Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Модель Common Criteria предусматривает разделение ролей оценщика и сертификатора. Сертификаты на продукцию выдаются национальными схемами на основе оценок, проводимых независимыми испытательными лабораториями .

Лаборатория тестирования Common Criteria - это сторонняя коммерческая лаборатория тестирования безопасности, аккредитованная для проведения оценки безопасности на соответствие международному стандарту Common Criteria . Такое предприятие должно быть аккредитовано в соответствии с ISO / IEC 17025 национальным органом по сертификации.

Примеры [ править ]

Список обозначений лабораторий по странам:

  • В США они называются лабораторией тестирования общих критериев (CCTL).
  • В Канаде они называются Common Criteria Evaluation Facility (CCEF).
  • В Великобритании они называются средствами коммерческой оценки (CLEF).
  • Во Франции они называются Centres d'Evaluation de la Sécurité des Technologies de l'Information (CESTI).
  • В Германии они называются IT Security Evaluation Facility (ITSEF).

Соглашение о признании общих критериев [ править ]

Соглашение о признании общих критериев (CCRA) или Соглашение о взаимном признании общих критериев (MRA) [1] - это международное соглашение, которое признает оценки по стандарту общих критериев, выполненные во всех странах-участницах.

Взаимно понимается, что в отношении продуктов ИТ и профилей защиты Участники планируют признавать сертификаты Common Criteria, которые были утверждены любым другим сертификатом, уполномочивающим Участника, в соответствии с условиями настоящего Соглашения и в соответствии с применимыми законами и регламент каждого Участника.

-  Международное соглашение, договоренность о признании сертификатов общих критериев в области безопасности информационных технологий

Это соглашение имеет некоторые ограничения, и в прошлом признавались только оценки до EAL4 +. В связи с продолжающимся переходом от уровней EAL и введением оценок NDPP, которые «отображаются» на компоненты доверия EAL4, продолжают получать признание.

Соединенные Штаты [ править ]

В Соединенных Штатах Национального института стандартов и технологии (NIST) Национальная аккредитация Программа добровольного Laboratory (NVLAP) аккредитует CCTLs для удовлетворения Национального Информационного обеспечения партнерство (НИАП) Общие критерии оценки и валидация Схемы требований и проведение ИТ оценки безопасности на соответствие Общего Критерии.

Требования CCTL [ править ]

Эти лаборатории должны соответствовать следующим требованиям:

  • Справочник NIST 150, Процедуры и общие требования NVLAP
  • Справочник NIST 150-20, Тестирование безопасности информационных технологий NVLAP - Общие критерии
  • Специфические критерии NIAP для оценки ИТ-безопасности и другие требования, определенные NIAP

CCTL заключают договорные соглашения со спонсорами для проведения оценки безопасности ИТ-продуктов и профилей защиты, в которых используется CCEVS, другие одобренные NIAP методы тестирования, полученные из общих критериев, общей методологии и других источников, основанных на технологиях. CCTL должны соблюдать самые высокие стандарты беспристрастности, честности и коммерческой конфиденциальности. CCTL должны работать в соответствии с руководящими принципами, установленными CCEVS.

Чтобы стать CCTL, испытательная лаборатория должна пройти ряд шагов, в которых задействованы как орган по валидации NIAP, так и NVLAP. Аккредитация NVLAP является основным требованием для получения статуса CCTL. Некоторые требования схемы, которые не могут быть удовлетворены аккредитацией NVLAP, рассматриваются органом по валидации NIAP. В настоящее время Органом по валидации предъявляются только три требования к конкретной схеме.

CCTL, утвержденные NIAP, должны согласиться со следующим:

  • Находиться в США и быть юридическим лицом, должным образом организованным и зарегистрированным, существующим на законных основаниях и с хорошей репутацией в соответствии с законами штата, в котором лаборатория намеревается вести бизнес.
  • Принять технический надзор правительства США и подтверждение деятельности, связанной с оценкой, в соответствии с политикой и процедурами, установленными CCEVS.
  • Принять участников правительства США в отобранных оценках общих критериев.

Аккредитация CCTL [ править ]

Испытательная лаборатория становится CCTL, когда лаборатория одобрена органом по валидации NIAP и внесена в список одобренных лабораторий .

Чтобы избежать ненужных затрат и задержек с тем, чтобы стать испытательной лабораторией, одобренной NIAP, настоятельно рекомендуется, чтобы потенциальные CCTL убедились, что они в состоянии удовлетворить требования конкретной схемы, до обращения за аккредитацией в NVLAP. Это может быть выполнено путем отправки письма о намерениях в NIAP до входа в процесс NVLAP.

Дополнительную лабораторную информацию можно найти в публикациях CCEVS:

  • # 1 Схема оценки и подтверждения общих критериев безопасности информационных технологий - организация, управление, концепция операций и публикация схемы
  • # 4 Схема оценки и подтверждения общих критериев безопасности информационных технологий - Руководство для лабораторий тестирования общих критериев

Канада [ править ]

В Канаде Служба безопасности связи Канады (CSEC) Канадская схема общих критериев (CCCS) курирует службы оценки общих критериев (CCEF). Аккредитация осуществляется Советом по стандартам Канады (SCC) в рамках его Программы аккредитации лабораторий - Канада (PALCAN) в соответствии с CAN-P-1591, адаптацией SCC стандарта ISO / IEC 17025-2005 для лабораторий ITSET. Утверждение осуществляется органом по сертификации CCS, органом, входящим в состав CSEC, и является проверкой способности заявителя выполнять компетентные оценки общих критериев.

Заметки [ править ]

  1. ^ «Договоренность о признании сертификатов общих критериев в области безопасности информационных технологий» (PDF) . CSEC. 2013. Архивировано из оригинального (PDF) 17.10.2013 . Проверено 3 марта 2013 .

Внешние ссылки [ править ]