Projekt 282 – Basis IT Sicherheits-Zertifizierung

Bundesamt für Sicherheit in der Informationstechnik

Ziel ist die Erprobung von Anforderungen und Vorgehensweisen (Pilotprojekt) zum Test eines „leichtgewichtigen“ und verkürzten IT-Sicherheits-Zertifizierungsverfahren, angelehnt an die französischen Basiszertifizierung (Certification Sécuritaire de Premier Niveau (CSPN)). Die Ausschreibung richtet sich bewusst an Prüflabore und Organisationen (Auftragnehmer (AN)) mit unterschiedlichen Expertisen aus dem Bereichen IT-Security und PEN-Testing. Der Aufgabenfokus liegt dabei auf der Analyse der auch bei potentiellen Hackern vorhandenen Informationen (Produkt, Firmware, Protokolle, Handbuch, Schwachstellendatenbanken etc) und fundierten Black- und Greybox-Test auf Basis entsprechender Tools (z. B. Kali-Linux). Als Prüfobjekt wird jedem AN ein Router mit Firewallfunktionalität bereitgestellt, wobei für die konkreten Tests die logischen Schnittstellen im Fokus stehen. Zunächst ist Erstellung der Beschreibung der Sicherheitseigenschaften (ST) und zu schützenden Assets des Prüfobjekts (TOE) erforderlich „gegen“ die im Anschluss getestet wird. Neben der eigentlichen Prüfung des Gerätes durch drei unterschiedliche AN (Lose) ist vorgesehen, die Testdurchführung (Evaluierung) laufend durch die beteiligten AN zu dokumentieren. Final ist eine Abschlussbericht in Form eines Evaluation Technical Report zu erstellen, der im Detail die Konformität zu den Sicherheitseigenschaften beschreibt, das konkrete Vorgehen bei der Analyse nach dem Stand der Technik darlegt sowie nachvollziehbar die durchgeführten und begründeten Black- und Greybox-Tests inklusive den gefundenen Schwachstellen dokumentiert. Im Laufe des Projekts sind zudem Vorgehens- und Umsetzungsempfehlungen für die Implementierung einer entsprechenden Basis IT Sicherheits-Zertifizierung aus Sicht der beteiligten AN zu erarbeiten. Alle (Zwischen-)Ergebnisse werden durch verschiedene BSI-interne Organisationseinheiten bewertet und in insbesondere gegen den Stand der Technik und eigene Kenntnisse abgeglichen.

Deadline
Die Frist für den Eingang der Angebote war 2016-09-29. Die Ausschreibung wurde veröffentlicht am 2016-08-05.

Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Wer?

Wie?

Wo?

Geschichte der Beschaffung
Datum Dokument
2016-08-05 Auftragsbekanntmachung
2016-12-09 Bekanntmachung über vergebene Aufträge