Beveiligingsevaluaties. Waarom zou ik dit willen?, Hoe voldoe ik eraan?
Wat zijn de valkuilen? en Wat kunnen beveiligingsevaluaties concreet
bieden aan ontwikkelaars en kopers van ICT-producten om vertrouwen te
krijgen in de beveiliging van deze producten. De website van de
faciliteit voor beveiligingsevaluatie van TNO Fysisch Elektronisch
Laboratorium (www.commoncriteria.nl) geeft alle informatie over de nu
internationale standaard voor beveiligingsevaluaties de Common Criteria.
De site biedt onder andere de mogelijkheid om door een samenvatting van
de Common Criteria te browsen en om een document aan te vragen over hoe
te voldoen aan deze criteria.

Met de explosieve groei van ICT-producten hangt een stijgende behoefte
aan veilige ICT samen. Als die producten namelijk gebruikt worden voor
opslag en/of verwerking van waardevolle informatie (gerubriceerde
informatie, financiële informatie, personeelsvertrouwelijke gegevens
enz.) ontstaat al snel de behoefte om deze informatie te beveiligen en
dus te eisen dat de producten die worden aangeschaft ``veilig'' zijn.

Een groot probleem hierbij is dat beveiliging min of meer onzichtbaar
is, en dat soms zwakheden in de beveiliging pas bij gebruik aan het
licht komen. Het is dan ook voor de gemiddelde koper buitengewoon
moeilijk om vast te stellen of de beveiliging van een product goed
genoeg is voor zijn doeleinden.

De traditionele manier om dit probleem te bestrijden is een beoordeling
van de beveiliging door een hierin gespecialiseerde partij. Deze velt
een onafhankelijk oordeel waar een koper op kan vertrouwen.

Lang was er geen standaard die wereldwijd geaccepteerd werd, met als
gevolg dat ieder testfaciliteit producten ging testen op zijn eigen,
vaak geheime, wijze. Dit was geen probleem zolang de faciliteit een
product kon afkeuren. Deze afkeuring was gebaseerd op een kwetsbaarheid
in het product, die concreet aan de gebruiker aangetoond kon worden.
Maar, wanneer een product werd goedgekeurd was het zeer moeilijk voor
gebruikers wat deze goedkeuring precies betekende.

De kopers van de producten vroegen zich hierbij af:

• Welke beveiligingsaspecten van het product zijn getest?
  
• Hoe zijn deze getest?
  
• Kan ik de testfaciliteit vertrouwen?
  

• Hoe kan ik mijn product zo ontwerpen dat het eenvoudig de testen zal
  halen?
  
• Hoe kan ik er zeker van zijn dat de klanten vertrouwen hebben in de
  resultaten van deze testfaciliteit?
  

Na aanzetten in zowel de Verenigde Staten als in Europa om deze vragen
adequaat te kunnen beantwoorden, bestaan er nu Common Criteria. Een
gezamenlijke inspanning van overheden uit de hele wereld. Deze bieden
aan kopers en ontwikkelaars van ICT-producten een verzameling van
openbare toetsingscriteria Dit gebeurt op een manier dat de
beveiligingsaspecten van een ICT-product kunnen worden gemeten op een
herhaalbare, reproduceerbare en onafhankelijke manier.

De Common Criteria worden steeds vaker voorgeschreven en gebruikt door
kopers als middel voor de definitie van beveiligingsbehoeften en voor de
beoordeling van vertrouwen in beveiliging. Maar

Als ik Common Criteria evaluaties wil voorschrijven wat betekent dat
dan?

Ik krijg een geëvalueerd product aangeboden, hoe kan ik nu zien wat ik
er aan heb?

Ik wil de Common Criteria gebruiken om de beveiliging van mijn product
te ``meten'', wat betekent dat voor mij?

De Beveiligingsevaluatie Faciliteit van TNO Fysisch Elektronisch
Laboratorium ondersteunt ontwikkelaars bij het voldoen aan de criteria
en kopers bij het bepalen van de waarde van de standaard voor hun
situatie. Op de website van de faciliteit wordt uitgelegd wat de
voordelen zijn van een gestandaardiseerd testproces en wat een
beveiligingstest betekent. De site is de Nederlandse mirror-site om door
de standaard te kunnen browsen en om deze te downloaden (zie ook
http://www.commoncriteria.org).

De evaluatiefaciliteit heeft een document ontwikkeld dat speciaal
gericht op ontwikkelaars van ICT-producten, het heet ``Common
Criteria/ISO15408 - Evaluation Assurance Level 4 - Guidance for
Developers''. De ontwikkeling van dit document is mede mogelijk gemaakt
door een bijdrage van de Ministeries van Economische Zaken en Defensie.
Het document beoogt ontwikkelaars te helpen aan de standaard te voldoen,
zonder dat zij eerst de gehele standaard moeten doorlezen en begrijpen
voordat met ontwikkelen begonnen kan worden. In het document wordt een
overzicht gegeven van de soort eisen bij een typische evaluatie. Deze
eisen hebben betrekking op de werkgebieden van bijvoorbeeld
projectmanagers, marketeers, kwaliteitsmedewerkers, systeemarchitecten,
testers en programmeurs. Op de site kan dit document uit deze serie
worden aangevraagd.