Kravformulering
Om behovet avser en potentiell köpares önskemål kallas de samlade kraven eller skyddsåtgärderna som önskas för skyddsprofil och om det avser den utvecklande organisationens egna utfästelser kallas de samlade skyddsåtgärderna för säkerhetsmål.
CC ger en person eller organisation möjlighet att kunna uttrycka tydliga och kontrollerbara krav på säkerhet i IT-produkter samt att kunna ställa krav på hur noggrant dessa produkters skyddsåtgärder ska granskas.
CC är med andra ord ett kraftfullt verktyg som ger upphandlare av IT-produkter möjlighet att kunna tillförsäkra sig om evaluerad och certifierad säkerhet samt möjlighet att styra sina kostnader.
Rollfördelning vid certifiering
Detta medför också att det går att separera upphandlarens roll från IT-säkerhetsexperternas roller enligt följande:
- Experter skriver skyddsprofiler som beskriver köparens önskemål och krav generellt för en viss typ av IT-produkter. Upphandlaren refererar till dessa vid upphandling.
- Leverantören skriver säkerhetsmål som beskriver hur leverantören lever upp till förväntade säkerhetskrav för en viss IT-produkt. Experten relaterar säkerhetsmål till skyddsprofiler.
- Experter certifierar att produkten motsvarar kraven. Upphandlaren behöver då bara kräva att CC-certifikat finns utfärdat för produkten finns för att säkerställa höjd säkerhet och assurans enligt skyddsprofilen.
Referenslista över rekommenderade skyddsprofiler
Denna referenslista är en första version av rekommenderade tekniska säkerhetsåtgärder som avser att stärka samhällets förmåga att hantera information säkert. Referenslistan bör ses som ett komplement till MSB:s Metodstöd för systematiskt informationssäkerhetsarbete.
Referenslistan riktar sig till offentliga aktörer som arbetar med informationssäkerhet och avser att vara ett stöd till organisationer vid anskaffning av it-säkerhetsprodukter. När offentliga aktörer använder sig av en skyddsprofil från denna referenslista ger det en garanti för att informationssäkerhetsaspekter i anslutning till produkterna har beaktats.
MSB har granskat olika skyddsprofiler och sammanställt en referenslista över rekommenderade skyddsprofiler. Dessa skyddsprofiler omfattar flera olika typer av it-produkter. Se listan nedan:
- Protection Profile for Database Management Systems (DBMS PP), 2.12, 2017-03-23 https://www.commoncriteriaportal.org/files/ppfiles/pp0088V2b_pdf.pdf
- Protection Profile for Hardcopy Devices (HCDPP), 1.0, 2015-09-10 https://www.commoncriteriaportal.org/files/ppfiles/c0553_pp.pdf
- Protection Profile for Mobile Device Fundamentals (MDPP), 3.1, 2017-06-16 https://www.niap-ccevs.org/Profile/Info.cfm?PPID=417&id=417
- Protection Profile for General Purpose Operating Systems (OSPP), 4.2.1, 2019-04-22 https://www.niap-ccevs.org/Profile/Info.cfm?PPID=442&id=442
- Collaborative Protection Profile for Full Drive Encryption – Encryption Engine (FDE-EE), 2.0E, 2019-02-01 https://www.commoncriteriaportal.org/files/ppfiles/CPP_FDE_EE_V2.0E.pdf
- Collaborative Protection Profile for Full Drive Encryption – Authorization Acquisition (FDE-AA), 2.0E, 2019-02-01 https://www.commoncriteriaportal.org/files/ppfiles/CPP_FDE_AA_V2.0E.pdf
- Collaborative Protection Profile Module for Full Drive Encryption – Enterprise Management (FDE-EM), 2.0, 2018-03-23 https://www.commoncriteriaportal.org/files/ppfiles/FDE%20EM%20cPP%20v2.pdf
- Collaborative Protection Profile for Network Devices (NDcPP), 2.1, 2018-09-24 https://www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V2.1.pdf
- Collaborative Protection Profile for Stateful Traffic Filter Firewalls (FWcPP), 2.0E, 2018-04-14 https://www.commoncriteriaportal.org/files/ppfiles/CPP_FW_V2.0E.pdf
It-produkter som tredjepartsgranskats enligt Common Criteria (CC) finns att hitta på Common Criteria Portal. Bland dessa återfinns även produkter som uppfyller kraven i de rekommenderade skyddsprofilerna. Här finner du Common Criteria Portal: https://www.commoncriteriaportal.org/
FMV/CSEC verkar som Sveriges nationella certifieringsorgan för it-säkerhet i produkter och system enligt standarden CC. It-produkter som tredjepartsgranskats enligt CC i det svenska schemat finns att hitta på CSEC:s webbsida här: https://www.fmv.se/verksamhet/ovrig-verksamhet/csec/certifikat-utgivna-av-csec/
Varje myndighet/intressent som vill använda dessa produkter ska säkerställa att de valda produkterna tillhandahåller de säkerhetsfunktioner som krävs i deras driftmiljö. Det är även användarens ansvar att göra en riskbedömning vid installation/användning av en nyare version av produkten, eller vid ändringar i driftmiljön som inte ingick i tredjepartsgranskningen.
Om du saknar en skyddsprofil för önskad produktkategori är du alltid välkommen att skicka ett mail till MSB på informationssakerhet@informationssakerhet.se.