Common Criteria

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Common Criteria for Information Technology Security Evaluation (zkráceně Common Criteria nebo CC) je mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti. Aktuálně je ve verzi 3.1.

Common Criteria je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů, a testovací laboratoře mohou vyhodnocovat produkty. Jinak řečeno, Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem.

Klíčové koncepty[editovat | editovat zdroj]

Hodnocení Common Criteria jsou prováděna na produktech a systémech počítačové bezpečnosti.

  • Cíl hodnocení - Target Of Evaluation (TOE) - produkt nebo systém, který je předmětem hodnocení.
  • Ochranný profil - Protection Profile (PP) - dokument, typicky vytvořený uživatelem nebo uživatelskou komunitou, který identifikuje bezpečnostní požadavky pro třídu bezpečnostních zařízení (například čipové karty nebo síťové firewally) příslušný danému uživateli ke konkrétnímu účelu.
  • Bezpečnostní cíl - Security Target (ST) - je dokument, který identifikuje bezpečnostní vlastnosti cíle hodnocení. Může se vztahovat na jeden nebo více PP.
  • Bezpečnostní funkční požadavky - Security Functional Requirements (SFRs) - specifikuje individuálně bezpečnostní funkce, které mohou produkty poskytovat. Common Criteria poskytuje katalog těchto funkcí. Například může SFR uvádět, jak by uživatel zastupující konkrétní roli měl být autentifikován.
  • Bezpečnostní jistící požadavky - Security Assurance Requirements (SARs) - popisuje měření získané během vyvíjení a hodnocení produktu k zajištění souladu s prohlášením bezpečnostní funkcionality. Například hodnocení může požadovat, aby všechny zdrojové kódy byly zdrženy v organizačním systému.
  • Evaluation Assurance Level (EAL) - číselné hodnocení popisující hloubku hodnocení. Každý EAL odpovídá balíčku SAR, který pokrývá kompletní vývoj produktu s danou úrovní striktnosti. Common Criteria sestavilo sedm úrovní, počínaje nejzákladnější EAL 1 (a tudíž nejlevnější na implementaci a hodnocení), končí nejpřísnější EAL 7 (a zároveň nejdražší).

Historie[editovat | editovat zdroj]

Common Criteria vzniklo ze tří standardů:

  • ITSEC - Evropský standard, vyvíjený začátkem roku 1990 Francií, Německem, Nizozemskem a Velkou Británií.
  • CTCPEC - Kanadský standard následovaný US standardem DoD, ale vyvaroval se spoustě problémům a byl používán společně kritiky nejen z USA a Kanady. CTCPEC standard byl poprvé uveden v květnu 1993.
  • TCSEC

CC vyvolalo sjednocení těchto dříve existujících standardů, převážně takové společnosti, které prodávají počítačové produkty pro vládní trh by je potřebovaly mít ohodnocené proti jedné sadě standardů. CC bylo vyvíjeno vládami států Kanady, Francie, Německa, Nizozemska, Velké Británie a USA.

Testovací organizace[editovat | editovat zdroj]

Všechny testovací laboratoře musí vyhovět ISO 17025 a certifikační části budou obvykle schvalovány přes ISO/IEC Guide 65 nebo BS EN 45011. Dodržování ISO 17025 je typicky demonstrováno Národní schvalovací autoritou:

  • v Kanadě, Standards Council of Canada (SCC) schvaluje Common Criteria Evaluation Facilities
  • ve Francii, comité français d’accréditation (COFRAC) schvaluje Common Criteria evaluation facilities, běžně nazýváno jako Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI)
  • ve Velké Británie, United Kingdom Accreditation Service (UKAS) schvaluje Commercial Evaluation Facilities (CLEF)
  • v USA, National Institute of Standards and Technology (NIST) National Voluntary Laboratory Accreditation Program (NVLAP) schvaluje Common Criteria Testing Laboratories (CCTL)
  • v Německu, Bundesamt für Sicherheit in der Informationstechnik (BSI)

Vzájemně uznané dohody[editovat | editovat zdroj]

Stejně jako je Common Criteria standard, tak máme také členskou úroveň Common Criteria MRA (Mutual Recognition Arrangement) neboli Vzájemně uznané dohody, pomocí nichž všechny části uznávají ohodnocení od standardu Common Criteria udělaných jinými částmi. Původně podepsáno v roce 1998 Kanadou, Francií, Německem, Spojeným královstvím Velké Británie a Spojenými státy, Austrálie a Nový Zéland se připojili v roce 1999, následovalo je Finsko, Řecko, Israel, Itálie, Nizozemsko, Norsko a Španělsko v roce 2000. Dohoda má být přejmenována na Common Criteria Recognition Arrangement (CCRA) a členství se nadále bude rozšiřovat.

Seznam zkratek[editovat | editovat zdroj]

  • CC: Common Criteria
  • EAL: Evaluation Assurance Level
  • IT: Information Technology
  • PP: Protection Profile
  • SF: Security Function
  • SFP: Security Function Policy
  • SOF: Strength of Function
  • ST: Security Target
  • TOE: Target of Evaluation
  • TSP: TOE Security Policy
  • TSF: TOE Security Functions
  • TSC: TSF Scope of Control
  • TSFI: TSF Interface

Reference[editovat | editovat zdroj]

[1] [2] [3] [4] [5] [6] [7] [8]
V tomto článku byl použit překlad textu z článku Common Criteria na anglické Wikipedii.

  1. "The Common Criteria"
  2. "Common Criteria Schemes Around the World"
  3. Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Government Computer News, retrieved 2007-12-14
  4. Free-Libre / Open Source Software (FLOSS) and Software Assurance
  5. Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
  6. Beznosov, Konstantin and Kruchten, Philippe, Towards Agile Security Assurance, retrieved 2007-12-14
  7. "Common Criteria Reforms: Better Security Products Through Increased Cooperation with Industry"
  8. "Common Criteria "Reforms"—Sink or Swim-- How should Industry Handle the Revolution Brewing with Common Criteria?"

Externí odkazy[editovat | editovat zdroj]

?option=com_content&task=blogcategory&id=20&Itemid=65 Important Common Criteria Acronyms]