 | ||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||
Glossar 
Forschungsprojekte 
Anbieterverzeichnis 
Datenbanksuche 
Highlights | ||||||||||||||||||||||||||||||||||||||||
| Wissensbrowser starten | ||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||
| ||||||
|  | |  | |  | |
| ||||||
| ||||||
|  | | ||||
| ||||||
Verfahren |
|
Fortsetzung Analyse der Security-Anforderungen |
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| Beschreibung | |||||||||
| |||||||||
|
Zurück Hinweis: Das „Process Control Security Requirement Forum“ (PCSRF) erarbeitete im Auftrag des „National Institute Of Standards And Technology“ (NIST) und auf der Grundlage der CC in der Version V2.1 eine Erweiterung der ISO 15408. Zielgröße ist ein um Systemaspekte erweiterter Evaluierungsgegenstand mit der Bezeichnung System-EVG (SEVG), wobei nur die Security-Aspekte Vertraulichkeit, Datenintegrität und Verfügbarkeit des Systems betrachtet wurden. Für das SEVG ist eine erweiterte Vertrauenswürdigkeitsstufe EAL 3 (+) definiert worden, wie die folgende Abbildung zeigt.  Ermittlung anhand von Use Cases Die Erarbeitung eines Schutzprofils nach Common Criteria zur Spezifikation konkreter Sicherheitsanforderungen (Security) ist für den Endanwender unpraktikabel. Einerseits muss als Grundlage die ISO 15408 verstanden und richtig angewandt werden. Anderseits muss das Schutzprofil bzw. die darin spezifizierten Sicherheitsanforderungen korrekt umgesetzt werden. Dies müsste die Aufgabe des Komponenten- / Systemherstellers oder des Systemintegrators sein, der sich ebenfalls mit der Norm ISO 15408 beschäftigen muss. Ferner bekommt der Endanwender erst Sicherheit bzgl. einer korrekten Umsetzung der Sicherheitsanforderungen durch eine entsprechende Evaluierung. Diese Evaluierung kann im Rahmen der Zertifizierung gemäß CC und eine Zuordnung in einen entsprechenden „Evaluation Assurance Level“ (EAL) realisiert werden. Dieser Weg kostet zusätzlich Zeit und Geld. Zur einfachen Ermittlung der Sicherheitsanforderungen können Use Cases herangezogen werden. Use Cases als Grundlage weiterer Betrachtungen werden in vielen Branchen der Automatisierungstechnik als praktikabel angesehen (best practices). Use Cases können durch Grafiken veranschaulicht werden. Im Rahmen von Sicherheitsbetrachtungen kann somit eine Netzwerkinfrastruktur skizziert werden. Anhand derer können danach einzelne Akteure und deren (sicherheitsrelevante) Aktionen auf einfache Weise beschrieben werden. Zur Vereinfachung der Darstellung einer komplexen Netzwerkinfrastruktur haben sich Einteilungen z.B. in Zonen (Segmentierung) (siehe Strukturierung von Automatisierungsnetzen ) als günstig erwiesen. So können einzelne Netzwerk-Segmente differenzierter betrachtet werden (skalierbare Sicherheitsanforderungen). Für eine anschließende Ermittlung der Sicherheits-anforderungen im Rahmen einer Gefahren- und Risikoanalyse kann nun einerseits der skizzierte Use Case dienen und anderseits das Ergebnis durch zusätzliche Fragestellungen untermauert werden. Diese Fragestellungen, auch als Fragebogen (questionnaire) zusammengefasst, sind hilfreich z.B. im Pflichtenheft, um grundlegende Anforderungen an die Sicherheit (Security) zu ergänzen. Mit dieser Vorgehensweise kann ein gewisser Grundschutz erreicht werden. Für die Entwicklung einer Security-Lösung müssen die Sicherheitsanforderungen des gegebenen Anwendungsfalls ermittelt werden. Hierzu wird eine Security-Klassifikation vorgenommen. | |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
Eintrag kommentieren | ||||
| ||||
 | Übergeordnet | | ||
| ||||
|
| | ||
| ||||
| ||||
| ||||
| ||||
| Fortsetzung Analyse... | ||||
| ||||
| ||||
| ||||
| ||||
 | Untergeordnet | | ||
| ||||
|
| | ||
|
| | ||
|
| | ||
| ||||
| | | ||
| ||||||||||||||
|
