Common Criteria

Common Criteria for Information Technology Security Evaluation (zkráceně Common Criteria nebo CC) je mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti. Aktuálně je ve verzi 3.1.

Common Criteria je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů, a testovací laboratoře mohou vyhodnocovat produkty. Jinak řečeno, Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem.

Klíčové koncepty

Hodnocení Common Criteria jsou prováděna na produktech a systémech počítačové bezpečnosti.

Cíl hodnocení – Target Of Evaluation (TOE) – produkt nebo systém, který je předmětem hodnocení.
Ochranný profil – Protection Profile (PP) – dokument, typicky vytvořený uživatelem nebo uživatelskou komunitou, který identifikuje bezpečnostní požadavky pro třídu bezpečnostních zařízení (například čipové karty nebo síťové firewally) příslušný danému uživateli ke konkrétnímu účelu.
Bezpečnostní cíl – Security Target (ST) – je dokument, který identifikuje bezpečnostní vlastnosti cíle hodnocení. Může se vztahovat na jeden nebo více PP.
Bezpečnostní funkční požadavky – Security Functional Requirements (SFRs) – specifikuje individuálně bezpečnostní funkce, které mohou produkty poskytovat. Common Criteria poskytuje katalog těchto funkcí. Například může SFR uvádět, jak by uživatel zastupující konkrétní roli měl být autentizován.
Bezpečnostní jistící požadavky – Security Assurance Requirements (SARs) – popisuje měření získané během vyvíjení a hodnocení produktu k zajištění souladu s prohlášením bezpečnostní funkcionality. Například hodnocení může požadovat, aby všechny zdrojové kódy byly zdrženy v organizačním systému.
Evaluation Assurance Level (EAL) – číselné hodnocení popisující hloubku hodnocení. Každý EAL odpovídá balíčku SAR, který pokrývá kompletní vývoj produktu s danou úrovní striktnosti. Common Criteria sestavilo sedm úrovní, počínaje nejzákladnější EAL 1 (a tudíž nejlevnější na implementaci a hodnocení), končí nejpřísnější EAL 7 (a zároveň nejdražší).

Historie

Common Criteria vzniklo ze tří standardů:

ITSEC – Evropský standard, vyvíjený začátkem roku 1990 Francií, Německem, Nizozemskem a Velkou Británií.
CTCPEC – Kanadský standard následovaný US standardem DoD, vyvaroval se spoustě problémů a byl používán společně kritiky nejen z USA a Kanady. CTCPEC standard byl poprvé uveden v květnu 1993.
TCSEC

CC vyvolalo sjednocení těchto dříve existujících standardů, převážně takové společnosti, které prodávají počítačové produkty pro vládní trh by je potřebovaly mít ohodnocené proti jedné sadě standardů. CC bylo vyvíjeno vládami států Kanady, Francie, Německa, Nizozemska, Velké Británie a USA.

Testovací organizace

Všechny testovací laboratoře musí vyhovět ISO 17025 a certifikační části budou obvykle schvalovány přes ISO/IEC Guide 65 nebo BS EN 45011. Dodržování ISO 17025 je typicky dokládáno Národní schvalovací autoritě:

v Kanadě akredituje Standards Council of Canada (SCC) jednotlivá Common Criteria Evaluation Facilities
ve Francii comité français d’accréditation (COFRAC) akredituje jednotlivá Common Criteria evaluation facilities, běžně nazýváno jako Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI)
ve Velké Británii akredituje United Kingdom Accreditation Service (UKAS) jednotlivé Commercial Evaluation Facilities (CLEF)
v Spojených státech amerických akredituje Národní institut standardů a technologie (NIST) v rámci programu National Voluntary Laboratory Accreditation Program (NVLAP) jednotlivé Common Criteria Testing Laboratories (CCTL)
v Německu certifikuje Spolkový úřad pro bezpečnost informační techniky (BSI)

Vzájemně uznané dohody

Stejně jako je Common Criteria standard, tak máme také členskou úroveň Common Criteria MRA (Mutual Recognition Arrangement) neboli Vzájemně uznané dohody, pomocí nichž všechny části uznávají ohodnocení od standardu Common Criteria udělaných jinými částmi. Původně podepsáno v roce 1998 Kanadou, Francií, Německem, Spojeným královstvím Velké Británie a Spojenými státy, Austrálie a Nový Zéland se připojili v roce 1999, následovalo je Finsko, Řecko, Israel, Itálie, Nizozemsko, Norsko a Španělsko v roce 2000. Dohoda má být přejmenována na Common Criteria Recognition Arrangement (CCRA) a členství se nadále bude rozšiřovat.

Seznam zkratek

CC: Common Criteria
EAL: Evaluation Assurance Level
IT: Information Technology
PP: Protection Profile
SF: Security Function
SFP: Security Function Policy
SOF: Strength of Function
ST: Security Target
TOE: Target of Evaluation
TSP: TOE Security Policy
TSF: TOE Security Functions
TSC: TSF Scope of Control
TSFI: TSF Interface

Reference

^[1] ^[2] ^[3] ^[4] ^[5] ^[6] ^[7] ^[8]
V tomto článku byl použit překlad textu z článku Common Criteria na anglické Wikipedii.

↑ "The Common Criteria". www.commoncriteriaportal.org [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-11-03.
↑ "Common Criteria Schemes Around the World". www.yourcreativesolutions.nl [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném z originálu dne 2020-09-27.
↑ Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Archivováno 29. 8. 2008 na Wayback Machine. Government Computer News, retrieved 2007-12-14
↑ Free-Libre / Open Source Software (FLOSS) and Software Assurance. www.dwheeler.com [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-10-11.
↑ Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
↑ Beznosov, Konstantin and Kruchten, Philippe, Towards Agile Security Assurance Archivováno 19. 8. 2011 na Wayback Machine., retrieved 2007-12-14
↑ "Common Criteria Reforms: Better Security Products Through Increased Cooperation with Industry". www.niap-ccevs.org [online]. [cit. 19-10-2011]. Dostupné v archivu pořízeném dne 17-04-2012.
↑ "Common Criteria "Reforms"—Sink or Swim-- How should Industry Handle the Revolution Brewing with Common Criteria?". community.ca.com [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-10-02.

Externí odkazy

The official website of the Common Criteria Project
The Common Criteria standard documents
Compliance evaluation in the United States
List of Common Criteria evaluated products
Towards Agile Security Assurance
You may download ISO/IEC 15408 for free because it is a publicly available standard.
Corsec
Common Criteria Vendors Forum
Additional Common Criteria Information on Google Knol

[1] "The Common Criteria". www.commoncriteriaportal.org [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-11-03.

[2] "Common Criteria Schemes Around the World". www.yourcreativesolutions.nl [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném z originálu dne 2020-09-27.

[3] Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Archivováno 29. 8. 2008 na Wayback Machine. Government Computer News, retrieved 2007-12-14

[4] Free-Libre / Open Source Software (FLOSS) and Software Assurance. www.dwheeler.com [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-10-11.

[5] Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?

[6] Beznosov, Konstantin and Kruchten, Philippe, Towards Agile Security Assurance Archivováno 19. 8. 2011 na Wayback Machine., retrieved 2007-12-14

[7] "Common Criteria Reforms: Better Security Products Through Increased Cooperation with Industry". www.niap-ccevs.org [online]. [cit. 19-10-2011]. Dostupné v archivu pořízeném dne 17-04-2012.

[8] "Common Criteria "Reforms"—Sink or Swim-- How should Industry Handle the Revolution Brewing with Common Criteria?". community.ca.com [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-10-02.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Navigation

Navigace

Tématické portály