Definition Security Assurance Specification | SCAS Was ist SCAS (Security Assurance Specification)?

Anbieter zum Thema

SCAS ist ein wichtiger Bestandteil des vom 3GPP entwickelten SECAM-Frameworks für die Zusicherung und Bewertung der Sicherheit von im Mobilfunkbereich eingesetzten Netzwerkprodukten. Die Security Assurance Specification beinhalten die Sicherheitsanforderungen und Testfälle für eine vorgegebene Klasse von Netzwerkprodukten. Zur Anwendung kommen die SCAS im Rahmen der Netzwerkproduktevaluierung gemäß SECAM-Prozess (Security Assurance Methodology).

Security Assurance Specifications (SCAS) sind Sicherheitsanforderungen und Testfälle für eine vorgegebene Klasse von Netzwerkprodukten.
Security Assurance Specifications (SCAS) sind Sicherheitsanforderungen und Testfälle für eine vorgegebene Klasse von Netzwerkprodukten.
(Bild: gemeinfrei / Pixabay )

Das Akronym für Security Assurance Specification lautet SCAS. SCAS ist ein wichtiger Bestandteil des SECAM-Frameworks für die Zusicherung und Bewertung der Sicherheit von im Mobilfunkbereich eingesetzten Netzwerkprodukten. Es wurde vom 3rd Generation Partnership Project (3GPP) entwickelt. Wichtiger Partner bei der Entwicklung und Umsetzung des Frameworks ist die Network Equipment Security Assurance Group (NESAG) der GSM Association (GSMA).

In den Security Assurance Specification sind die Sicherheitsanforderungen und Testfälle für eine vorgegebene Klasse von Netzwerkprodukten beschrieben. Die SCAS werden von der 3GPP erstellt und finden im Prozess der Netzwerkproduktevaluierung nach SECAM Anwendung. Bei einer Sicherheitsevaluierung eines Produkts wird immer die aktuellste Version des SCAS-Dokuments der jeweiligen Produktklasse verwendet. Die Sicherheitsevaluierung nach SECAM umfasst die Entwicklungs- und Produkt-Lifecycle-Managementprozesse der Hersteller sowie das Netzwerkprodukt selbst. Durchgeführt wird die Evaluierung von akkreditierten Testlaboren der Hersteller oder externer Anbieter. Es wird das jeweilige Produkt in einer beschriebenen Konfiguration getestet. Der Einsatz und die Prüfung in spezifischen Umgebungen sind nicht Teil der SECAM-Evaluierung.

Inhalt und Erstellung der Security Assurance Specification

Der Inhalt der Security Assurance Specification untergliedert sich in diese drei Teile:

  • Network Product Class Description - NPCD: die Beschreibung der Netzwerkproduktklasse
  • Security Problem Definition - SPD: die Definition der Sicherheitsproblematik
  • Security Requirements - SR: die Sicherheitsanforderungen inklusive der verschiedenen Testfälle für die beschriebene Produktklasse

In der Network Product Class Description sind unter anderem die Hauptfunktionen der Produktklasse sowie die physischen und logischen Schnittstellen für die Interaktion der Produktklasse mit anderen Komponenten beschrieben. Der Teil der SCAS mit der Security Problem Definition (SPD) definiert die Sicherheitsproblematik und die sich daraus ergebenden Sicherheitsziele der jeweiligen Produktklasse. Im Rahmen der Security Requirements (SR) werden die Sicherheitsanforderungen beschrieben, die die Produktklasse zu erfüllen hat, um die Sicherheitsziele zu erreichen. Dazu zählen beispielsweise Anforderungen an die Widerstandsfähigkeit der Produkte oder an die Datensicherheit.

Ablauf einer Netzwerkproduktevaluierung gemäß SECAM-Prozess

Der Ablauf einer Netzwerkproduktevaluierung nach dem SECAM-Prozess lässt sich vereinfacht folgendermaßen beschreiben:

Im ersten Schritt erhält der Hersteller eines Netzwerkprodukts die Security Assurance Specification, die das Netzwerkprodukt erfüllen soll. Anschließend wird die Evaluierung des Produkts gemäß der Security Assurance Specification durchgeführt. Die Evaluierung erfolgt von akkreditierten Testlaboren der Hersteller oder externer Anbieter. Das Ergebnis der Evaluierung ist ein ausführlicher Report. Er wird dem Netzwerkbetreiber, der das Produkt einsetzen möchte, vorgelegt. Anhand des Berichts prüft und entscheidet der Netzwerkbetreiber, ob die beschriebenen Ergebnisse seinen internen Vorgaben (und eventuell auch externen Vorgaben wie regulatorische Anforderungen) entsprechen und ob der Security Assurance Level des Produkts akzeptiert wird.

(ID:48257488)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung