Definition Network Equipment Security Assurance Scheme | NESAS Was ist NESAS?

Anbieter zum Thema

Das Network Equipment Security Assurance Scheme ist ein internationales Sicherheitsframework für die Mobilfunkbranche. Es wurde vom 3rd Generation Partnership Project (3GPP) und der GSM Association (GSMA) mit dem Ziel der Verbesserung der Sicherheit in der Mobilfunkbranche entwickelt. Zentrale Elemente von NESAS sind die Sicherheitsbewertung der Entwicklungs- und Produkt-Lifecycle-Prozesse der Hersteller sowie die Sicherheitsevaluierung der Produkte durch akkreditierte Prüflabore.

NESAS (Network Equipment Security Assurance Scheme) ist ein internationales Sicherheitsframework für die Mobilfunkbranche.
NESAS (Network Equipment Security Assurance Scheme) ist ein internationales Sicherheitsframework für die Mobilfunkbranche.
(Bild: gemeinfrei / Pixabay )

NESAS ist das Akronym für Network Equipment Security Assurance Scheme. Es handelt sich um ein internationales Sicherheitsframework für die Mobilfunkbranche. Entwickelt wurde es in Kooperation des 3rd Generation Partnership Projects (3GPP) und der GSM Association (GSMA). Global operierende Netzbetreiber und Hersteller von Netzwerkprodukten waren ebenfalls an der Erarbeitung des Frameworks beteiligt. Ziel von NESAS ist die Verbesserung des Sicherheitsniveaus in der gesamten Mobilfunkbranche.

Das Framework definiert Sicherheitsanforderungen und Bewertungsschemen für sichere Produktentwicklungs- und Produkt-Lifecycle-Prozesse. Ebenfalls definiert werden Testszenarien für die Sicherheitsevaluierung der Netzwerkausstattung durch akkreditierte Prüflabore. Das GSMA verwaltet eine Liste mit Herstellern von Netzwerkausrüstung, die sich bereits den Sicherheitsbewertungen und -Evaluierungen nach dem Network Equipment Security Assurance Scheme unterzogen haben. Auf Basis des NESAS-Bewertungsschemas entwickelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein nationales Zertifizierungsschema mit der Bezeichnung NESAS Cybersecurity Certification Scheme - German Implementation (NESAS CCS-GI).

Ziele der Entwicklung des Network Equipment Security Assurance Scheme

Mobilfunknetzwerke gehören zu den kritischen Infrastrukturen. Sie müssen zuverlässig funktionieren und widerstandsfähig gegen Sicherheitsbedrohungen unterschiedlicher Art sein. Grundvoraussetzung hierfür ist, dass die eingesetzten Netzwerkprodukte und Mobilfunkausrüstungen die Anforderungen zur Erreichung eines hohen Sicherheitsniveaus erfüllen. Das Network Equipment Security Assurance Scheme wurde entwickelt, um diese Anforderungen international zu harmonisieren. Es soll eine gemeinsame Basis zur Verbesserung des IT-Security-Levels der gesamten Mobilfunkbranche bieten. Die Einhaltung der Sicherheitsanforderungen durch die Netzwerkprodukte kann durch akkreditierte Prüflabore unabhängig evaluiert werden. Darüber hinaus sollen einheitliche Sicherheitsstandards für die Produktentwicklung und die Produkt-Lifecycle-Prozesse bereitgestellt und auditiert werden.

Die beiden Teilbereiche des Sicherheitsframeworks

Das NESAS-Sicherheitsframework lässt sich in zwei aufeinander aufbauende Teilbereiche untergliedern:

  • 1. die Sicherheitsbewertung der Entwicklungs- und Produkt-Lifecycle-Prozesse der Hersteller
  • 2. die Sicherheitsevaluierung der Produkte durch akkreditierte Prüflabore

Die Sicherheitsbewertung der Entwicklungs- und Produkt-Lifecycle-Prozesse der Hersteller findet gemäß den Anforderungen des NESAS-Frameworks statt. Die Hersteller definieren ihre eigenen Prozesse und beschreiben, wie sie die Sicherheitsanforderungen erfüllen. Externe, unabhängige Auditoren überprüfen, ob die Prozesse konform mit den Sicherheitsanforderungen sind und in der Praxis angewandt werden. Das Ergebnis ist ein Auditbericht.

Im zweiten Teilbereich legen die Hersteller ihre Produkte unabhängigen, nach ISO/IEC 17025 akkreditierten Prüflaboren vor. Diese führen die Sicherheitsevaluierung gemäß Network Equipment Security Assurance Scheme durch und erstellen einen Bewertungsbericht mit den Evaluierungsergebnissen. Der Hersteller kann diese Berichte beispielsweise seinen Kunden zum Nachweis des Sicherheitsniveaus der Produkte zur Verfügung stellen.

(ID:48257494)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung