Common Criteria
Common Criteria for Information Technology Security Evaluation (zkráceně Common Criteria nebo CC) je mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti. Aktuálně je ve verzi 3.1.
Common Criteria je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů, a testovací laboratoře mohou vyhodnocovat produkty. Jinak řečeno, Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem.
Klíčové koncepty
Hodnocení Common Criteria jsou prováděna na produktech a systémech počítačové bezpečnosti.
- Cíl hodnocení – Target Of Evaluation (TOE) – produkt nebo systém, který je předmětem hodnocení.
- Ochranný profil – Protection Profile (PP) – dokument, typicky vytvořený uživatelem nebo uživatelskou komunitou, který identifikuje bezpečnostní požadavky pro třídu bezpečnostních zařízení (například čipové karty nebo síťové firewally) příslušný danému uživateli ke konkrétnímu účelu.
- Bezpečnostní cíl – Security Target (ST) – je dokument, který identifikuje bezpečnostní vlastnosti cíle hodnocení. Může se vztahovat na jeden nebo více PP.
- Bezpečnostní funkční požadavky – Security Functional Requirements (SFRs) – specifikuje individuálně bezpečnostní funkce, které mohou produkty poskytovat. Common Criteria poskytuje katalog těchto funkcí. Například může SFR uvádět, jak by uživatel zastupující konkrétní roli měl být autentizován.
- Bezpečnostní jistící požadavky – Security Assurance Requirements (SARs) – popisuje měření získané během vyvíjení a hodnocení produktu k zajištění souladu s prohlášením bezpečnostní funkcionality. Například hodnocení může požadovat, aby všechny zdrojové kódy byly zdrženy v organizačním systému.
- Evaluation Assurance Level (EAL) – číselné hodnocení popisující hloubku hodnocení. Každý EAL odpovídá balíčku SAR, který pokrývá kompletní vývoj produktu s danou úrovní striktnosti. Common Criteria sestavilo sedm úrovní, počínaje nejzákladnější EAL 1 (a tudíž nejlevnější na implementaci a hodnocení), končí nejpřísnější EAL 7 (a zároveň nejdražší).
Historie
Common Criteria vzniklo ze tří standardů:
- ITSEC – Evropský standard, vyvíjený začátkem roku 1990 Francií, Německem, Nizozemskem a Velkou Británií.
- CTCPEC – Kanadský standard následovaný US standardem DoD, ale vyvaroval se spoustě problémům a byl používán společně kritiky nejen z USA a Kanady. CTCPEC standard byl poprvé uveden v květnu 1993.
- TCSEC
CC vyvolalo sjednocení těchto dříve existujících standardů, převážně takové společnosti, které prodávají počítačové produkty pro vládní trh by je potřebovaly mít ohodnocené proti jedné sadě standardů. CC bylo vyvíjeno vládami států Kanady, Francie, Německa, Nizozemska, Velké Británie a USA.
Testovací organizace
Všechny testovací laboratoře musí vyhovět ISO 17025 a certifikační části budou obvykle schvalovány přes ISO/IEC Guide 65 nebo BS EN 45011. Dodržování ISO 17025 je typicky dokládáno Národní schvalovací autoritě:
- v Kanadě akredituje Standards Council of Canada (SCC) jednotlivá Common Criteria Evaluation Facilities
- ve Francii comité français d’accréditation (COFRAC) akredituje jednotlivá Common Criteria evaluation facilities, běžně nazýváno jako Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI)
- ve Velké Británii akredituje United Kingdom Accreditation Service (UKAS) jednotlivé Commercial Evaluation Facilities (CLEF)
- v Spojených státech amerických akredituje Národní institut standardů a technologie (NIST) v rámci programu National Voluntary Laboratory Accreditation Program (NVLAP) jednotlivé Common Criteria Testing Laboratories (CCTL)
- v Německu certifikuje Spolkový úřad pro bezpečnost informační techniky (BSI)
Vzájemně uznané dohody
Stejně jako je Common Criteria standard, tak máme také členskou úroveň Common Criteria MRA (Mutual Recognition Arrangement) neboli Vzájemně uznané dohody, pomocí nichž všechny části uznávají ohodnocení od standardu Common Criteria udělaných jinými částmi. Původně podepsáno v roce 1998 Kanadou, Francií, Německem, Spojeným královstvím Velké Británie a Spojenými státy, Austrálie a Nový Zéland se připojili v roce 1999, následovalo je Finsko, Řecko, Israel, Itálie, Nizozemsko, Norsko a Španělsko v roce 2000. Dohoda má být přejmenována na Common Criteria Recognition Arrangement (CCRA) a členství se nadále bude rozšiřovat.
Seznam zkratek
- CC: Common Criteria
- EAL: Evaluation Assurance Level
- IT: Information Technology
- PP: Protection Profile
- SF: Security Function
- SFP: Security Function Policy
- SOF: Strength of Function
- ST: Security Target
- TOE: Target of Evaluation
- TSP: TOE Security Policy
- TSF: TOE Security Functions
- TSC: TSF Scope of Control
- TSFI: TSF Interface
Reference
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
V tomto článku byl použit překlad textu z článku Common Criteria na anglické Wikipedii.
- "The Common Criteria". www.commoncriteriaportal.org [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-11-03.
- "Common Criteria Schemes Around the World". www.yourcreativesolutions.nl [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném z originálu dne 2020-09-27.
- Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Archivováno 29. 8. 2008 na Wayback Machine Government Computer News, retrieved 2007-12-14
- Free-Libre / Open Source Software (FLOSS) and Software Assurance. www.dwheeler.com [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-10-11.
- Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
- Beznosov, Konstantin and Kruchten, Philippe, Towards Agile Security Assurance Archivováno 19. 8. 2011 na Wayback Machine, retrieved 2007-12-14
- "Common Criteria Reforms: Better Security Products Through Increased Cooperation with Industry". www.niap-ccevs.org [online]. [cit. 19-10-2011]. Dostupné v archivu pořízeném dne 17-04-2012.
- "Common Criteria "Reforms"—Sink or Swim-- How should Industry Handle the Revolution Brewing with Common Criteria?". community.ca.com [online]. [cit. 2011-10-19]. Dostupné v archivu pořízeném dne 2011-10-02.
Externí odkazy
- The official website of the Common Criteria Project
- The Common Criteria standard documents
- Compliance evaluation in the United States
- List of Common Criteria evaluated products
- Towards Agile Security Assurance
- You may download ISO/IEC 15408 for free because it is a publicly available standard.
- Corsec
- Common Criteria Vendors Forum
- Additional Common Criteria Information on Google Knol