Konsulenttjenester IT-sikkerhet
IT-sikkerhet er en prosess. Etter som nye forretningsmuligheter og ansvarsområder vokser frem i din virksomhet behøver virksomhetens IT-miljø systematisk evaluering for å opprettholde ønsket sikkerhetsnivå. Secodes sikkerhetskonsulenter arbeider daglig med evaluering, planlegging og utvikling av IT-sikkerhetsnivået hos våre kunder. Med hjelp av ekstern kompetanse kan våre kunder gjennomføre nødvendige forandringer eller tilpasninger mer effektivt, med større presisjon og med mindre forsinkelser enn man normalt opplever.
  KONSULENTTJENESTER   
INFORMASJONSSIKKERHET
Etablering av ISMS
Secode Sikkerhetsmål og strategi
Secode Risikoanalyse
Secode Beredskapsplan
Secode Common Criteria Sikkerhetsevaluering
Common Criteria Sikkerhetsevaluering Leverandør/utvikler
Secode IT-revisjon
Secode Tiltaksrettet Sårbarhetsanalyse
SIKKERHETSTEST & FORENSICS
Secode Applikasjonstest
Secode Nettverkstest
Secode Sikkerhetstest av Voice over IP
Secode Besiktigelseanalyse
Secode Forensics-analyse
Secode Inngrepsanalyse
Secode Snapshot-IDS
Secode Sårbarhetsanalyse

Secode Common Criteria Sikkerhetsevaluering

 

Stortinget vedtok I 1998 å opprette en sertifiseringsordning for IT-sikkerhet i produkter og systemer. SERTIT - Sertifiseringsmyndigheten for IT-sikkerhet - er ansvarlig for etablering og drift av ordningen, herunder også godkjenning av evalueringsfirma underlagt ordningen. Secode Norge er et av i alt to selskaper i Norge med godkjenning som evalueringsfirma (EVIT) under SERTIT. (Klikk HER for liste over internasjonalt godkjente evalueringsfirma).

 

Secode evaluerer sikkerheten i IT-produkter og IT-systemer, på oppdrag både fra kjøpere av produkt eller system, og leverandører/utviklere. En sikkerhetsevaluering kan omfatte produkter som brannmurer, tilgangskontrollsystem, PKI-løsninger og smartkortløsninger, samt militære systemer. Secode kan også hjelpe utviklere, kjøpere og organisasjoner, ved tydelig å vise hva sikkerhetsevaluering innebærer:
Hvordan vet jeg at et IT-produkt eller system er sikkert? Hvor sikkert er det? Hva må jeg gjøre for å "bevise" at mitt produkt er sikkert?

 

Hva er sikkerhetsevaluering?
Sikkerhetsevaluering er en uavhengig tredjeparts gjennomgang av sikkerhetsfunksjonalitet i et IT-produkt eller system, iht. et forutbestemt tillitsnivå.


Ved behandling av sensitiv/gradert informasjon, kan en sikkerhetsevaluering gi en gjennomgang av IT-produkter og systemer, for å avklare om beskyttelsen av informasjon er god nok sikkerhetsmessig. En evaluering benytter formelle kriterier og metoder for å vurdere de gitte sikkerhetsmekanismer. I tillegg foretas det sårbarhetsanalyse og penetreringstesting, for å se om det er mulig å bryte implementerte sikkerhetsbarrierer.

Hvorfor sikkerhetsevaluering?
Gjennom en sikkerhetsevaluering bevises det at sikkerhetsfunksjonalitet er implementert iht. et avtalt nivå, etter krav fra kjøper, leverandør/utvikler, offentlige krav og lover:

Konkurransekraft i markedet
Markedet for sikkerhetsprodukter og løsninger inneholder mange konkurrerende produkter, og ethvert konkurransefortrinn må vurderes nøye . En vellykket formell sikkerhetsevaluering viser at produktet har gjennomgått en uavhengig vurdering iht. en internasjonal anerkjent standard, og alle som går til anskaffelse av produktet kan være sikker på at det inneholder den sikkerhetsfunksjonalitet det gir uttrykk for å ha.

Offentlige krav
Myndigheter kan sette krav om at et sikkerhetsprodukt eller system skal være evaluert og godkjent, før det kan tas i bruk til forsvar og offentlige departementer og etater. For at virksomheten skal kunne selge sitt produkt, må det derfor gjennom en sikkerhetsevaluering.

Lovgivning
Lover kan sette begrensninger mht. salg til bestemt bruk eller operasjon. Produktet må derfor tilby et gitt sett sikkerhetsfunksjoner, og være sikkerhetsevaluert, slik at tillit oppnås.

Ved å sikkerhetsevaluere et IT-produkt eller et system oppnår bedriften:

  • Internasjonalt anerkjent mål på sikkerhetsnivå i produkt/system
  • Et dokumentert sikkerhetsnivå for sitt produkt/system
  • Konkurransefortrinn fremfor ikke evaluerte produkter
  • Redusert sannsynlighet for sikkerhetshull/svakheter i et produkt
  • Strukturell implementering av sikkerhetsfunksjoner
  • En evalueringsprosess som kvalitetssikrer utviklingsmetodikk og rutiner


Hva er Common Criteria?
Common Criteria (CC) er fastsatte kriterier og prosedyrer for å definere, vurdere, og bedømme IT-produkter og IT-systemer, ut fra et IT-sikkerhetsperspektiv. Leverandører kan ved hjelp av CC levere sertifiserte produkter og systemer. CC kan gi svar på spørsmål som "hvilke sikkerhetsfunksjoner har produktet/løsningen", og "hvor sikker er du i dette". CC versjon 2.1 tilsvarer den internasjonale standarden ISO/IEC 15408:1999.


CC-evalueringen benyttes som et verktøy for å etablere et produkt eller et systems sikkerhetsnivå. Gjennomføringen kan gjøres etter 7 predefinerte tillitsnivå, såkalte EAL (Evaluation Assurance Level). Gjennomføringen kan også foregå etter et skreddersydd tillitsnivå bestemt av utvikler. Secode utfører evalueringer etter internasjonal metodikk for tillitsnivåene EAL1-4, og etter egenutviklet metode for EAL5, og omfatter følgende elementer:

  • Konfigurasjonsstyring
  • Leveranse og installasjon
  • Utviklingsprosessen
  • Drifts- og brukerdokumentasjon
  • Livsløpsvedlikehold
  • Testing
  • Sårbarhetsvurdering

Protection Profile (PP) og Security Target (ST)
Et IT-produkt eller system kan evalueres opp mot en gitt beskyttelsesprofil (PP), eller opp mot sikkerhetskrav og funksjoner for det aktuelle produktet, definert i en ST.


En beskyttelses profil (PP) består av et oppsett av implementasjonsuavhengige sikkerhetskrav for en gitt kategori produkter eller systemer. Dersom det ikke er utarbeidet PP for det produkt eller system som skal evalueres, kan det ved gitte kriterier defineres og godkjennes ny PP. I andre tilfeller, når produktet eller systemet er spesifikt, og ikke kan kategoriseres, kan sikkerhetskrav og funksjoner settes opp i en ST.
Et Security Target (ST) gir et oppsett av sikkerhetskrav og funksjoner, og benyttes som basis for en evaluering av et IT-produkt eller system. En ST utarbeides for hvert IT-produkt eller system, for hver evaluering. ST kan inneholde krav fra, eller bygge på en eller flere PP. I ST gis det krav til sikkerhetsfunksjoner som er spesifikke for et IT-produkt eller system i dets tiltenkte miljø.

 

Hvilke garantier gir et Common Criteria sertifisert produkt?
Resultatet av en CC sikkerhetsevaluering, gir tillit til at vurderingen av sikkerheten er gjennomført på korrekt nivå, iht. potensielle trusler for det aktuelle IT-produkt eller system i et gitt miljø.

 

Hvilke tjenester innen sikkerhetsevaluering kan Secode tilby?
I tillegg til å gjennomføre sikkerhetsevalueringer, tilbyr Secode også rådgivningstjenester, kurs og foredrag relatert til oppstart og gjennomføring av sikkerhetsevalueringer. Rådgivningstjenestene kan være alt fra utarbeidelse av Security Target (ST) og annen relatert dokumentasjon, til generell rådgivning og prosjektledelse.

 

Har du flere spørsmål?
Følgende kontaktpersoner kan svare på spørsmål angående evaluering og evaluerings-prosesser:
Leder for akkreditert enhet CC - Jorunn Terjesen
Tlf: 37 05 81 35
Mob: 99 28 29 35
E-post: jorunn.terjesen@secode.no

Largest Botnet eve...

 

Secode bistår nå mer enn 100 kunder innenfor:

  • Bank, finans og forsikring
  • Shipping
  • Handelsvirksomhet
  • Helsesektor og sykehus
  • Telecom og nett
  • Forsvaret
  • Forsvarsindustri
  • Departementer og direktorater
  • Justissektoren
  • Energisektoren
  • Produksjonssektoren

Vil du vite mer - ta kontakt ved å klikke her

Get_Secoded!