În 1991, cu sprijinul UE, şi a guvernelor USA şi al Canadei a fost elaborat planul documentului Common Criteria (CC – Criterii Comune), având ca scop armonizarea diferenţelor tehnice şi de conţinut ale recomandărilor anterioare.

Versiunea 2.0 al documentului Common Criteria a apărut în anul 1998. Documentul CC 2.0 – cu conţinut identic – a fost publicat şi de ISO/IEC cu numărul 15408, şi cu titlul „Common Criteria for Information Technology Security Evaluation, version 2.0”.

Rezoluţia Consiliului Europei din 28 Ianuarie 2002, privind o abordare comună şi acţiuni specifice în domeniul securităţii reţelelor şi informaţiilor, defineşte standardul internaţional ISO-15408 ca un sistem recunoscut în definirea cerinţelor de securitate pentru calculatoare şi reţele, precum şi în privinţa evaluării unui anumit produs în conformitate cu aceste cerinţe.

Pe plan internaţional există organismul internaţional de standardizare JTC1 – Joint Technical Committee 1, a cărui activitate se desfăşoară în şaptesprezece subcomitete. În cadrul subcomitetului SC 27: Tehnici de Securitate în Tehnologia Informaţiei sunt elaborate standardele internaţionale pentru tehnologia informaţiei. Dintre standardele care se referă la acest subiect, familia de standarde ISO/CEI 15408 constituie un instrument important care poate ajuta consumatorii de tehnologie a informaţiei să poată decide în cunoştinţă de cauză şi să comande o analiză a securităţii unui produs sau sistem (de exemplu, o evaluare de securitate), în scopul creşterii încrederii în măsurile de securitate ale acestuia. În 2004 s-a adoptat sub formă de standard român standardul internaţional ISO/CEI 15408-1:1999. Acest standard reprezintă prima parte a standardului internaţional ISO/CEI 15408, alcătuit din trei părţi. În el sunt definite criterii, denumite Criterii Comune (CC), în scopul utilizării ca bază pentru evaluarea proprietăţilor de securitate ale produselor şi sistemelor IT. Prin stabilirea unei astfel de baze, rezultatele unei evaluări a securităţii IT vor fi semnificative pentru cât mai mulţi utilizatori.

Standardul ISO/IEC 15408 precizează Criteriile Comune care pot fi utilizate pentru evaluarea securităţii produselor şi sistemelor IT. Astfel, este definit un set comun de cerinţe privind securitatea sistemelor, precum şi măsurile asiguratorii aplicate în timpul unei evaluări de securitate. Rezultatele evaluării indică gradul de siguranţă oferit de sistem. Criteriile Comune reprezintă, în egală măsură, un ghid pentru dezvoltarea de produse sau sisteme care includ funcţii de securitate IT.

Caracteristicile principale ale Common Criteria sunt următoarele:

  • Stabileşte condiţii unitare, independente de modul de realizare.
  • Conferă metodologie unitară pentru evaluarea sistemelor informatice, pentru evaluarea produselor din punct de vedere al securităţii informatice, respectiv pentru certificare.
  • Stabileşte catalogul criteriilor de securitate a sistemelor informatice, cuprinzând categorii pe mai multe niveluri.
  • Se poate aplica şi la examinarea elementelor de hardware sau software.
  • Produsele pot fi selectate în mod flexibil, deoarece condiţiile nu sunt specifice pentru hardware sau software.
  • Se poate defini funcţionalitatea securităţii în sensul că, potrivit termenilor CC, profilul de protecţie (Protection Profile), poate fi încadrat independent în unul din cele şapte niveluri stabilite de CC (Evaluation Assurance Level – EAL).

Folosirea Criteriilor Comune este utilă atât ca ghid pentru dezvoltarea produselor sau sistemelor IT

cu funcţii de securitate, cât şi la achiziţia de produse comerciale şi sisteme cu astfel de funcţii.

Pe parcursul evaluării, un astfel de produs sau sistem IT este denumit Ţintă de Evaluare (Target of Evaluation – TOE).

Astfel de Ţinte de Evaluare (TOE) includ, de exemplu:

  • sisteme de operare,
  • reţele de calculatoare,
  • sisteme distribuite
  • aplicaţii.

Criteriile Comune se referă la:

  • protecţia informaţiilor împotriva dezvăluirilor neautorizate,
  • modificări şi cerinţele necesare pentru evaluarea securităţii.
  • indisponibilităţi ale informaţiilor.

Criteriile Comune sunt aplicabile acolo unde se urmăreşte asigurarea protecţiei împotriva oricăror încălcări ale securităţii referitoare la confidenţialitatea,integritatea şi, respectiv, disponibilitatea informaţiilor.

De asemenea, Criteriile Comune se pot aplica şi atunci când apar ameninţări la adresa informaţiei generate de activităţi umane, de natură rău intenţionată sau nu.

CC sunt aplicabile măsurilor de securitate IT implementate prin hardware, firmware sau software.

În celelalte două părţi ale standardului ISO/CEI 15408, care nu s-au preluat încă în limba română, sunt prezentate cerinţele funcţionale de securitate.

Comments are closed.