Der Umgang mit Schwachstellen und Offenlegungsprozesse des EUCC-Schemas basieren auf den Standards ISO/IEC 30111 und ISO/IEC 29417. Da diese Standards jedoch keine Gewähr dafür bieten können, ob die entwickelte und bereitgestellte Behebung keine neuen Schwachstellen einführt und keine Aufgaben für eine externe Bewertungsstelle und ihre Methodik definiert, fügt das EUCC-Schema eine Patch-Management-Methode hinzu, um dies abzudecken diese Lücken.
Patch-Management-Prozess
Der Patch-Management-Ansatz des EUCC-Schemas beginnt mit der Entdeckung einer zuvor unentdeckten Cybersicherheitslücke im Zusammenhang mit dem zertifizierten IKT-Produkt. Ein Produkt kann einen Patch-Management-Mechanismus enthalten, der im Rahmen seiner Zertifizierung bewertet wird, und es kann auf den Bedingungen basieren, die im Patch-Management ISO SC27 WG3 Technical Report definiert sind
„Extension for Patch Management for ISO 15408 and ISO 18045“ oder auf dem ISCI WG1 Proposal for new Security Assurance Requirements (SAR) components and Packages in CC for Patch Management.
Unter Anwendung eines der oben genannten Punkte wird der Hersteller oder Anbieter des IKT-Produkts während der Erstzertifizierung die Patch-Prozesse gemäß den Inhalts- und Präsentationsanforderungen des akzeptierten Patch-Management-Prozesses detailliert beschreiben, die Grenzen des Target of Evaluation (TOE) definieren, wenn die Sicherheitsarchitektur ( ADV_ARC) enthalten ist und wo nicht, und schließlich detaillierte Patching-Mechanismen unter Verwendung der relevanten Arbeitseinheiten des ausgewählten aufgelisteten Ansatzes.
Während der Remediation-Entwicklungsphase der Schwachstellenbehandlung wird das akzeptable Patch-Level (Level 1, 2 oder 3 mit potenziell kritischem Update-Fluss) unter den folgenden Bedingungen definiert:
- Patch Level 1 ist anzuwenden, wenn der EVG Teil eines größeren IKT-Produkts ist und Produktteile, die den EVG nicht betreffen, bei Bedarf gepatcht werden können.
- Für geringfügige Änderungen ist Patch Level 2 anzuwenden.
- Patch Level 3 besteht aus der Anwendung der bereits bestehenden Bestimmungen, wie sie von Assurance Continuity definiert sind, für eine wesentliche Änderung.
- Der Critical Update Flow -Prozess ist ein zusätzlicher Patch-Level, der für Änderungen angewendet wird, bei denen ein Angriff bereits ausgenutzt werden kann oder bei denen das Update kritisch ist und dringend veröffentlicht werden muss.
Wenn Sie mehr über das EUCC-Schema und den Patch-Management-Mechanismus erfahren möchten, wenden Sie sich an spezialisierte Experten .