Vermerk: Hinweis auf ISO/IEC 19896 (ff.), DIN EN ISO/IEC 19790, ISO/IEC 24759, DIN EN ISO/IEC 17025, ISO 15408, DIN EN ISO/IEC 18045:2023-12 - Entwurf

Inhalt

Europäisches Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

4 Wissen

4.1 Allgemeines

4.2 Wissen um ISO/IEC 15408 und ISO/IEC 18045

4.2.1 ISO/IEC 15408-1
4.2.2 ISO/IEC 15408-2
4.2.3 ISO/IEC 15408-3
4.2.4 ISO/IEC 18045

4.3 Wissen über das Vertrauenswürdigkeitsparadigma

4.3.1 Wissen über die Evaluierungsinstanz
4.3.2 Wissen über das Evaluierungsprogramm
4.3.3 Wissen über das Labor und sein Managementsystem

4.4 Wissen über Informationssicherheit

4.5 Wissen über die zu evaluierende Technologie

4.5.1 Wissen über die zu evaluierende Technologie
4.5.2 Schutzprofile, Pakete und unterstützende Dokumente
4.6 Erforderliches Wissen für bestimmte Vertrauenswürdigkeitsklassen
4.7 Erforderliches Wissen für die Evaluierung spezifischer funktionaler Sicherheitsanforderungen
4.8 Notwendiges Wissen für die Evaluierung spezifischer Technologien

5 Fertigkeiten

5.1 Grundlegende Evaluierungsfertigkeiten

5.1.1 Evaluierungsverfahren
5.1.2 Evaluierungsinstrumente

5.2 Kernkompetenzen bei der Evaluierung nach ISO/IEC 15408-3 und ISO/IEC 18045

5.2.1 Evaluierungsgrundsätze
5.2.2 Evaluierungsverfahren und Tätigkeiten

5.3 Erforderliche Fertigkeiten bei der Evaluierung spezifischer Vertrauenswürdigkeitsklassen

5.3.1 Allgemeines
5.3.2 ADV-Klasse (Entwicklung)
5.3.3 AGD-Klasse (Leitfäden)
5.3.4 ALC-Klasse (Unterstützung des Lebenszyklus)
5.3.5 ASE- und APE-Klassen (ST- und PP-Evaluierung)
5.3.6 ATE-Klasse (Prüfungen)
5.3.7 AVA-Klasse (Schwachstellenbewertung)
5.3.8 ACO-Klasse (Zusammensetzung)

5.4 Erforderliche Fertigkeiten bei der Evaluierung spezifischer Klassen funktionaler Sicherheitsanforderungen

5.4.1 Allgemeines
5.4.2 Erforderliche Fertigkeiten bei der Evaluierung der FCS-Klasse (Kryptographische Unterstützung)

5.5 Notwendige Fertigkeit bei der Evaluierung spezifischer Technologien

6 Erfahrung

7 Ausbildung

8 Effektivität

8.1 Allgemeines
8.2 Effektivität der Evaluierung
8.3 Verantwortlichkeiten im Rahmen des Evaluierungsprogramms für die Effektivität der Evaluatoren
8.4 Effektivität bei der Durchführung zeitnaher Evaluierungen
8.5 Effektivität bei der Durchführung genauer Evaluierungen
8.6 Effektivität bei der Ergebnismeldung

Anhang A (informativ) - Technologietypen: Wissen und Fertigkeiten

A.1 Wissen in Bezug auf bestimmte Technologietypen

A.1.1 Allgemeines
A.1.2 Zugangskontrollgeräte und -systeme
A.1.3 Biometrische Systeme und Geräte
A.1.4 Datenschutz
A.1.5 Datenbanken
A.1.6 Erkennungsgeräte und -systeme
A.1.7 ICs, Chipkarten sowie chipkartenbezogene Geräte und Systeme
A.1.8 Hardwaregeräte
A.1.9 Schlüsselverwaltungssysteme
A.1.10 Mobilgeräte und -systeme
A.1.11 Multifunktionsgeräte
A.1.12 Netz und netzbezogene Geräte und Systeme
A.1.13 Betriebssysteme
A.1.14 Produkte für digitale Signaturen
A.1.15 Vertrauenswürdige Datenverarbeitung (Trusted Computing)

A.2 Fertigkeiten in Bezug auf bestimmte Technologietypen

A.2.1 Allgemeines
A.2.2 Zugangskontrollgeräte und -systeme
A.2.3 Biometrische Systeme und Geräte
A.2.4 Datenschutz
A.2.5 Datenbanken
A.2.6 Erkennungsgeräte und -systeme
A.2.7 ICs, Chipkarten sowie chipkartenbezogene Geräte und Systeme
A.2.8 Hardwaregeräte
A.2.9 Schlüsselverwaltungssysteme
A.2.10 Mobilgeräte und -systeme
A.2.11 Multifunktionsgeräte
A.2.12 Netz- und netzbezogene Geräte und Systeme
A.2.13 Betriebssysteme
A.2.14 Produkte für digitale Signaturen
A.2.15 Vertrauenswürdige Datenverarbeitung (Trusted Computing)

Anhang B (informativ) - Beispiele für Wissen, das für die Evaluierung von Klassen der Vertrauenswürdigkeitsanforderung erforderlich ist

B.1 Erforderliches Wissen für bestimmte Vertrauenswürdigkeitsklassen
B.1.1 ADV-Klasse (Entwicklung)
B.1.2 AGD-Klasse (Leitfäden)
B.1.3 ALC-Klasse (Unterstützung des Lebenszyklus)
B.1.4 ASE- und APE-Klassen (ST- und PP-Evaluierung)
B.1.5 ATE-Klasse (Prüfungen)
B.1.6 AVA-Klasse (Schwachstellenbewertung)
B.1.7 ACO-Klasse (Zusammensetzung)

Anhang C (informativ) - Beispiele für Wissen, das für die Evaluierung von Klassen der funktionalen Sicherheitsanforderung erforderlich ist

C.1 Allgemeines
C.2 Erforderliches Wissen für bestimmte Klassen funktionaler Sicherheitsanforderungen
C.2.1 FAU-Klasse (Sicherheitsaudit)
C.2.2 FCO-Klasse (Kommunikation)
C.2.3 FCS-Klasse (Kryptographische Unterstützung)
C.2.4 FDP-Klasse (Schutz der Benutzerdaten)
C.2.5 FIA-Klasse (Identifizierung und Authentifizierung)
C.2.6 FMT-Klasse (Sicherheitsmanagement)
C.2.7 FPR-Klasse (Datenschutz)
C.2.8 FPT-Klasse (Schutz der TSF)
C.2.9 FRU-Klasse (Nutzung von Ressourcen)
C.2.10 FTA-Klasse (TOE-Zugang)
C.2.11 FTP-Klasse (Vertrauenswürdiger Pfad/Kanäle)

Literaturhinweise

Tabellen

Tabelle 1— Erforderliche Fertigkeiten für Evaluatoren der ADV-Klasse
Tabelle 2— Erforderliche Fertigkeiten für Evaluatoren der AGD-Klasse
Tabelle 3— Erforderliche Fertigkeiten für Evaluatoren der ALC-Klasse
Tabelle 4— Erforderliche Fertigkeiten für Evaluatoren der ASE- und APE-Klasse
Tabelle 5— Erforderliche Fertigkeiten für Evaluatoren der ATE-Klasse
Tabelle 6— Erforderliche Fertigkeiten für Evaluatoren der AVA-Klasse
Tabelle 7— Erforderliche Fertigkeiten für Evaluatoren der ACO-Klasse
Tabelle B.1— Erforderliches Wissen für Evaluatoren der ADV-Klasse
Tabelle B.2— Erforderliches Wissen für Evaluatoren der AGD-Klasse
Tabelle B.3— Erforderliches Wissen für Evaluatoren der ALC-Klasse
Tabelle B.4— Erforderliches Wissen für Evaluatoren der ASE- und APE-Klasse
Tabelle B.5— Erforderliches Wissen für Evaluatoren der ATE-Klasse
Tabelle B.6— Erforderliches Wissen für Evaluatoren der AVA-Klasse
Tabelle B.7— Erforderliches Wissen für Evaluatoren der ACO-Klasse