Схема оценки и проверки общих критериев (CCEVS ) - это программа США Правительство, администрируемая Национальное партнерство по обеспечению информации (NIAP) для оценки функций безопасности информационной технологии в соответствии с Общими критериями международным стандартом. В новом стандарте для сертификации продукта используются профили защиты и стандарты Common Criteria. Это изменение произошло в 2009 году. Их заявленная цель при внесении изменения заключалась в обеспечении достижимых, повторяемых и проверяемых оценок.
Программа CCEVS - это партнерство между правительством США и промышленностью для оказания помощи сами и потребители:
Схема предназначена для обслуживания многих заинтересованных сообществ с очень разными ролями и обязанности. В это сообщество входят разработчики ИТ-продуктов, поставщики продуктов, реселлеры с добавленной стоимостью, системные интеграторы, исследователи ИТ-безопасности, органы по закупкам / закупкам, потребители ИТ-продуктов, аудиторы и аккредиторы (лица, принимающие решение о пригодности этих продуктов для эксплуатации в своих соответствующих организациях.). Тесное сотрудничество между правительством и промышленностью имеет первостепенное значение для успеха схемы и реализации ее целей.
Орган по валидации несет конечную ответственность за работу CCEVS в соответствии с с политиками и процедурами NIAP. При необходимости он будет интерпретировать и изменять эти политики и процедуры. NIST и NSA несут ответственность за предоставление достаточных ресурсов для NIAP, чтобы орган по валидации мог выполнять свои обязанности. Однако с 2009 года NIAP обратился к другим поставщикам, лабораториям, академическим кругам и клиентам с просьбой помочь в оценке продуктов, тем самым уменьшив зависимость от АНБ.
Орган по валидации возглавляется директором и заместителем директора, выбранными руководством NIST и NSA, а другой персонал включает валидаторов и технических экспертов в различных областях технологий.
Орган по валидации обеспечивает наличие соответствующих механизмов для защиты интересов всех сторон в рамках CCEVS, участвующих в процессе оценки безопасности ИТ.
Споры, инициированные любой участвующей стороной, т. Е. Спонсором оценки, продукта или разработчиком Protection Profile или CCTL, относительно работы CCEVS или любых связанных с ней действий должны быть переданы в Орган по валидации для разрешения.
После того, как продукт был сертифицирован, он занесен в список соответствия требованиям PP в списке совместимых продуктов NIAP (PCL).
На Викискладе есть материалы, относящиеся к схеме оценки и проверки общих критериев. |