Criteri comuni (CC) per la valutazione della sicurezza informatica

Common Criteria (CC) è un insieme internazionale di linee guida e specifiche sviluppate per la valutazione dei prodotti per la sicurezza delle informazioni, specificamente per garantire che soddisfino uno standard di sicurezza concordato per le implementazioni governative. Common Criteria è più formalmente chiamato "Common Criteria for Information Technology Security Evaluation". 

Common Criteria ha due componenti chiave: profili di protezione e livelli di garanzia di valutazione. Un profilo di protezione (PPro) definisce un insieme standard di requisiti di sicurezza per un tipo specifico di prodotto, come un firewall. Il livello di garanzia della valutazione (EAL) definisce il livello di accuratezza del test del prodotto. I livelli di garanzia della valutazione sono scalati da 1 a 7, uno rappresenta il livello di valutazione più basso e sette il livello di valutazione più alto. Una valutazione di livello superiore non significa che il prodotto abbia un livello di sicurezza più elevato, ma solo che il prodotto è stato sottoposto a più test. 

Per inviare un prodotto per la valutazione, il fornitore deve prima completare una descrizione del target di sicurezza (ST), che include una panoramica del prodotto e delle caratteristiche di sicurezza del prodotto, una valutazione delle potenziali minacce alla sicurezza e l'autovalutazione del fornitore che dettaglia in che modo il prodotto è conforme a il profilo di protezione pertinente al livello di garanzia di valutazione rispetto al quale il fornitore sceglie di eseguire il test. Il laboratorio quindi testa il prodotto per verificarne le caratteristiche di sicurezza e valuta se soddisfa le specifiche definite nel profilo di protezione. I risultati di una valutazione di successo costituiscono la base per una certificazione ufficiale del prodotto. L'obiettivo della certificazione CC è garantire ai clienti che i prodotti che stanno acquistando siano stati valutati e che le affermazioni del fornitore siano state verificate da una terza parte indipendente dal fornitore. 

 

Per saperne di più:

Il Common Criteria Portal rende le linee guida e le specifiche disponibili per il download. 

I criteri di valutazione del sistema informatico attendibile sono stati sostituiti dai criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione nel 2005.