(AIS) 48

Anwendungshinweise und Interpretationen zum
Schema (AIS)
AIS 48, Version 1.0
Stand:
30.04.2015
Status:
Final
Thema:
Anforderungen an die Prüfung von Sicherheitsetiketten
Herausgeber:
Zertifizierungsstelle des BSI im Rahmen des
Zertifizierungsschemas
Verteiler:
Anerkannte Prüfstellen1
Bundesnetzagentur (BNA)
Private Bestätigungsstellen2 über BNA
BSI-intern
Internet-Seite des BSI
Änderungshistorie:
Version
1.0
1
2
Datum
30.04.2015
Status
Final
Änderung
Neue AIS
Bemerkung
Erstversion
Alle Evaluatoren in den vom BSI für Evaluierungen nach CC und ITSEC anerkannten Prüfstellen
Alle Zertifizierer der privaten Bestätigungsstellen, die Bestätigungen nach dem deutschen
Signaturgesetz herausgeben
Bundesamt für Sicherheit in der Informationstechnik
Zertifizierungsschema
AIS 48, Version 1.0
Stand: 30.04.2015
Inhaltsverzeichnis
1.Hintergrund..............................................................................................................................3
2.Fundstellen...............................................................................................................................3
3.Anwendungshinweise und Interpretation.................................................................................3
3.1.Begrifflichkeiten...............................................................................................................3
3.1.1.Beteiligte Parteien.....................................................................................................3
3.1.2.Siegel und Etiketten..................................................................................................3
3.1.3.Bericht zur Siegelprüfung.........................................................................................3
3.1.4.Materialien................................................................................................................3
3.2.Anforderungen an die Prüfstelle.......................................................................................3
3.3.Aufgaben des Siegelherstellers ........................................................................................4
3.4.Aufgaben des Antragstellers ............................................................................................4
3.5.Aufgaben der Prüfstelle....................................................................................................4
3.6.Aufgaben des BSI.............................................................................................................5
3.7.Ergänzung der Anforderungen zur Siegelprüfung............................................................5
3.7.1.Betriebstemperatur....................................................................................................5
3.7.2.Klebkraftprüfung......................................................................................................5
3.7.3.Sicherheitsstufe.........................................................................................................5
4.Bemerkungen...........................................................................................................................6
5.Inkrafttreten der AIS.................................................................................................................6
6.Referenzdokumente..................................................................................................................6
AIS_48_1_0.odt
2/6
Bundesamt für Sicherheit in der Informationstechnik
Zertifizierungsschema
AIS 48, Version 1.0
Stand: 30.04.2015
1. Hintergrund
1
2
Diese AIS trifft Festlegungen für Siegelprüfungen, welche im Rahmen einer Common
Criteria Evaluierung durchgeführt werden (z. B. an Kontrollgeräten, siehe [ECC3821]
oder Terminals, siehe [TR-03120]). Sie gilt ergänzend zu den im Dokument BSI
TL-03415 [TL-03415] definierten Anforderungen.
Ziel der Siegelprüfung ist es sicherzustellen, dass diese Siegel einen unbefugten Zugriff
auf das Gehäuseinnere erkennbar machen, um einen möglichen Angriff auf die
Sicherheitsfunktionalität der Produkte (Evaluierungsgegenstand) vermuten zu können.
2. Fundstellen
1.
[CC31]
2.
[CEM31]
3.
[BSI-7138]
4.
[BSI-7125]
5.
andere: [TL-03415], [TR-03120], [ECC3821], [AnnexIB]
3. Anwendungshinweise und Interpretationen
3.1. Begrifflichkeiten
3.1.1. Beteiligte Parteien
3
Am Gesamtprozess einer Produktzertifizierung [BSI-7138] sind vier Partner beteiligt:
- der Antragsteller (Hersteller, Sponsor oder Vertreiber eines IT-Produkts),
- die vom Antragsteller ausgewählte anerkannte Prüfstelle,
- die Zertifizierungs- und Bestätigungsstelle des BSI,
- der Siegelhersteller.
3.1.2. Siegel und Etiketten
4
Es handelt sich dabei um Begriffe, die synonym verwendet werden. Siegel und Etiketten
im Sinne dieses Dokumentes dienen zur Implementierung der funktionalen
Sicherheitsanforderung FPT_PHP.1 (Passive detection of physical attack) aus CC,
Teil 2.
3.1.3. Bericht zur Siegelprüfung
5
Es handelt sich dabei um einen Einzelprüfbericht zur Siegelprüfung. Dieser Prüfbericht,
der auch als Single Evaluation Report bezeichnet wird, muss in Inhalt, Form und
Nachweisen den Prüfanforderungen in [TL-03415] entsprechen.
3.1.4. Materialien
6
Sicherheitssiegel können aus Papier, Kunststoff- oder Metallfolien gefertigt sein. In
Einzelfällen können auch andere Lösungen akzeptiert werden (wie z. B. eine
Plombierung).
3.2. Anforderungen an die Prüfstelle
7
Um die Unversehrtheit bestimmter Produkte zu schützen, ist eine Versiegelung
vorgesehen. Für solche Produkte gelten besondere Anforderungen. Die Anforderungen
AIS_48_1_0.odt
3/6
Bundesamt für Sicherheit in der Informationstechnik
Zertifizierungsschema
AIS 48, Version 1.0
Stand: 30.04.2015
für die Prüfung der Sicherheitseigenschaften des Siegels sind definiert in der
Technischen Leitlinie BSI TL-03415 [TL-03415]. Prüfstellen, die Siegelprüfung
durchführen wollen, müssen
- vom BSI, Referat „Anerkennung sachverständiger Stellen und Qualitätsmanagement“
als Prüfstelle im Kontext der CC anerkannt sein,
- in der Lage sein, die Anforderungen der Kriterien (hier: BSI TL-03415) umzusetzen,
- die einschlägigen Arbeitsschutzbestimmungen erfüllen (z. B. für den Umgang mit den
in der BSI TL-03415 genannten Chemikalien),
- die vom Hersteller erhaltenen Informationen (z. B. verwendeter Klebstoff) und die
Prüfergebnisse geheim halten (unter Umständen auch sensitive Informationen, die der
nationalen Geheimhaltung unterliegen) und
- die Siegelprüfung als unabhängige Stelle durchführen.
3.3. Aufgaben des Siegelherstellers
8
Der Hersteller des Siegels soll die Sicherheitseigenschaften des Siegels entsprechend
den Prüfkriterien (BSI TL-03415) beschreiben. Die Sicherheitseigenschaften des Siegels
(Fälschungssicherheit, Eigenschaften des Klebstoffes, usw.) müssen den Prüfkriterien
BSI TL-03415 entsprechend dargelegt und dem Antragsteller eines IT-Produktes zur
Verfügung gestellt werden. Sollten darüber hinausgehende Anforderungen gestellt
werden, z. B. aufgrund von gesetzlichen Vorgaben (z. B. [AnnexIB]),
Sicherheitsvorgaben (Security Targets) oder Schutzprofilen (Protection Profiles), dann
ist die Beschreibung der Sicherheitseigenschaften adäquat zu ergänzen (wie z. B. bei
den Terminals zu [TR-03120]). Der Inhalt des Dokuments „Sicherheitseigenschaften“
und die Betriebsgeheimnisse zur Siegelherstellung müssen geheim gehalten werden.
Daher muss diese Geheimhaltung in dem Dokument „Sicherheitseigenschaften“
beschrieben werden.
3.4. Aufgaben des Antragstellers
9
Es ist nicht erforderlich, einen separaten Antrag für die Siegelprüfung zu stellen. Der
Antragsteller stellt einen Zertifizierungsantrag für sein Produkt (z. B. Vehicle Unit,
Terminal oder andere Produkte) beim BSI, nachdem er einen Evaluierungsvertrag mit
einer Prüfstelle abgeschlossen hat. Der Hersteller/Antragsteller ergänzt die
Sicherheitsvorgaben (Security Target, ST) entsprechend den Anforderungen, die in den
gesetzlichen Vorgaben, Maßnahmen oder Schutzprofilen (Protection Profiles) für die
jeweilige Versiegelung definiert sind. Für die Versiegelung des Gehäuses ist als SFR
FPT_PHP.1 (Passive detection of physical attack) zu verwenden.
10
Alle anderen Evaluationsdokumente müssen die im ST erfolgten
Ergänzungen/Änderungen konsistent fortschreiben. Sowohl das ST als auch das
Dokument „Sicherheitseigenschaften“ des Siegels (erstellt durch den Siegelhersteller)
müssen dem BSI und der Prüfstelle zur Verfügung gestellt werden.
3.5. Aufgaben der Siegelprüfer / Evaluatoren einer Prüfstelle
11
Evaluatoren sind Personen, deren Kompetenz als Evaluator durch das BSI, Referat
"Anerkennung sachverständiger Stellen und Qualitätsmanagement" festgestellt worden
ist. Siegelprüfer sind Personen in einer Prüfstelle, die für die Siegelprüfung befugt, aber
nicht zwingend als Evaluator anerkannt sein müssen. Aufgabe der Siegelprüfer ist die
Durchführung einer detaillierten, unvoreingenommenen Prüfung eines Siegels, um
herauszufinden, in welchem Umfang die Sicherheitseigenschaften des Siegels durch
AIS_48_1_0.odt
4/6
Bundesamt für Sicherheit in der Informationstechnik
Zertifizierungsschema
AIS 48, Version 1.0
Stand: 30.04.2015
seine Beschaffenheit gemäß BSI TL-03415 erfüllt werden. Soweit darüber
hinausgehende Anforderungen gestellt werden, z. B. aufgrund von gesetzlichen
Vorgaben, Sicherheitsvorgaben (Security Targets) oder Schutzprofilen (Protection
Profiles), ist die Siegelprüfung entsprechend zu ergänzen (wie z. B. bei den Terminals
zu [TR-03120]).
12
Diese Prüfungen müssen an mindestens drei Gehäusen des Evaluierungsgegenstandes
erfolgen. Zusätzlich muss der Siegelprüfer überprüfen, ob das Siegel sichtbar
angebracht ist. Die Siegelprüfung darf durch den Siegelprüfer in den Räumlichkeiten
eines anderen Prüflabors durchgeführt werden, wobei das Prüflabor nicht unbedingt
durch das BSI anerkannt sein muss. Die Prüfstelle muss jedoch sicherstellen, dass keine
sensitiven Informationen in der fremden Umgebung an Dritte abfließen können. Die
Prüfstelle, welche für die Produktzertifizierung nach den Common Criteria beauftragt
ist, darf für die Siegelprüfung auch eine andere durch das BSI anerkannte Prüfstelle
unterbeauftragen.
13
Nach Abschluss der Prüfung hat der Evaluator die Aufgabe, einen Einzelprüfbericht zu
erstellen, der ein Votum der Prüfstelle beinhaltet, indem erläutert wird, ob das Siegel für
den vorgesehenen Evaluierungsgegenstand geeignet ist. Soweit ein Siegelprüfer, der
nicht zugleich als Evaluator anerkannt ist, die Siegelprüfung durchführt hat, muss ein
anerkannter Evaluator die Prüfergebnisse auf Plausibilität prüfen, bevor er sie in einem
Einzelprüfbericht zusammengefasst dem BSI liefert.
14
Im Einzelprüfbericht ist darzulegen, dass der im Dokument „Sicherheitseigenschaften“
beschriebene Schutz zur Einhaltung der Geheimnisse (siehe Kapitel 4) angemessen ist.
In der Zusammenfassung des ETR nach AIS 19 ist das Votum des Einzelprüfberichts
aufzunehmen.
3.6. Aufgaben des BSI
15
Das BSI erstellt einen Zertifizierungsreport für das Produkt, der auch die Siegelprüfung
umfasst. Es wird kein separates Zertifikat für das Siegel erteilt.
3.7. Ergänzung der Anforderungen zur Siegelprüfung
16
Die Anforderungen der Siegelprüfung müssen an den jeweiligen
Evaluierungsgegenstand (EVG) angepasst werden, falls gewisse individuelle Parameter
im Betrieb zu berücksichtigen sind.
3.7.1. Betriebstemperatur
17
Es muss darauf geachtet werden, dass die Siegelprüfung bei der
Betriebstemperaturumgebung durchgeführt wird, die durch die Produktspezifikation
angegeben ist. Beispielsweise ist der Betriebstemperaturbereich beim Fahrtenschreiber
(Vehicle Unit) zwischen -35°C und 85°C angegeben. Daher muss das Siegel seine
Sicherheitsleistung in diesem Temperaturbereich zuverlässig erbringen. Bei den
angegebenen Betriebstemperaturen darf kein Eindruck entstehen, dass das Siegel
gefälscht oder manipuliert wurde (vergl. [TL-03415], Kapitel 5.1).
3.7.2. Klebkraftprüfung
18
Eine Klebkraftprüfung durch die Prüfstelle ist nicht erforderlich.
3.7.3. Sicherheitsstufe
19
Die Sicherheitsstufen für die Siegelprüfung sind in [TL-03415] definiert. Welche
Sicherheitsstufe für die Versiegelung eines Produktes notwendig ist, ist den jeweiligen
gesetzlichen Vorgaben, Sicherheitsvorgaben oder Schutzprofilen (Protection Profiles) zu
AIS_48_1_0.odt
5/6
Bundesamt für Sicherheit in der Informationstechnik
Zertifizierungsschema
AIS 48, Version 1.0
Stand: 30.04.2015
entnehmen. Für Produkte, deren Sicherheitsstufe für die Versiegelung nicht angegeben
ist, legt das BSI diese fest, so ist beispielsweise für einen Fahrtenschreiber
(Kontrollgerät) die Sicherheitsstufe 1, die in [TL-03415] formuliert ist, angemessen.
4. Bemerkungen
20
Keine.
5. Inkrafttreten der AIS
21
Die AIS ist grundsätzlich ab sofort gültig und bei allen Zertifizierungsverfahren
verbindlich anzuwenden. Eine Übergangsregelung ist nicht vorgesehen.
6. Referenzdokumente
CC31
Common Criteria for Information Technology Security Evaluation
Comprising Parts 1-3:
Part 1: Introduction and general model, Version 3.1 Revision 4, September 2012
Part 2: Security functional components, Version 3.1 Revision 4, September 2012
Part 3: Security assurance components, Version 3.1 Revision 4, September 2012
CEM31
Common Methodology for Information Technology Security Evaluation,
Evaluation methodology, Version 3.1 Revision 4, September 2012
ITSEC-JIL ITSEC Joint Interpretation Library (ITSEC JIL), Version 2.0, November 1998
BSI-7125 BSI-Zertifizierung: Verfahrensbeschreibung, BSI 7125
AIS 32
Übernahme international abgestimmter CC-Interpretationen ins deutsche
Zertifizierungsschema
TL-03415 Technische Leitlinie BSI TL-03415, Anforderungen und Prüfbedingungen für
Sicherheitsetiketten, Version 1.4, Juli 2011, Bundesamt für Sicherheit in der
Informationstechnik
ECC3821 Council Regulation (EEC) No 3821/85 on recording equipment in road transport
and amending Regulation (EC) No 561/2006 of the European Parliament and of
the Council on the harmonisation of certain social legislation relating to road
transport, adopted by the Council on 4 February 2014, Regulation (EU) No
165/2014 of the European Parliament and of the Council
AnnexIB
Annex IB of Council Regulation (EEC) No. 3821/85 amended by CR (EC) No.
1360/2002 and last amended by CR (EU) No. 1266/2009
BSI-7138 Hinweise für Antragsteller für die IT-Sicherheitszertifizierung von Produkten,
Schutzprofilen und Standorten (einschließlich Bestätigungen nach SigG) BSI
7138, Version 2.2, Stand: 28. Februar 2014
TR-03120 BSI – Technische Richtlinie, Sichere Kartenterminalidentität (incl.
Kartenterminalschutz), Anwendungsbereich: eHealth Kartenterminals, Kürzel:
BSI TR-03120, Version: 1.1, Veröffentlichung: 09.07.2010
AIS_48_1_0.odt
6/6

Download Report