O.Auth 2: Unterschied zwischen den Versionen

Aktuelle Version vom 27. Juli 2024, 10:28 Uhr

Beschreibung

Die Web-Anwendung MUSS für die Anbindung an das Hintergrundsystem eine geeignete Authentifizierung und Autorisierung unterstützen. Die effektive Durchsetzung dieser Mechanismen MUSS im Falle der Web-Anwendung ausschließlich im Hintergrundsystem erfolgen. Insbesondere stellt der Autorisierungsmechanismus sicher, dass der authentifizierte Benutzer autorisiert ist auf die sensiblen Daten zuzugreifen.

Kurzfassung

Getrennte Realisierung von Authentifizierungsmechanismen und Autorisierungsfunktionen.

Anmerkungen

Prüftiefe

Bezeichnung	Mindestanforderungen an die Prüfung
EXAMINE	Der Evaluator untersucht (englisch „examine“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die betreffende Testcharakteristik. Der Evaluator MUSS in seiner Prüfung über die Mindestanforderungen für „CHECK“ hinausgehen: In der Regel wird dies durch umfassende Quelltextanalyse der relevanten Implementierungsanteile und Penetrationstests geschehen. Die Unterstützung durch den Hersteller kann genutzt werden. „EXAMINE“ erfordert in jedem Fall eine eigenständige Beurteilung durch den Evaluator.

Der Evaluator prüft, ob fest einprogrammierte geheime, bzw. private Schlüssel eingesetzt werden.

Lösungsansätze

@@ Zeile 1: / Zeile 1: @@
 == Beschreibung ==
+[[Beschreibung::
 Die Web-Anwendung MUSS für die Anbindung an das Hintergrundsystem eine geeignete Authentifizierung und Autorisierung unterstützen. Die effektive Durchsetzung dieser Mechanismen MUSS im Falle der Web-Anwendung ausschließlich im Hintergrundsystem erfolgen. Insbesondere stellt der Autorisierungsmechanismus sicher, dass der authentifizierte Benutzer autorisiert ist auf die sensiblen Daten zuzugreifen.
+]]
 == Kurzfassung ==
+[[Kurzfassung::
 Getrennte Realisierung von Authentifizierungsmechanismen und Autorisierungsfunktionen.
+]]
 == Anmerkungen ==
 ==== Prüftiefe ====
-<br />
+{|class="wikitable" style="width:50%; border: 1px solid black;"
-:: '''
+|-
-EXAMINE
+! style="background-color: #f2f2f2;" | Bezeichnung
-'''
+! style="background-color: #f2f2f2;" | Mindestanforderungen an die Prüfung
+|-
+| [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161-2.pdf?__blob=publicationFile&v=10#%5B%7B%22num%22%3A65%2C%22gen%22%3A0%7D%2C%7B%22name%22%3A%22XYZ%22%7D%2C54%2C725%2C0%5D EXAMINE]
+| Der Evaluator untersucht (englisch „examine“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die betreffende Testcharakteristik. Der Evaluator [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161-2.pdf?__blob=publicationFile&v=10#%5B%7B%22num%22%3A15%2C%22gen%22%3A0%7D%2C%7B%22name%22%3A%22XYZ%22%7D%2C54%2C243%2C0%5D MUSS] in seiner Prüfung über die Mindestanforderungen für „[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161-2.pdf?__blob=publicationFile&v=10#%5B%7B%22num%22%3A65%2C%22gen%22%3A0%7D%2C%7B%22name%22%3A%22XYZ%22%7D%2C54%2C725%2C0%5D CHECK]“ hinausgehen: In der Regel wird dies durch umfassende Quelltextanalyse der relevanten Implementierungsanteile und Penetrationstests geschehen. Die Unterstützung durch den Hersteller kann genutzt werden. „EXAMINE“ erfordert in jedem Fall eine eigenständige Beurteilung durch den Evaluator.
+|}
 <br />
-Der Evaluator prüft und bewertet die getroffenen Maßnahmen zur Trennung von Autorisierungs- und Authentifizierungsmechanismen. Sollte keine Trennung der Mechanismen vorgenommen sein oder die getroffenen Maßnahmen nicht ausschließlich vom Hintergrundsystem durchgesetzt werden, sind die Abwägungen des Herstellers zu prüfen und in der Risikobewertung zu berücksichtigen.
+[[Anmerkungen::
+Der Evaluator prüft, ob fest einprogrammierte geheime, bzw. private Schlüssel eingesetzt werden.
+]]
 == Lösungsansätze ==
+[[Category:EXAMINE]]
+[[Category:Auth]]