Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida

Användning av Common Criteria

Med hjälp av CC kan man kan utreda och beskriva behov av skyddsåtgärder i en IT-produkt som en organisation avser utveckla eller upphandla.

Kravformulering

Om behovet avser en potentiell köpares önskemål kallas de samlade kraven eller skyddsåtgärderna som önskas för skyddsprofil och om det avser den utvecklande organisationens egna utfästelser kallas de samlade skyddsåtgärderna för säkerhetsmål.

CC ger en person eller organisation möjlighet att kunna uttrycka tydliga och kontrollerbara krav på säkerhet i IT-produkter samt att kunna ställa krav på hur noggrant dessa produkters skyddsåtgärder ska granskas.

CC är med andra ord ett kraftfullt verktyg som ger upphandlare av IT-produkter möjlighet att kunna tillförsäkra sig om evaluerad och certifierad säkerhet samt möjlighet att styra sina kostnader.

Rollfördelning vid certifiering

Detta medför också att det går att separera upphandlarens roll från IT-säkerhetsexperternas roller enligt följande:

  • Experter skriver skyddsprofiler som beskriver köparens önskemål och krav generellt för en viss typ av IT-produkter. Upphandlaren refererar till dessa vid upphandling.
  • Leverantören skriver säkerhetsmål som beskriver hur  leverantören lever upp till förväntade säkerhetskrav för en viss IT-produkt. Experten relaterar säkerhetsmål till skyddsprofiler.
  • Experter certifierar att produkten motsvarar kraven. Upphandlaren behöver då bara kräva att CC-certifikat finns utfärdat för produkten finns för att säkerställa höjd säkerhet och assurans enligt skyddsprofilen.

Referenslista över rekommenderade skyddsprofiler

Denna referenslista är en första version av rekommenderade tekniska säkerhetsåtgärder som avser att stärka samhällets förmåga att hantera information säkert. Referenslistan bör ses som ett komplement till MSB:s Metodstöd för systematiskt informationssäkerhetsarbete.

Referenslistan riktar sig till offentliga aktörer som arbetar med informationssäkerhet och avser att vara ett stöd till organisationer vid anskaffning av it-säkerhetsprodukter. När offentliga aktörer använder sig av en skyddsprofil från denna referenslista ger det en garanti för att informationssäkerhetsaspekter i anslutning till produkterna har beaktats.

MSB har granskat olika skyddsprofiler och sammanställt en referenslista över rekommenderade skyddsprofiler. Dessa skyddsprofiler omfattar flera olika typer av it-produkter. Se listan nedan:

It-produkter som tredjepartsgranskats enligt Common Criteria (CC) finns att hitta på Common Criteria Portal. Bland dessa återfinns även produkter som uppfyller kraven i de rekommenderade skyddsprofilerna. Här finner du Common Criteria Portal: https://www.commoncriteriaportal.org/

FMV/CSEC verkar som Sveriges nationella certifieringsorgan för it-säkerhet i produkter och system enligt standarden CC. It-produkter som tredjepartsgranskats enligt CC i det svenska schemat finns att hitta på CSEC:s webbsida här: https://www.fmv.se/verksamhet/ovrig-verksamhet/csec/certifikat-utgivna-av-csec/

Varje myndighet/intressent som vill använda dessa produkter ska säkerställa att de valda produkterna tillhandahåller de säkerhetsfunktioner som krävs i deras driftmiljö. Det är även användarens ansvar att göra en riskbedömning vid installation/användning av en nyare version av produkten, eller vid ändringar i driftmiljön som inte ingick i tredjepartsgranskningen.  

Om du saknar en skyddsprofil för önskad produktkategori är du alltid välkommen att skicka ett mail till MSB på informationssakerhet@informationssakerhet.se.

 

Publicerad: 2019-12-17
Uppdaterad: 2020-03-02
Skribent: Redaktionen
Innehållsansvarig: Maria Tilander