In der Bildfolge wird das Zusammenwirken aller Beteiligten und die einzelnen Verfahrensschritte nacheinander aufgebaut und für einen ersten Überblick kurz erklärt. Ein detaillierter Prozessablauf kann den Schemadokumenten entnommen werden.
Beteiligte Stellen
Bild / Video1 von 12
Produkt und Prozesse
Bild / Video2 von 12
Zertifizierungsantrag
Bild / Video3 von 12
Festlegung Audit-Team
Bild / Video4 von 12
Prozessaudit
Bild / Video5 von 12
Auditabschuss/-bericht
Bild / Video6 von 12
Nachweiserstellung Prozesseinhaltung
Bild / Video7 von 12
Vorbereitung Produktevaluierung
Bild / Video8 von 12
Produktevaluierung
Bild / Video9 von 12
Zertifizierungsbericht
Bild / Video10 von 12
Zertifikatsvergabe
Bild / Video11 von 12
Produktvermarktung
Bild / Video12 von 12
Wie in der Bildfolge dargestellt, umfasst das Verfahren zwei Prüftätigkeiten. Zunächst werden die Softwareentwicklungs- und Lebenszyklusprozesse auditiert, anschließend wird das konkrete Produkt evaluiert. Grundlage der Produktevaluation bilden die Security Assurance Specifications (SCAS) für standardisierte und von dem 3rd Generation Partnership Project (3GPP) spezifizierte Funktionen. Eine Nutzung des Audits für mehrere Produktevaluationen ist für Produkte möglich, die nach denselben Prozessen entwickelt wurden. Das spart Kosten und Zeit für alle beteiligten Parteien.
Im Ergebnis der Prüftätigkeiten verfügt die Zertifizierungsstelle über belastbare Sicherheitsaussagen zum Produkt und auch den Prozessen, unter denen dieses Produkt entwickelt und gepflegt wird. Das erlaubt der Zertifizierungsstelle erstmals, die Gültigkeit von Zertifikaten über die tatsächlich evaluierte Produktversion hinaus zu erstrecken, sofern der Hersteller nur „geringfügige Aktualisierungen“ zur Verbesserung oder Wiederherstellung von Sicherheitsleistung seines Produkts vornimmt. Dies ist für die gesamte Zertifikatslaufzeit von zwei Jahren möglich, ohne dass es einer expliziten Rezertifizierung durch das BSI bedarf. Der Hersteller muss diese geringfügigen Aktualisierungen dazu vorab der Prüfstelle mitsamt einer Auswirkungsanalyse melden. Die Prüfstelle erstellt dann ein Votum für die Zertifizierungsstelle, die abschließend entscheidet, ob die Aktualisierung tatsächlich geringfügig ist.
Kontakt
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn