RELIANOID ISO/IEC 15408 (Common Criteria)-naleving

Laatst beoordeeld: September 2025
Volgende beoordelingsdatum: September 2026

ISO/IEC 15408-conformiteitsverklaring

Common Criteria Security Alignment voor RELIANOID Load Balancer en Organisatie

RELIANOID is afgestemd op de principes van ISO / IEC 15408: 2022, Ook bekend als Gemeenschappelijke criteria voor de evaluatie van informatietechnologiebeveiliging (CC)Deze internationaal erkende norm maakt een gestructureerde evaluatie van de beveiligingseigenschappen van IT-producten mogelijk en is vaak vereist bij de aanschaf van overheidsproducten en kritieke infrastructuur.

Terwijl RELIANOID heeft geen formele certificering ondergaan volgens de Common Criteria, onze organisatorische controles en architectuur van het load balancing-platform zijn sterk verbonden met de Principes van het Common Criteria Evaluation Assurance Level (EAL), met name in de context van cloud- en on-prem-implementaties in omgevingen met een hoge mate van zekerheid.

Wat is ISO / IEC 15408?

ISO/IEC 15408 biedt een raamwerk voor het evalueren van de beveiliging van IT-producten door middel van:

  • Beveiligingsfunctionele vereisten (SFR's) – de kenmerken en beschermingen die een product biedt
  • Beveiligingsgarantievereisten (SAR's) – het bewijs en de processen die aantonen hoe deze functies veilig worden geïmplementeerd

Het wordt op grote schaal overgenomen door nationale cybersecurityagentschappen en gereguleerde sectoren zoals defensie, energie, financiën en overheidsaanbestedingen.

Productomvang en evaluatiedoel (TOE)

Het TOE omvat alles RELIANOID Bedrijfscomponenten:

  • Componenten: Hardwareapparaten, softwareplatforms en beheerinterfaces (web-UI, CLI, API).
  • LTS-levenscyclus: Alle Enterprise-versies zijn Long-Term Support. Huidige hoofdversie: v8 (ondersteund tot Juni 2029).
  • Besturingssysteem: Debian Boekenwurm.
  • Implementatiemodellen: Voornamelijk on-premises; ook ondersteund in cloud- en hybride omgevingen.
  • Topologieën: Standalone, geclusterd en dual-mode met Disaster Recovery (DR).

Organisatorische afstemming op gemeenschappelijke criteria

RELIANOID volgt de belangrijkste borgings- en levenscyclusprincipes van ISO/IEC 15408 in al onze interne ontwikkelings-, implementatie- en operationele praktijken.

Beveiligingsdoel en dreigingsmodel

Wij onderhouden een interne Beveiligingsdoeldocument afgestemd op de Common Criteria-structuur, waarin het volgende is gedefinieerd:

  • Beveiligde activa (bijv. netwerkverkeer, configuraties, referenties)
  • Aangepakte bedreigingen (bijvoorbeeld privilege-escalatie, man-in-the-middle, ongeautoriseerde toegang)
  • Veronderstellingen en omgevingsfactoren (bijv. veilige netwerkplaatsing)

Ontwerp- en ontwikkelingsbeheersmaatregelen

Onze Secure Software Development Lifecycle (SSDLC) omvat:

  • Dagelijkse geautomatiseerde beveiligingstests (SAST, DAST)
  • Kwetsbaarheidsscans van bibliotheken van derden
  • Formele wijzigingscontrole en versiebeheer van releasedocumentatie
  • Codeondertekening en vrijgave-integriteitscontroles

Toewijzing van functionele beveiligingsvereisten (SFR)

RELIANOID Load Balancer implementeert een breed scala aan SFR-equivalente besturingselementen, waaronder:

  • Identificatie en authenticatie (FIA): Gebruikers authenticeren via wachtwoorden, sleutelparen of SSO. API-toegang is per gebruiker met gegenereerde tokens; alle interfaces ondersteunen veilige authenticatiestromen.
  • Toegangscontrole (AC/FMT/FDP): Rolgebaseerde toegangscontrole wordt afgedwongen voor alle componenten en interfaces (web, CLI, API), inclusief objectspecifieke besturingselementen voor load balancing-services.
  • Audit en verantwoording (FAU): Audit- en systeemlogboeken worden standaard 7 dagen bewaard en kunnen worden geëxporteerd of geïntegreerd met SIEM-platforms.
  • Cryptografische ondersteuning (FCS): Robuuste cryptografie met hoge sleutellengtes. Standaard TLS v1.2 of hoger (bij voorkeur TLS v1.3). Verouderde protocollen/cijfers zijn standaard uitgeschakeld en kunnen indien nodig handmatig worden ingeschakeld. Optionele FIPS 140-gevalideerde modules.
  • Gebruikersgegevensbescherming (FDP): Gebruikersgegevens worden alleen opgeslagen wanneer dat nodig is en zijn altijd versleuteld (bijvoorbeeld gebruikersnamen en wachtwoorden).
  • Beveiligingsmanagement (FMT): De rootgebruiker fungeert als primair beheerdersaccount. Extra gebruikers, groepen en rechten kunnen worden geconfigureerd via de RBAC-module.
  • Bescherming van TOE-beveiligingsfuncties (FPT): Secure Boot, ondertekende kernelmodules en GPG-beveiligde repositorytoegang zijn geïmplementeerd.
  • Communicatiebeveiliging (FTP/FTA): Alle communicatie is gecodeerd; sessiebeheer omvat controles voor het verlopen van sessies en herauthenticatie.

Uitlijning van de Security Assurance Requirements (SAR)

  • Ontwerp en documentatie: Interne documentatie (modules, architectuurdiagrammen) is beschikbaar in onze kennis center.
  • Codebeoordelingen en scannen: Geautomatiseerde en door AI ondersteunde codescanning met handmatige beoordelingen door collega's.
  • Kwetsbaarheidsbeheer: Wekelijkse kwetsbaarheidsscans, kwartaalrapporten en CVE-getrackte patchreleases worden gepubliceerd in onze tijdlijn.
  • Onafhankelijk testen: Externe pentests en scans op applicatie-, netwerk- en infrastructuurniveau.
  • Formele tests: Dagelijkse geautomatiseerde beveiligingstests met uitgebreide dekking bij elke releasecyclus.

Ontwikkelings- en onderhoudsprocessen

  • SSDLC: Vereisten → Ontwerp → Implementatie → Testen → Validatie → Continue verbetering. Beheerd met Git, Gitea en interne automatiseringstools.
  • Wijzigings- en configuratiebeheer: Goedkeuringsworkflows, terugdraaiprocedures en documentatie van wijzigingen die in verschillende omgevingen zijn toegepast.
  • Releasebeheer: Updates worden verpakt, getest en veilig gedistribueerd. Pre-productievalidatie wordt uitgevoerd voordat ze naar productierepositories worden gepromoveerd.

Operationele beveiliging

  • Incident Response: Gedefinieerde escalatie- en oplossingsprocedures met een gemiddelde reactietijd van ongeveer 2 minuten.
  • Monitoring: Realtime statistieken met geïntegreerde systemen voor inbraakdetectie en -preventie. Bedreigingsinformatie wordt gedeeld met community- en industrieplatformen.
  • Back-up en DR: Wekelijkse gecodeerde back-ups met maandelijkse hersteltests.

Gebruik in gereguleerde en gecertificeerde omgevingen

Hoewel niet formeel gecertificeerd, RELIANOID ondersteunt:

  • Integratie in door Common Criteria geëvalueerde systemen
  • Evaluaties van klantinkoop in EAL-gerichte omgevingen
  • Gestructureerde documentatie afgestemd op nationale schema's (bijv. CCN-STIC, NIAP, BSI TR)

Verzekeringsmaatregelen en bewijs

Ter ondersteuning van de op de Common Criteria afgestemde assurance-doelstellingen bieden wij:

  • Release notes met gedetailleerde changelogs
  • Documentatie voor op bedreigingen gericht beveiligingsontwerp
  • Gearchiveerde kwetsbaarheidsscans en patchrapporten
  • Handleidingen voor veilige implementatie en controlelijsten voor verharding

Afstemming van de organisatie

  • Beveiligingsbeheer: Het beveiligingscomplianceteam onder leiding van de CEO, CTO en COO zorgt voor veilige ontwikkeling, processen en naleving.
  • Veiligheidstraining voor werknemers: Kwartaaltrainingen en voortdurend bewustzijn van bedreigingen voor de sector.
  • Interne beveiligingsaudits: Kwartaalaudits met tracering van herstelmaatregelen. Rapporten zijn openbaar beschikbaar.
  • beleid: Gepubliceerde beleidsregels met betrekking tot privacy, incidentrespons, bedrijfscontinuïteit, wereldwijde gegevenssegregatie, risico's van derden, toegangscontrole, acceptabel gebruik en gegevensverwerking.

Ondersteunend bewijsmateriaal

  • Laatste RELIANOID Beveiligingsrapport: Bevestigd als de meest recente versie.
  • Kennis basis: Bijgewerkte whitepapers, datasheets en architectuurdiagrammen: kennis center.
  • Klantgarantieverklaringen: Gepubliceerde verklaringen voor gereguleerde sectoren, afgestemd op de veranderende regelgeving op het gebied van cyberbeveiliging.

Toewijding aan de Common Criteria-principes

RELIANOID is toegewijd aan:

  • Het afstemmen van de ontwikkeling van nieuwe functies op de Common Criteria-ontwerpmethodologie
  • Ondersteuning van door de klant geleide evaluatie-inspanningen
  • Het onderhouden van een dreigingsbewuste, veilige ontwikkelomgeving
  • Zorgen voor transparantie en integriteit gedurende de hele productlevenscyclus

Documentrecensies

DatumOpmerking
10th July 2025Eerste publicatie van de ISO/IEC 15408-nalevingsafstemming
2nd september 2025Uitgebreide TOE-scope, bijgewerkte SFR-mapping, SAR-uitlijning, SSDLC- en Ops-details, organisatorisch bestuur en ondersteunend bewijs

Contact en Verzekering

Wij stellen uw verzoek op prijs voor technische evaluatiematerialen, samenvattingen van beveiligingsdoelen of ondersteuning voor Common Criteria-inkoopprojecten.

Neem contact op met ons Compliance & Security Team

Download het nieuwste beveiligingsrapport