General Criteria for Information Technology Security Evaluation , Common Criteria for Information Technology Security Evaluation , Common Criteria , CC ) er en international computersikkerhedsstandard [ 3 ] vedtaget i Rusland [ 2 ] . I modsætning til FIPS 140 [4] -standarden giver Common Criteria ikke en liste over sikkerhedskrav eller en liste over funktioner, som et produkt skal indeholde. I stedet beskriver den en ramme ( ramme ) hvor brugere af et computersystem kan beskrive krav, udviklere kan fremsætte påstande om produkters sikkerhedsegenskaber, og sikkerhedseksperter kan afgøre, om et produkt opfylder kravene. Fælles Kriterier giver dig således mulighed for at give betingelser, hvor processen med at beskrive, udvikle og teste et produkt vil blive udført med den nødvendige omhyggelighed.
Prototypen på dette dokument var " Evalueringskriterierne for IT-sikkerhed , ECITS " , som arbejdet påbegyndte i 1990 .
Standarden indeholder to hovedtyper af sikkerhedskrav: funktionelle , pålagt sikkerhedsfunktioner og de mekanismer, der implementerer dem, og sikringskrav , pålagt teknologi og udviklings- og driftprocessen.
For at strukturere kravrummet bruger standarden klasse-familie-komponent-element-hierarkiet: klasser definerer den mest generelle "fag"-gruppering af krav, familier inden for en klasse er forskellige i sværhedsgrad og andre nuancer af krav, en komponent er et minimum kravsæt, der fremstår som en helhed, er element et udeleligt krav.
Funktionelle krav er grupperet baseret på den rolle, de udfører eller det sikkerhedsmål, de tjener, for i alt 11 funktionsklasser (i tre grupper), 66 familier, 135 komponenter.
Elementære sikkerhedstjenester omfatter følgende klasser FAU, FIA og FRU.
FAU-klassen omfatter seks familier (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA og FAU_ARP), og hver familie kan indeholde et forskelligt antal komponenter.
Formålet med komponenterne i denne klasse er som følger.
FAU_GEN - Generering af sikkerhedsrevisionsdata. Indeholder to komponenter FAU_GEN.1 (Audit Data Generation) og FAU_GEN.2 (User ID Association).
Sikkerhedskrav (tillid) er kravene til teknologien og processen med udvikling og drift af vurderingsobjektet. Opdelt i 10 klasser, 44 familier, 93 komponenter, der dækker forskellige stadier af livscyklussen.
Forud for udviklingen af "Common Criteria" gik udviklingen af dokumentet "Evaluation Criteria for IT Security" ( eng. Evaluation Criteria for IT Security, ECITS ), lanceret i 1990 , og udført af arbejdsgruppe 3 i underudvalg 27 af den første fælles tekniske komité (eller JTC1/SC27/WG3) International Organization for Standardization ( ISO ).
Dette dokument tjente som grundlag for at påbegynde arbejdet med dokumentet Fælles kriterier for IT- sikkerhedsevaluering , som begyndte i 1993 . Regeringsorganisationer fra seks lande ( USA , Canada , Tyskland , Storbritannien , Frankrig , Holland ) deltog i dette arbejde. Følgende institutter deltog i arbejdet med projektet:
Standarden blev vedtaget i 2005 af ISO-udvalget og har status som en international standard, identifikationsnummer ISO/IEC 15408 [2] [3] . I fagkredse fik dette dokument efterfølgende et kort navn - engelsk. Fælles kriterier, CC ; Russisk "Generelle kriterier", OK .
Certificering af et produkt under de fælles kriterier bekræfter muligvis et vist niveau af produktsikkerhed , afhængigt af trusselsmodellen og miljøet.
I overensstemmelse med certificeringsmetoden bestemmer producenten selv, hvilket miljø og angribermodel produktet befinder sig i. Det er under disse forudsætninger, at produktets overensstemmelse med de deklarerede parametre kontrolleres. Hvis nye, hidtil ukendte sårbarheder opdages i produktet efter certificering , skal producenten frigive en opdatering og gencertificere. I modsat fald skal attesten tilbagekaldes.
Microsoft Windows XP -operativsystemet (Professional SP2 og Embedded SP2) samt Windows Server 2003 [5] [6] [7] [8] blev certificeret til Common Criteria EAL4+-niveauet i henhold til CAPP-profilen [9] i 2005 -2007, efter at servicepakker og nye kritiske sikkerhedsopdateringer blev udgivet regelmæssigt. Windows XP i den testede version var dog stadig EAL4+ certificeret, [5] [6] . Denne kendsgerning vidner til fordel for, at betingelserne for certificering (angriberens miljø og model) blev valgt meget konservativt, hvilket resulterede i, at ingen af de opdagede sårbarheder er gældende for den testede konfiguration.
For rigtige konfigurationer er mange af disse sårbarheder naturligvis farlige. Microsoft anbefaler, at brugerne installerer alle kritiske sikkerhedsopdateringer.
I 2002, efter ordre fra formanden for Ruslands Statens Tekniske Kommission, blev følgende retningslinjer [10] sat i kraft , udviklet på grundlag af internationale dokumenter Common Criteria version 2.3:
Siden da er certificering af informationsteknologiske produkter i henhold til kravene til sikkerhedsopgaver formelt blevet tilladt i det indenlandske certificeringssystem. Da omfanget (klasser af automatiserede systemer) af sådanne overensstemmelsescertifikater ikke var eksplicit defineret, var en sådan certificering i de fleste tilfælde af reklamekarakter - producenterne foretrak at certificere deres produkter i overensstemmelse med kravene i klassiske retningslinjer.
Siden 2012 har FSTEC i Rusland arbejdet aktivt på at opdatere de lovgivningsmæssige og metodiske rammer for certificering af informationssikkerhedsværktøjer. Specielt blev kravene til følgende typer informationssikkerhedsværktøjer sat i kraft:
Kravene til en bestemt type informationssikkerhedsværktøjer er designet som et sæt dokumenter:
Beskyttelsesprofiler er tilgængelige. Arkiveret kopi af 20. september 2017 på Wayback Machine på den officielle hjemmeside for FSTEC i Rusland. På nuværende tidspunkt udføres certificeringen af produkter af disse typer kun af FSTEC i Rusland for at overholde de godkendte beskyttelsesprofiler.
ISO standarder | |
---|---|
| |
1 til 9999 |
|
10000 til 19999 |
|
20000+ | |
Se også: Liste over artikler, hvis titler begynder med "ISO" |