Common Criteria
Common Criteria for Information Technology Security Evaluation (zkráceně Common Criteria nebo CC) je mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti. Aktuálně je ve verzi 3.1.
Common Criteria je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů, a testovací laboratoře mohou vyhodnocovat produkty. Jinak řečeno, Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem.
Klíčové koncepty
Hodnocení Common Criteria jsou prováděna na produktech a systémech počítačové bezpečnosti.
Cíl hodnocení - Target Of Evaluation (TOE) - produkt nebo systém, který je předmětem hodnocení.
Ochranný profil - Protection Profil (PP) - dokument, typicky vytvořený uživatelem nebo uživatelskou komunitou, který identifikuje bezpečnostní požadavky pro třídu bezpečnostních zařízení (například čipové karty nebo síťové firewally) příslušný danému uživateli ke konkrétnímu účelu.
Bezpečnostní cíl - Security Target (ST) - je dokument, který identifikuje bezpečnostní vlastnosti cíle hodnocení. Může se vztahovat na jeden nebo více PP.
Bezpečnostní funkční požadavky - Security Functional Requirements (SFRs) - specifikuje individuálně bezpečnostní funkce, které mohou produkty poskytovat. Common Criteria poskytuje katalog těchto funkcí. Například může SFR uvádět, jak by uživatel zastupující konkrétní roli měl být autentikován.
Bezpečnostní jistící požadavky - Security Assurance Requirements (SARs) - popisuje měření získané během vyvíjení a hodnocení produktu k zajištění souladu s prohlášením bezpečnostní funkcionality. Například hodnocení může požadovat, aby všechny zdrojové kódy byly zdrženy v organizačním systému.
Evaluation Assurance Level (EAL) - číselné hodnocení popisující hloubku hodnocení. Každý EAL odpovídá balíčku SAR, který pokrývá kompletní vývoj produktu s danou úrovní striktnosti. Common Criteria sestavilo sedm úrovní, počínaje nejzákladnější EAL 1 (a tudíž nejlevnější na implementaci a hodnocení), konče nejpřísnější EAL 7 (a zároveň nejdražší).
Historie
Common Criteria vzniklo ze tří standardů:
ITSEC - Evropský standard, vyvíjený začátkem roku 1990 Francií, Německem, Nizozemskem a Velkou Británií.
CTCPEC - Kanadský standard následovaný US standardem DoD, ale vyvaroval se spoustě problémům a byl používán společně kritiky nejen z USA a Kanady. CTCPEC standard byl poprvé uveden v květnu 1993.
TCSEC
CC vyvolalo sjednocení těchto dříve existujících standardů, převážně takové společnosti, které prodávají počítačové produkty pro vládní trh by je potřebovaly mít ohodnocené proti jedné sadě standardů. CC bylo vyvíjeno vládami států Kanady, Francie, Německa, Nizozemska, Velké Británie a USA.
Testovací organizace
Všechny testovací laboratoře musí vyhovět ISO 17025 a certifikační části budou obvykle schvalovány přes ISO/IEC Guide 65 nebo BS EN 45011. Dodržování ISO 17025 je typicky demonstrováno Národní schvalovací autoritou:
v Kanadě, Standards Council of Canada (SCC) schvaluje Common Criteria Evaluation Facilities
ve Francii, comité français d’accréditation (COFRAC) schvaluje Common Criteria evaluation facilities, běžně nazýváno jako Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI)
ve Velké Británie, United Kingdom Accreditation Service (UKAS) schvaluje Commercial Evaluation Facilities (CLEF)
v USA, National Institute of Standards and Technology (NIST) National Voluntary Laboratory Accreditation Program (NVLAP) schvaluje Common Criteria Testing Laboratories (CCTL)
v Německu, Bundesamt für Sicherheit in der Informationstechnik (BSI)
Vzájemně uznané dohody
Stejně jako je Common Criteria standard, tak máme také členskou úroveň Common Criteria MRA (Mutual Recognition Arrangement) neboli Vzájemně uznané dohody, pomocí nichž všechny části uznávají ohodnocení od standardu Common Criteria udělaných jinými částmi. Původně podepsáno v roce 1998 Kanadou, Francií, Německem, Spojeným královstvím Velké Británie a Spojenými státy, Austrálie a Nový Zéland se připojili v roce 1999, následovalo je Finsko, Řecko, Israel, Itálie, Nizozemsko, Norsko a Španělsko v roce 2000. Dohoda má být přejmenována na Common Criteria Recognition Arrangement (CCRA) a členství se nadále bude rozšiřovat.
Seznam zkratek
CC: Common Criteria
EAL: Evaluation Assurance Level
IT: Information Technology
PP: Protection Profile
SF: Security Function
SFP: Security Function Policy
SOF: Strength of Function
ST: Security Target
TOE: Target of Evaluation
TSP: TOE Security Policy
TSF: TOE Security Functions
TSC: TSF Scope of Control
TSFI: TSF Interface