evaluation Activities (EA) müssen detailliert dokumentiert werden. Um Flexibilität zu gewährleisen, gibt es die folgenden beiden Möglichkeiten der Dokumentation der EAs:

  1. Dokumentierung im Rahmen eines entsprechenden Single Evaluation Reports (SER) nach AIS 14. Die EAs sollen als „Annex“ zu dem entsprechenden SER verfasst werden (z.B. EAs zu TSS im ETR-Teil ASE, EAs zum
    Handbuch/Guidance im ETR-Teil AGD, EAs zum Testing im ETR-Teil ATE und/oder AVA, etc.)
  2. Dokumentierung im Rahmen eines s.g. gesonderten „NDcPP Evaluation Report“. Dieser Report hat den gleichen Aufbau wie das SD und zu den einzelnen EAs werden die Aussagen/Evaluierungsergebnisse des Evaluators ergänzt.

Bei beiden Ansätzen wird zu jedem einzelnen Abschnitt einer EA ein „Assessment“ und „Verdict“ abgegeben. Begründung: EAs verfügen z.T. über feingranulare Aktivitäten, zu denen jeweils eine Evaluatoraussage benötigt wird.

Fragen zur Zertifizierung nach einem cPP können gerne an die Zertifizierungsstelle (zertifizierung@bsi.bund.de) adressiert werden.

Ähnliche Themen

Zurück zu Schutzprofile / Protection Profiles (PP)

Kurz-URL:
https://www.bsi.bund.de/dok/6618340