Общие критерии оценки безопасности информационных технологий (называемые Общие критерии или CC ) - это международный стандарт (ISO / IEC 15408) для сертификации компьютерной безопасности. В настоящее время он находится в версии 5 версии 3.1.
Common Criteria - это структура, в которой пользователи компьютерных систем могут указать свои функциональные требования и требования к обеспечению безопасности (SFR и SAR соответственно) в Target Security ( ST) и могут быть взяты из Профилей защиты (PP). Затем поставщики могут реализовать или заявить об атрибутах безопасности своих продуктов, а испытательные лаборатории могут оценить продукты, чтобы определить, действительно ли они соответствуют требованиям. Другими словами, Common Criteria обеспечивает уверенность в том, что процесс спецификации, внедрения и оценки продукта компьютерной безопасности был проведен строгим, стандартным и повторяемым образом на уровне, который соизмерим с целевой средой для использования.
Оценка общих критериев выполняется для продуктов и систем компьютерной безопасности.
В процессе оценки также делается попытка установить уровень уверенности, который может быть обеспечен функциями безопасности продукта с помощью процессов обеспечения качества :
До сих пор большинство ПЗ и наиболее оцененные ЗБ / сертифицированные продукты были предназначены для ИТ-компонентов. (например, межсетевые экраны, операционные системы, смарт-карты). Сертификация Common Criteria иногда указывается для закупок ИТ. Другие стандарты, содержащие, например, взаимодействие, управление системой, обучение пользователей, дополнительные стандарты CC и другие стандарты на продукцию. Примеры включают ISO / IEC 27002 ) и немецкий базовый уровень защиты ИТ.
Подробности реализации криптографического внутри ОО выходят за рамки CC. Вместо этого национальные стандарты, такие как FIPS 140-2, предоставляют спецификации для криптографических модулей, а различные стандарты определяют используемые криптографические алгоритмы.
В последнее время авторы PP включают криптографические требования для оценок CC, которые обычно охватываются оценками FIPS 140-2, расширяя границы CC за счет интерпретаций для конкретной схемы.
Некоторые национальные схемы оценки постепенно отказываются от оценок, основанных на ОУД, и принимают для оценки только те продукты, которые заявляют о строгом соответствии утвержденным ПЗ. В настоящее время в США разрешены только оценки на основе PP. Канада находится в процессе постепенного отказа от оценок на основе EAL.
CC возник на основе трех стандартов:
CC был создан путем объединения этих ранее существовавших стандартов, главным образом для того, чтобы компании, продающие компьютерные продукты для государственного рынка (в основном для использования в обороне или разведке) потребуется только их оценка по одному набору стандартов. CC был разработан правительствами Канады, Франции, Германии, Нидерландов, Великобритании и США
Все испытательные лаборатории должны соответствовать ISO / IEC 17025, и органы сертификации обычно утверждаются в соответствии с ISO / IEC 17065.
Соответствие ISO / IEC 17025 обычно демонстрируется национальному органу сертификации. :
Характеристики этих организаций были изучены и представлены на ICCC 10.
Помимо стандарта общих критериев, существует также соглашение о взаимном признании общих критериев уровня субдоговора (Соглашение о взаимном признании), в соответствии с которым каждая сторона признает оценки по стандарту общих критериев, выполненные другими сторонами. Первоначально подписанный в 1998 году Канадой, Францией, Германией, Соединенным Королевством и США, Австралия и Новая Зеландия присоединились к 1999 году, а затем Финляндия, Греция, Израиль, Италия, Нидерланды, Норвегия и Испания в 2000 году. переименовано в Common Criteria Recognition Arrangement (CCRA ), и членство продолжает расширяться. В рамках CCRA взаимно признаются только оценки до EAL 2 (включая расширение с исправлением недостатков). Европейские страны в рамках бывшего соглашения ITSEC обычно также признают более высокие EAL. Оценки на уровне EAL5 и выше, как правило, связаны с требованиями безопасности правительства принимающей страны.
В сентябре 2012 года большинство членов CCRA подготовили заявление о видении, в соответствии с которым взаимное признание продуктов, прошедших оценку CC, будет снижено до EAL 2 (включая расширение с устранением недостатков). Кроме того, это видение указывает на полный отход от уровней доверия, и оценки будут ограничены соответствием профилям защиты, которые не имеют заявленного уровня доверия. Это будет достигнуто за счет технических рабочих групп, разрабатывающих глобальные ПУ, и пока еще полностью не определен переходный период.
2 июля 2014 г. новый CCRA был ратифицирован в соответствии с целями, изложенными в заявлении о видении на 2012 год. Основные изменения в Соглашении включают:
Общие критерии очень общие; он не предоставляет напрямую список требований безопасности продукта или функций для конкретных (классов) продуктов: это следует подходу, принятому в ITSEC, но является источником споров для тех, кто использовал более предписывающий подход других более ранних стандартов, таких как TCSEC и FIPS 140 -2.
Сертификация Common Criteria не может гарантировать безопасность, но может гарантировать, что утверждения об атрибутах безопасности оцениваемого продукта были независимо проверены. Другими словами, продукты, оцениваемые по стандарту Common Criteria, демонстрируют четкую цепочку доказательств того, что процесс спецификации, реализации и оценки был проведен строго и стандартным образом.
Различные версии Microsoft Windows, включая Windows Server 2003 и Windows XP, , были сертифицированы, но исправления безопасности для устранения уязвимостей системы безопасности Microsoft все еще публикует их для этих систем Windows. Это возможно, потому что процесс получения сертификата Common Criteria позволяет поставщику ограничить анализ определенными функциями безопасности и сделать определенные предположения об операционной среде и силе угроз, с которыми сталкивается продукт в этой среде. Кроме того, ОК признает необходимость ограничить объем оценки, чтобы обеспечить рентабельные и полезные сертификаты безопасности, так что оцениваемые продукты исследуются до уровня детализации, определенного уровнем доверия или ПЗ. Таким образом, деятельность по оценке выполняется только до определенной глубины, с использованием времени и ресурсов и обеспечивает разумную уверенность в предполагаемой среде.
В случае Microsoft допущения включают A.PEER:
«Предполагается, что любые другие системы, с которыми взаимодействует ОО, находятся под одним и тем же управлением и работают с теми же ограничениями политики безопасности. ОО применимо к сетевым или распределенным средам только в том случае, если вся сеть работает с одними и теми же ограничениями и находится в пределах одного домена управления. Нет никаких требований безопасности, которые касаются необходимости доверять внешним системам или каналам связи с такими системами ».
Это предположение содержится в Профиле защиты контролируемого доступа (CAPP), которому соответствуют их продукты. На основе этого и других предположений, которые могут быть нереалистичными для обычного использования операционных систем общего назначения, оцениваются заявленные функции безопасности продуктов Windows. Таким образом, они должны считаться безопасными только в предполагаемых определенных обстоятельствах, также известных как оцениваемая конфигурация.
Независимо от того, запускаете ли вы Microsoft Windows в точно оцененной конфигурации или нет, вам следует применять исправления безопасности Microsoft для устранения уязвимостей в Windows по мере их появления. Если какая-либо из этих уязвимостей безопасности может быть использована в оцененной конфигурации продукта, поставщик должен добровольно отозвать сертификат Common Criteria продукта. В качестве альтернативы поставщику следует повторно оценить продукт, включив в него применение исправлений для устранения уязвимостей безопасности в оцениваемой конфигурации. Неспособность поставщика предпринять какие-либо из этих шагов приведет к принудительному отзыву сертификации продукта органом по сертификации страны, в которой продукт был оценен.
Сертифицированные версии Microsoft Windows остаются на уровне EAL4 + без включения каких-либо исправлений уязвимостей безопасности Microsoft в их оцененную конфигурацию. Это показывает как ограничения, так и силу оцениваемой конфигурации.
В августе 2007 года обозреватель Уильям Джексон критически проанализировал методологию Common Criteria и ее реализацию в США с помощью Common Criteria Evaluation and Validation Scheme (CCEVS). В колонке были опрошены руководители индустрии безопасности, исследователи и представители Национального информационного партнерства (NIAP). В статье приводятся следующие возражения:
В исследовательской работе 2006 года компьютерный специалист Дэвид А. Уилер предположил, что Общие критерии процесс дискриминирует бесплатное программное обеспечение с открытым исходным кодом (FOSS) -центричные организации и модели разработки. Требования обеспечения Common Criteria обычно основываются на традиционной методологии разработки программного обеспечения waterfall. Напротив, большая часть программного обеспечения FOSS создается с использованием современных парадигм agile. Хотя некоторые утверждали, что обе парадигмы плохо согласуются, другие пытались примирить обе парадигмы. Политолог выразил обеспокоенность по поводу отсутствия контроля над фактическим производством продуктов после их сертификации, отсутствия постоянно укомплектованного персонала организационного органа, который следит за соблюдением требований, а также по поводу того, что доверие к сертификатам безопасности ИТ-безопасности Common Criteria будет сохранено. через геополитические границы.
На протяжении всего существования CC он не был повсеместно принят даже странами-создателями, в частности, криптографические утверждения обрабатывались отдельно, например, реализация FIPS-140 в Канаде / США и схема CESG Assisted Products Scheme (CAPS) в Великобритании.
Великобритания также разработала ряд альтернативных схем, когда было обнаружено, что временные рамки, затраты и накладные расходы на взаимное признание препятствуют работе рынка:
В начале 2011 года NSA / CSS опубликовало документ Криса Солтера, в котором предлагалось Профиль защиты ориентированный подход к оценке. При таком подходе сообщества по интересам формируются вокруг типов технологий, которые, в свою очередь, разрабатывают профили защиты, которые определяют методологию оценки для типа технологии. Цель - более надежная оценка. Есть некоторые опасения, что это может негативно повлиять на взаимное признание.
В сентябре 2012 года Common Criteria опубликовала Заявление о видении, в значительной степени отражающее мысли Криса Солтера из прошлого года.. Ключевые элементы Видения включали: