Common Criteria

Common Criteria (norma ISO 15408) - norma pozwalająca w sposób formalny weryfikować bezpieczeństwo systemów teleinformatycznych.

CC udostępnia procedury pozwalające na zdefiniowanie zagrożeń oraz zabezpieczeń, które na te zagrożenia odpowiadają, a następnie przeprowadzenie formalnej weryfikacji ich faktycznego działania w produkcie. Certyfikacją według normy CC zajmują się niezależne, akredytowane laboratoria badawcze na całym świecie.

Wynikiem procesu certyfikacji jest tzw. "profil ochrony" (PP - protection profile), który definiuje zabezpieczenia stosowane przez produkt oraz certyfikat potwierdzający ich faktyczną skuteczność. Proces certyfikacji może być prowadzony według różnych poziomów szczegółowości i weryfikacji formalnej (EAL - Evaluation Assurance Level), począwszy od EAL1 (tylko testy funkcjonalne) aż do EAL7 (formalna weryfikacja projektu oraz testy).

Posiadanie certyfikatu CC nie gwarantuje, że produkt jest bezpieczny pod każdym względem - zapewnia jedynie o działaniu wszystkich zadeklarowanych przez producenta zabezpieczeń. Sam certyfikat niewiele więc mówi bez profilu ochrony opisującego zastosowane zabezpieczenia. Dla popularnych produktów (np. bezpieczne urządzenie do składania podpisu elektronicznego) istnieją ustandaryzowane profile ochrony.

Starszą, ale nadal stosowaną w certyfikacji normą tego typu jest ITSEC.

Linki zewnętrzne

• PN-ISO/IEC 15408-1:2002 Technika informatyczna -- Techniki zabezpieczeń -- Kryteria oceny zabezpieczeń informatycznych -- Część 1: Wprowadzenie i model ogólny
• PN-ISO/IEC 15408-3:2002 Technika informatyczna -- Techniki zabezpieczeń -- Kryteria oceny zabezpieczeń informatycznych -- Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń
• Common Criteria Portal (en)
• Common Criteria w Polsce (ipsec.pl)
• Common Criteria w Polsce (commoncriteria.pl)