Die IT-Landschaft wird immer komplexer und die Herausforderungen werden aufgrund von Cyber-Security-Gesetzgebungsverfahren der EU wie der NIS-2 und dem Cyber Resilience Act (CRA) immer schwerer zu managen. Die Anforderungen von Unternehmen an Sicherheit verändern sich rasant. Daher ist es umso wichtiger, in regelmäßigen Abständen den Schutz der IT-Produkte und Systeme zu überprüfen und diesen auch nachweisen zu können.
TÜVIT bietet mit der Sicherheitstechnischen Qualifizierung (SQ) ein standardisiertes und flexibles Zertifizierungsverfahren, das eine ganzheitliche Betrachtung entsprechend den Cyber-Security-Anforderungen der EU von Produkten und vernetzten Systemlösungen ermöglicht.
Standardisiertes Zertifizierungsverfahren
Zur Prüfung und Zertifizierung von komplexen IT-Systemen und IT-Produkten hat TÜVIT das Verfahren zur Sicherheitstechnischen Qualifizierung (SQ) entwickelt. Sämtliche verfügbaren Best-Practice-Prüfverfahren aus unserer langjährigen Erfahrung sind in dieses Verfahren eingeflossen. Die SQ wurde als standardisiertes Verfahren in das Trusted-Zertifizierungsprogramm der TÜVIT aufgenommen als
- Trusted Site Security (TSS) für IT-Systeme und
- Trusted Product Security (TPS) für IT-Produkte.
Das SQ-Zertifizierungsverfahren bietet eine wesentlich höhere Flexibilität als das reine Abarbeiten von Checklisten. Dadurch kann es vom relativ einfachen Einzelprodukt bis hin zu hochkomplex vernetzten Systemen für sehr unterschiedliche Anwendungsfälle verwendet werden.
Die Bandbreite erstreckt sich dabei technologieübergreifend von einfachen Softwarekomponenten über Appliance-Lösungen oder Webanwendungen bis hin zu verteilten Systemen.
Prüfkriterien
Zur Ermittlung der sicherheitstechnischen Eigenschaften von IT-Systemen und -Produkten hat TÜVIT Prüfkriterien entwickelt, die in angemessener Art und Weise auf das zu zertifizierende System oder Produkt zugeschnitten werden.
Prüfkriterien für IT-Systeme
- technische Sicherheitsanforderungen
- Architektur und Design
- Installation und Betrieb
- Schwachstellenanalysen und Penetrationstests
- Änderungsmanagement
Prüfkriterien für IT-Produkte
- technische Sicherheitsanforderungen
- Architektur und Design
- Entwicklungsprozess
- Installation und Betrieb
- Betriebsvorgaben
- Schwachstellenanalysen und Penetrationstests
- Änderungsmanagement
Unsere Leistungen im Überblick
- In einem Kick-Off-Workshop wird der Zertifizierungsgegenstand definiert. Darüber hinaus werden die technischen Sicherheitsanforderungen in Zusammenarbeit mit unseren IT-Sicherheitsexperten festgelegt und im Nachgang seitens der Zertifizierungsstelle freigegeben. Die technischen Sicherheitsanforderungen bilden die Grundlage für den Prüfplan und werden nach Abschluss des Zertifizierungsverfahrens seitens TÜVIT mit dem Zertifikat bestätigt.
- Die technischen Sicherheitsanforderungen werden in Abhängigkeit des ausgewählten Security Assurance Levels (SEAL) im Rahmen von Penetrationstests und Schwachstellenanalysen geprüft.
- Die Testergebnisse werden in einer Risikoanalyse bewertet und in einem aussagekräftigen Prüfbericht dokumentiert.
- Zertifikatserteilung bei Erfüllung aller technischen Sicherheitsanforderungen und SQ-Prüfkriterien sowie auf Wunsch die Veröffentlichung des Prüfzeichens auf der TÜVIT-Webseite.
Ihre Vorteile auf einen Blick
- Risikominimierung und Kosteneffizienz durch regelmäßige Prüfung zur Schwachstellenbeseitigung
- Vertrauensbildung und Wettbewerbsvorteil: mit einem Zertifikat von TÜVIT bescheinigen Sie gegenüber Kunden und Partnern das hohe Sicherheitsniveau und die Qualität Ihrer Produkte und Systeme
- Vertrauensbeweis gegenüber internen Auditoren und externen Aufsichtsbehörden
- 4-Augen-Prinzip, da unsere Prüfberichte von der Zertifizierungsstelle abgenommen werden
