Introduzione ai Common Criteria (CC)
I Common Criteria (CC) sono uno standard riconosciuto a livello internazionale per la valutazione della sicurezza dei prodotti informatici. Fornisce la garanzia che i prodotti soddisfano determinati requisiti di sicurezza e possono essere utilizzati con fiducia in un ambiente con requisiti di sicurezza. Il CC è uno sforzo congiunto tra governi, fornitori e laboratori di valutazione per fornire un ambiente sicuro e affidabile per i sistemi informatici.
Scopo e vantaggi del CC
Lo scopo del CC è fornire la garanzia che la sicurezza di un prodotto sia affidabile. Il CC fornisce un quadro di riferimento per i venditori per valutare la sicurezza dei loro prodotti e per i governi per valutare la sicurezza dei prodotti per il loro uso. I vantaggi del CC includono la garanzia della sicurezza dei prodotti, una migliore protezione delle informazioni riservate e una maggiore sicurezza dei sistemi.
Storia e sviluppo del CC
Il CC è stato sviluppato da tre organizzazioni: il National Institute of Standards and Technology (NIST), l'International Organization for Standardization (ISO) e l'International Electrotechnical Commission (IEC). La prima versione di CC è stata rilasciata nel 1999 e da allora è stata aggiornata all'ultima versione, CC 3.1, rilasciata nel 2019.
Processo di valutazione della sicurezza CC
Il processo di valutazione della sicurezza CC prevede una serie di fasi. Il primo passo è l'invio da parte del fornitore di un documento Security Target (ST) che delinea i requisiti di sicurezza del prodotto. L'ST viene quindi esaminato da un laboratorio CC accreditato per determinare se soddisfa i requisiti di CC. Se l'ST soddisfa i requisiti, il prodotto viene valutato dal laboratorio utilizzando un EAL (Evaluation Assurance Level).
Livelli di garanzia di valutazione CC
Gli EAL sono una serie di livelli che descrivono il livello di garanzia di sicurezza di un prodotto. I livelli vanno da EAL1, che è il livello di garanzia più basso, a EAL7, che è il livello di garanzia più alto. Più alto è l'EAL, più rigoroso è il processo di valutazione.
Requisiti funzionali di sicurezza di CC
I requisiti funzionali di sicurezza di CC sono una serie di requisiti che devono essere soddisfatti affinché un prodotto sia conforme allo standard CC. Questi requisiti coprono aree quali l'autenticazione, il controllo degli accessi, l'integrità dei dati e la riservatezza.
Requisiti di sicurezza target di CC
I requisiti di sicurezza target di CC sono un insieme di requisiti che devono essere soddisfatti affinché un prodotto sia conforme allo standard CC. Questi requisiti coprono aree quali l'ambiente di destinazione, i componenti del sistema e l'ambiente di minaccia.
Certificazione e accreditamento con CC
Una volta che un prodotto ha superato la valutazione CC, il fornitore può ottenere la certificazione da un organismo di certificazione accreditato. Questa certificazione garantisce che il prodotto è stato valutato secondo lo standard CC e soddisfa i requisiti di sicurezza. La certificazione può quindi essere utilizzata per ottenere l'accreditamento da parte del governo o di un altro ente certificatore, che garantisce che il prodotto può essere utilizzato nell'ambiente con i requisiti di sicurezza specificati.
In conclusione, Common Criteria (CC) è uno standard per la valutazione della sicurezza dei prodotti informatici. Fornisce la garanzia che i prodotti soddisfino determinati requisiti di sicurezza e che si possa fare affidamento sul loro utilizzo in un ambiente con requisiti di sicurezza. Lo scopo del CC è quello di garantire che la sicurezza di un prodotto sia affidabile e i vantaggi del CC includono la garanzia della sicurezza del prodotto, una migliore protezione delle informazioni riservate e una maggiore sicurezza dei sistemi. Il CC ha un processo di valutazione della sicurezza che prevede l'invio di un Security Target (ST) a un laboratorio accreditato CC, la valutazione del prodotto mediante un Evaluation Assurance Level (EAL) e l'ottenimento della certificazione e dell'accreditamento del prodotto.
Il Common Criteria security framework è uno standard riconosciuto a livello internazionale per la sicurezza delle informazioni che fornisce una base comune per la valutazione della sicurezza di prodotti e sistemi IT. Il framework è stato progettato per essere utilizzato da governi, aziende e privati per valutare la sicurezza di prodotti e sistemi IT.
I criteri di valutazione della sicurezza si riferiscono al processo e agli standard utilizzati per valutare la sicurezza di un sistema informativo. Ciò include la valutazione della capacità del sistema di proteggere i dati e le risorse da accesso, uso, divulgazione o distruzione non autorizzati. I criteri utilizzati nella valutazione della sicurezza possono variare a seconda del tipo di sistema da valutare, ma possono includere fattori quali i controlli di sicurezza del sistema, la sua architettura e progettazione, l'implementazione e il funzionamento.
I Criteri comuni per la valutazione della sicurezza delle informazioni (CC) sono un insieme di standard riconosciuti a livello internazionale che forniscono una guida per la valutazione delle dichiarazioni di sicurezza dei fornitori. Il CC è diviso in sette parti: le prime quattro forniscono informazioni generali sul CC, mentre le ultime tre specificano i requisiti di sicurezza che sono incorporati in un obiettivo di valutazione.