ISO/IEC 15408 ang. Common Criteria for Information Technology Security Evaluation

ISO/IEC 15408
Norma
Zarządzanie bezpieczeństwem
Logo ISO/IEC
WłaścicielISO/IEC
RozpowszechnianieISO
Powstanie1999 r.
Aktualna wersjaCC v3.1 rev 2 (2007 r.)
CertyfikacjaISO
Oficjalna strona internetowa


ISO/IEC 15408 - Evaluation criteria for IT security (Common Criteria, CC) - norma pozwalająca w sposób formalny weryfikować bezpieczeństwo systemów teleinformatycznych. CC udostępnia procedury pozwalające na zdefiniowanie zagrożeń oraz zabezpieczeń, które na te zagrożenia odpowiadają, a następnie przeprowadzenie formalnej weryfikacji ich faktycznego działania w produkcie. Certyfikacją według normy CC zajmują się niezależne, akredytowane laboratoria badawcze na całym świecie.

Spis treści

Rozwój standardu

Common Criteria 3

W 2006 roku opublikowana została wersja Common Criteria 3.1, mająca docelowo zastąpić starsze wersje w marcu 2008. Po tej dacie nowe procesy certyfikacyjne mają być prowadzone według CC v3.1.
  • Common Criteria v3.1R2 Part 1: Introduction and general model
  • Common Criteria v3.1R2 Part 2: Security functional requirements
  • Common Criteria v3.1R2 Part 3: Security assurance requirements

Common Criteria 2

Najczęściej stosowaną obecnie wersją Common Criteria jest wersja 2.3, będąca w użyciu od 2005 roku. Wersja 2.3 obowiązuje do marca 2008, później ma być zastępowana wersją 3.1.
  • Common Criteria v2.3 Part 1: Introduction and general model
  • Common Criteria v2.3 Part 2: Security functional requirements
  • Common Criteria v2.3 Part 3: Security assurance requirements


Common Criteria 2.3 są również opublikowane jako standard ISO 15408 w gałęzi “Information technology - Security techniques”:
  • ISO/IEC 15408-1:2005 Evaluation criteria for IT security — Part 1: Introduction and general model
  • ISO/IEC 15408-2:2005 Evaluation criteria for IT security — Part 2: Security functional requirements
  • ISO/IEC 15408-3:2005 Evaluation criteria for IT security — Part 3: Security assurance requirements


Części pierwsza i trzecia Common Criteria v2.1 zostały wydane przez Polski Komitet Normalizacyjny jako Polskie Normy 15408:2002:
  • PN-ISO/IEC 15408-1:2002 Kryteria oceny zabezpieczeń informatycznych — Część 1: Wprowadzenie i model ogólny
  • PN-ISO/IEC 15408-3:2002 Kryteria oceny zabezpieczeń informatycznych — Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń

Historia

  • 1999 - CC v2.1
  • 2004 - CC v2.2
  • 2005 - CC v2.3 - obowiązuje do marca 2008, poprawki do września 2009
  • 2006 - CC v3.1 rev 1
  • 2007 - CC v3.1 rev 2


Zastosowanie

Wynikiem procesu certyfikacji jest tzw. "profil ochrony" (PP - protection profile), który definiuje zabezpieczenia stosowane przez produkt oraz certyfikat potwierdzający ich faktyczną skuteczność. Proces certyfikacji może być prowadzony według różnych poziomów szczegółowości i weryfikacji formalnej (EAL - Evaluation Assurance Level), począwszy od EAL1 (tylko testy funkcjonalne) aż do EAL7 (formalna weryfikacja projektu oraz testy).

Posiadanie certyfikatu CC nie gwarantuje, że produkt jest bezpieczny pod każdym względem - zapewnia jedynie o działaniu wszystkich zadeklarowanych przez producenta zabezpieczeń. Sam certyfikat niewiele więc mówi bez profilu ochrony opisującego zastosowane zabezpieczenia. Dla popularnych produktów (np. bezpieczne urządzenie do składania podpisu elektronicznego) istnieją ustandaryzowane profile ochrony.

Starszą, ale nadal stosowaną w certyfikacji normą tego typu jest ITSEC.

Zobacz też

Linki zewnętrzne

Bibliografia

ostatnia modyfikacja 20 sierpnia 2016 r.