Ziel des Common-Criteria-Workshops ist die Vermittlung des technischen Sachverstands zur Umsetzung der Common Criteria für den Erstellungsprozess von Schutzprofilen und Sicherheitsvorgaben.
Es werden die Grundlagen und Methodiken der Evaluierung nach CC vermittelt. Hintergründe und Abläufe im Evaluierungsprozess werden erläutert. An speziellen Problemfällen wird der Evaluationsprozess simuliert. Die Auswirkungen einer Evaluierung auf den Entwicklungsprozess und die späteren Einsatzbedingungen werden diskutiert.

Die Schulung wird für folgende Teilnehmer angeboten:

• Evaluatoren der vom BSI anerkannten Prüfstellen:

  Evaluatoren erhalten ein Gesamtverständnis Ihrer Aufgaben und werden in die Zusammenarbeit mit dem BSI eingeführt. Sie erhalten die notwendigen Kenntnisse für einen erfolgreichen Einstieg in die Evaluierungstätigkeit im Rahmen des BSI-Zertifizierungsschemas.

• Hersteller:

  Sie lernen den für eine CC-Evaluierung bereitzustellenden Informationen kennen.

• Anwender:

  Sie lernen die Leistungsfähigkeit der BSI-Zertifizierung kennen und können das CC-Konstrukt "Protection Profile" zur Spezifikation Ihres eigenen Sicherheitsbedarfs nutzen. Die Beurteilung der Aussagen eines Zertifizierungsreportes etwa zu Vergleichszwecken können korrekt interpretiert werden. Sie erhalten eine Verständnis der qualitativen Bedeutung der EAL-Stufen sowie der qualitativen Aussagen eines Zertifizierungsreportes.

Teilnahmevoraussetzungen:

Von Vorteil für den Kurserfolg ist die vorherige Lektüre des 1. Teils der Common Criteria (CC), um gezielt Problemstellungen in den Schulungen zu diskutieren und Lösungsansätze anzubieten.

Für Evaluatoren gelten zusätzlich die Qualifikationsanforderungen (siehe CC-Evaluatoren).

Beschreibung des Workshops:

1. Internationale Bedeutung der Common Criteria (CC)
   IT-Produkte, deren Sicherheit auf Basis der Common Criteria durch die zuständige nationale Behörde geprüft wurden, können ein international anerkanntes Sicherheitszertifikat erhalten. Diese Anerkennung gilt auch für das in den CC definierte Konstrukt eines Protection Profiles, das Sicherheitsanforderungen für einzelne Produktklassen auf ein Mindestmaß festlegt.
   Mit dieser Schulung werden Sie in die Thematik der CC eingeführt.
2. Die Erstellung von Schutzprofilen und Sicherheitsvorgaben.
   Die Erstellung von Schutzprofilen (Protection Profiles – PP) gewinnt im Rahmen der internationalen Anerkennung von PPs und der internationalen Anerkennung von zertifizierten Produkten, denen PP-Konformität bescheinigt worden ist, eine zunehmende Bedeutung für die IT-Industrie.
   Die Teilnehmer werden schrittweise durch die Erstellung eines Schutzprofils geführt, beginnend beim Sicherheitskonzept bis hin zur Evaluierung eines Schutzprofils. Sie lernen auch die Vorgehensweise einer Security Target-Erstellung (Sicherheitsvorgaben) kennen, das für jede Produkt-Zertifizierung nach CC als Pflichtenheft dient.
3. Einführung und praktische Umsetzung der CC in die Evaluierungspraxis akkreditierter Prüflaboratorien.
   Es werden die Grundlagen und Methodiken der Evaluierung nach CC vermittelt. Hintergründe und Abläufe im Evaluierungsprozess werden erläutert. An speziellen Problemfällen wird der Evaluationsprozess simuliert. Die Auswirkungen einer Evaluierung auf den Entwicklungsprozeß und die späteren Einsatzbedingungen werden diskutiert.
   Evaluatoren erhalten ein Gesamtverständnis Ihrer Aufgaben und werden in die Zusammenarbeit mit dem BSI eingeführt. Sie können anschließend in die Evaluierungsverfahren Ihrer Prüfstelle eingearbeitet werden.
4. Lehrmethode: Learning by Doing!
   Aufbauend auf einer fundierten theoretischen Grundlage werden die Erfahrungen in Schulungen erarbeitet. An speziellen Problemfällen wird der Evaluierungsprozeß mit den Teilnehmern simuliert, um die besonderen Anforderungen und Verfahren einer IT-Sicherheits-Evaluierung zu verdeutlichen.