Common Criteria

From האנציקלופדיה היהודית
Jump to: navigation, search

Common Criteria for Information Technology Security Evaluation, מכונה בקיצור Common Criteria (או סתם CC) הוא תקן בינלאומי של ISO (‏ISO/IEC 15408) להסמכה בתחום אבטחת מחשבים ומערכות מחשוב. הגירסא הנוכחית שלו היא 3.1, הוצאה 5.[1]CC היא מסגרת בה יכולים משתמשים של מערכת מחשוב לפרט (specify) את דרישות (requirements) התפקוד (functional) והבדיקתיוּת (assurance), אלו נקראים SFRs ו SARs בהתאמה, בתוך ST, מערכת אבטחה (Security Target), וניתן לקחתם מתוך PP, פרופיל הגנה (Protection Profile)

לאחר מכן יכולים עסקים שונים לממש (implement) או לטעון טענות על תכונות אבטחה של המוצר שלהם, וכן יכולות מעבדות בדיקה להעריך (evaluate) את המוצר כדי לקבוע האם הוא עומד בטענות. במילים אחרות, CC מבטיח שתהליך הגדרה, מימוש ואימות של מערכת מחשוב בוצע באופן יסודי, סטנדרטי, וניתן לשחזור, ברמה שנותנת מענה לדרישות הסביבה שמשתמשת בה[2].

היסטוריה

CC נוסדה מתוך איחוד והיתוך של שלושה תקנים קיימים:

  • ITSEC – התקן האירופאי, פותח בתחילת שנות ה-1990 על ידי צרפת, גרמניה, אנגליה והולנד. גם תקן זה פותח בראשיתו תוך של עבודות קודמות כגון שתי הגישות הבריטיות CESG ו DTI ("הספר הירוק"), ואומץ לאחר מכן על ידי ארצות שונות כגון אוסטרליה.
  • CTCPEC – התקן הקנדי שנבע מתקן של משרד ההגנה האמריקאי, אך נמנע מהתייחסות למגוון בעיות והיה בשימוש משותף של ארה"ב וקנדה. CTCPEC יצא לאור בשנת 1993.
  • TCSEC – מסמך של DoD 5200.28 Std, שנקרא TCSEC או "הספר הכתום" (Orange Book) שהוא חלק מהסדרה "Rainbow Series" (סדרת הקשת). ספר הכתום התהווה מתוך ה "Computer Security" עבודה "" של דו"ח אנדרסון (Anderson Report) שנכתב על ידי ה NSA וה NBS (שהפכו בסוף שנות ה-70 ל-NIST). התזה המרכזית של הספר הכתום נובע מעבודתם של דייב בל ולן לפדולה[3].

CC נוצר מתוך שלושת התקנים לעיל בעיקר כדי שחברות המוכרות מוצרי מחשוב לשוק הממשלתי (בעיקר לביון והגנה) יוכלו להעריך את המוצרים אל מול תקן אחוּד מוכר. הוא פותח במשותף על ידי ממשלות ארה"ב, קנדה, צרפת, גרמניה, הולנד ואנגליה.

הערות שוליים


שגיאות פרמטריות בתבנית:הערות שוליים

לא נמצא templatedata תקין

NivdakVeushar.png