सामान्य मानदंड: Difference between revisions

From Vigyanwiki
(Created page with "{{Short description|International standard for computer security certification}} कंप्यूटर सुरक्षा प्रमाणन के लिए...")
 
No edit summary
 
(27 intermediate revisions by 5 users not shown)
Line 1: Line 1:
{{Short description|International standard for computer security certification}}
{{Short description|International standard for computer security certification}}
[[ कंप्यूटर सुरक्षा ]] प्रमाणन के लिए सूचना प्रौद्योगिकी सुरक्षा मूल्यांकन के लिए सामान्य मानदंड (सामान्य मानदंड या सीसी के रूप में संदर्भित) एक अंतरराष्ट्रीय मानक (मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 में है।<ref>{{cite web|url=https://www.commoncriteriaportal.org|title=सामान्य मानदंड}}</ref>
[[ कंप्यूटर सुरक्षा |कंप्यूटर सुरक्षा]] आकलन के लिए सामान्य मानदंड(सामान्य मानदंड या CC के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक(मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।<ref>{{cite web|url=https://www.commoncriteriaportal.org|title=सामान्य मानदंड}}</ref>
सामान्य मानदंड एक ढांचा है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य (एसटी) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं (क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल (पीपी) से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं या दावा कर सकते हैं, और परीक्षण प्रयोगशालाएँ यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि क्या वे वास्तव में दावों को पूरा करते हैं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक और दोहराने योग्य तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।<ref>{{cite web|url=https://www.cse-cst.gc.ca/en/canadian-common-criteria-scheme/main|title=सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान}}</ref> सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम शामिल हैं।<ref>{{cite web|url=https://www.commoncriteriaportal.org/products/|title=सामान्य मानदंड प्रमाणित उत्पाद}}</ref>
सामान्य मानदंड एक प्रारूप है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य(सुरक्षा लक्ष्य) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं(क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर, मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।<ref>{{cite web|url=https://www.cse-cst.gc.ca/en/canadian-common-criteria-scheme/main|title=सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान}}</ref> सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम सम्मिलित हैं।<ref>{{cite web|url=https://www.commoncriteriaportal.org/products/|title=सामान्य मानदंड प्रमाणित उत्पाद}}</ref>




== मुख्य अवधारणाएँ ==
== मुख्य अवधारणाएँ ==
कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर सामान्य मानदंड मूल्यांकन किए जाते हैं।
सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है।


* मूल्यांकन का लक्ष्य (TOE) - उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने के लिए कार्य करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन को लक्ष्य की सुरक्षा सुविधाओं को सत्यापित करना चाहिए। यह निम्नलिखित के माध्यम से किया जाता है:
* मूल्यांकन का लक्ष्य - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है:
** सुरक्षा प्रोफ़ाइल (पीपी) – एक दस्तावेज़, जो आमतौर पर एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों के एक वर्ग के लिए सुरक्षा आवश्यकताओं की पहचान करता है (उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क [[ फ़ायरवॉल (कंप्यूटिंग) ]]) उस उपयोगकर्ता को किसी विशेष उद्देश्य के लिए। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक पीपीज़ का अनुपालन करते हैं, और उन पीपीज़ के विरुद्ध अपने उत्पादों का मूल्यांकन करवाते हैं। ऐसे मामले में, एक पीपी उत्पाद के एसटी (सुरक्षा लक्ष्य, जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या एसटी के लेखक कम से कम यह सुनिश्चित करेंगे कि प्रासंगिक पीपी में सभी आवश्यकताएं लक्ष्य के एसटी दस्तावेज़ में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक पीपी के खिलाफ प्रमाणित उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
** सुरक्षा प्रोफ़ाइल - एक दस्तावेज़, जो सामान्यतः एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है(उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क [[ फ़ायरवॉल (कंप्यूटिंग) |फ़ायरवॉल(कंप्यूटिंग)]] जो उस उपयोगकर्ता के लिए प्रासंगिक है। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक सुरक्षा प्रोफ़ाइल का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन सुरक्षा प्रोफ़ाइल के विरुद्ध करवाते हैं। ऐसे मामले में, एक सुरक्षा प्रोफ़ाइल उत्पाद के सुरक्षा लक्ष्य(जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या सुरक्षा लक्ष्य के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित सुरक्षा प्रोफ़ाइल में सभी आवश्यकताएं लक्ष्य के सुरक्षा लक्ष्य दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक सुरक्षा प्रोफ़ाइल के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
** सुरक्षा लक्ष्य (ST) – वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा ''गुणों'' की पहचान करता है। एसटी एक या एक से अधिक पीपी के साथ अनुरूपता का दावा कर सकता है। TOE का मूल्यांकन इसके ST में स्थापित SFRs (सिक्योरिटी फंक्शनल रिक्वायरमेंट्स। फिर से, नीचे देखें) के विरुद्ध किया जाता है, न अधिक और न ही कम। यह विक्रेताओं को मूल्यांकन को उनके उत्पाद की इच्छित क्षमताओं से सटीक रूप से मिलान करने की अनुमति देता है। इसका मतलब है कि एक नेटवर्क फ़ायरवॉल को [[ डेटाबेस ]] प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और वास्तव में अलग-अलग फायरवॉल का मूल्यांकन आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के खिलाफ किया जा सकता है। एसटी आमतौर पर प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा सुविधाओं का निर्धारण कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
** सुरक्षा लक्ष्य - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। सुरक्षा लक्ष्य एक या एक से अधिक सुरक्षा प्रोफ़ाइल के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके सुरक्षा लक्ष्य में स्थापित SFRs(सुरक्षा कार्यात्मक आवश्यकताएँ) के विरुद्ध ,न अधिक और न ही कम किया जाता है। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को [[ डेटाबेस |डेटाबेस]] प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। सुरक्षा लक्ष्य को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
** सुरक्षा कार्यात्मक आवश्यकताएँ (SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो एक उत्पाद द्वारा प्रदान किया जा सकता है। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक एसएफआर यह बता सकता है कि एक विशेष [[ आरबीएसी ]] का कार्य करने वाला उपयोगकर्ता [[ प्रमाणीकरण ]] कैसे हो सकता है। एसएफआर की सूची एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को एसटी में शामिल करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फ़ंक्शन का सही संचालन (जैसे भूमिकाओं के अनुसार पहुंच को सीमित करने की क्षमता) दूसरे पर निर्भर है (जैसे व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता) ).
** सुरक्षा कार्यात्मक आवश्यकताएँ(SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष [[ आरबीएसी |आरबीएसी]] भूमिका को निभाने वाला उपयोगकर्ता कैसे [[ प्रमाणीकरण |प्रमाणीकरण]] हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को सुरक्षा लक्ष्य में सम्मिलित करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फलन का सही संचालन(जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है(जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता)


मूल्यांकन प्रक्रिया [[ गुणवत्ता आश्वासन ]] प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखे जा सकने वाले विश्वास के स्तर को स्थापित करने का भी प्रयास करती है:
मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो [[ गुणवत्ता आश्वासन |गुणवत्ता आश्वासन]] प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है:


* सुरक्षा आश्वासन आवश्यकताएँ (SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण। उदाहरण के लिए, एक मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को परिवर्तन प्रबंधन प्रणाली में रखा जाए, या यह कि पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताओं को क्रमशः एसटी और पीपी में प्रलेखित किया गया है।
* सुरक्षा आश्वासन आवश्यकताएँ(SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण सुरक्षा आश्वासन कहलाती है। उदाहरण के लिए, मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः सुरक्षा लक्ष्य और सुरक्षा प्रोफ़ाइल में प्रलेखित हैं।
* [[ मूल्यांकन आश्वासन स्तर ]] (ईएएल) - मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं (SARs, ऊपर देखें) के एक पैकेज से मेल खाता है, जो एक निश्चित स्तर की सख्ती के साथ उत्पाद के पूर्ण विकास को कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी (और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर (और सबसे महंगा) है। आम तौर पर, एक एसटी या पीपी लेखक आश्वासन आवश्यकता का चयन नहीं करेगाव्यक्तिगत रूप से, लेकिन इन पैकेजों में से किसी एक को चुनें, संभवतः कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'बढ़ती' आवश्यकताएं। उच्च ईएएल ''नहीं'' आवश्यक रूप से बेहतर सुरक्षा का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई का दावा किया गया सुरक्षा आश्वासन अधिक व्यापक सत्यापन और सत्यापन है।
* [[ मूल्यांकन आश्वासन स्तर |मूल्यांकन आश्वासन स्तर]](ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग मूल्यांकन आश्वासन स्तर कहलाती है। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं के एक पैकेज से समानता रखता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी(और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर(सबसे महंगा) है। व्यापक रूप से, एक सुरक्षा लक्ष्य या सुरक्षा प्रोफ़ाइल लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा, लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है।


अब तक, अधिकांश पीपी और अधिकांश मूल्यांकित एसटी/प्रमाणित उत्पाद आईटी घटकों (जैसे, फायरवॉल, [[ ऑपरेटिंग सिस्टम ]], स्मार्ट कार्ड) के लिए हैं।
अब तक, अधिकांश सुरक्षा प्रोफ़ाइल और सबसे अधिक मूल्यांकन किए गए सुरक्षा लक्ष्य/प्रमाणित उत्पाद आईटी घटकों(जैसे, फायरवॉल, [[ ऑपरेटिंग सिस्टम |ऑपरेटिंग सिस्टम]] , स्मार्ट कार्ड) के लिए हैं।
आईटी खरीद के लिए कभी-कभी सामान्य मानदंड प्रमाणन निर्दिष्ट किया जाता है। अन्य मानकों में शामिल हैं, उदाहरण के लिए, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सीसी और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा शामिल हैं।
सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सामान्य मानदंड और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा सम्मिलित हैं।


टीओई के भीतर [[ क्रिप्टोग्राफिक ]] कार्यान्वयन का विवरण सीसी के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे [[ FIPS 140-2 ]], क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक उपयोग में क्रिप्टोग्राफ़िक एल्गोरिदम निर्दिष्ट करते हैं।
टीओई के भीतर [[ क्रिप्टोग्राफिक |क्रिप्टोग्राफिक]] कार्यान्वयन का विवरण सामान्य मानदंड के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि [[ FIPS 140-2 |FIPS 140-2]] , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं।


हाल ही में, पीपी लेखकों ने सीसी मूल्यांकनों के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को शामिल किया है जो आमतौर पर योजना-विशिष्ट व्याख्याओं के माध्यम से सीसी की सीमाओं को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किया जाएगा।
हाल ही में, सुरक्षा प्रोफ़ाइल लेखक सामान्य मानदंड मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को सम्मिलित कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सामान्य मानदंड की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे।


कुछ राष्ट्रीय मूल्यांकन योजनाएँ ईएएल-आधारित मूल्यांकनों को समाप्त कर रही हैं और केवल मूल्यांकन के लिए ऐसे उत्पादों को स्वीकार करती हैं जो अनुमोदित पीपी के साथ सख्त अनुरूपता का दावा करते हैं। संयुक्त राज्य अमेरिका वर्तमान में केवल पीपी-आधारित मूल्यांकन की अनुमति देता है। कनाडा EAL-आधारित मूल्यांकनों को चरणबद्ध तरीके से समाप्त करने की प्रक्रिया में है।
इन पहले से उपस्थित मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता थी। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।


== इतिहास ==
== इतिहास ==
सीसी की उत्पत्ति तीन मानकों से हुई:
सामान्य मानदंड तीन मानकों से उत्पन्न हुआ:


* [[ ITSEC ]] – यूरोपीय मानक, जिसे 1990 के दशक की शुरुआत में फ़्रांस, जर्मनी, नीदरलैंड और यूके द्वारा विकसित किया गया था। यह भी पहले के काम का एकीकरण था, जैसे कि दो यूके दृष्टिकोण ([[ जीसीएचक्यू ]] यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और [[ व्यापार और उद्योग विभाग (यूनाइटेड किंगडम) ]] ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और इसे अपनाया गया था कुछ अन्य देशों द्वारा, उदा। ऑस्ट्रेलिया।
* [[ ITSEC | ITSEC]] –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक के प्रारम्भ में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण([[ जीसीएचक्यू |जीसीएचक्यू]] यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और [[ व्यापार और उद्योग विभाग (यूनाइटेड किंगडम) |व्यापार और उद्योग विभाग(यूनाइटेड किंगडम)]] ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया।
* [[ CTCPEC ]] – कनाडा के मानक ने US DoD मानक का पालन किया, लेकिन कई समस्याओं से बचा और अमेरिका और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा संयुक्त रूप से उपयोग किया गया। CTCPEC मानक पहली बार मई 1993 में प्रकाशित हुआ था।
* [[ CTCPEC | CTCPEC]] कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है। CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था।
* TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 Std, जिसे TCSEC और [[ इंद्रधनुष श्रृंखला ]]के हिस्से कहा जाता है। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक की शुरुआत में [[ राष्ट्रीय सुरक्षा एजेंसी ]] और राष्ट्रीय मानक ब्यूरो (NBS अंततः राष्ट्रीय मानक और प्रौद्योगिकी संस्थान बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई थी। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।
* TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 सुरक्षा लक्ष्यd, जिसे ऑरेंज बुक और [[ इंद्रधनुष श्रृंखला |इंद्रधनुष श्रृंखला]] के हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में [[ राष्ट्रीय सुरक्षा एजेंसी |राष्ट्रीय सुरक्षा एजेंसी]] राष्ट्रीय मानक ब्यूरो(NBS अंततः NIसुरक्षा लक्ष्य बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।


इन पूर्व-मौजूदा मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।
इन पूर्व-उपस्थिता मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।


== परीक्षण संगठन ==
== परीक्षण संगठन ==
सभी [[ सामान्य मानदंड परीक्षण प्रयोगशाला ]] को ISO 17025|ISO/IEC 17025 का अनुपालन करना चाहिए, और प्रमाणीकरण निकायों को सामान्य रूप से ISO/IEC 17065 के विरुद्ध अनुमोदित किया जाएगा।
सभी [[ सामान्य मानदंड परीक्षण प्रयोगशाला |सामान्य मानदंड परीक्षण प्रयोगशाला]] को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा।


ISO 17025|ISO/IEC 17025 का अनुपालन आम तौर पर एक राष्ट्रीय अनुमोदन प्राधिकरण को प्रदर्शित किया जाता है:
ISO/IEC 17025 के अनुपालन को व्यापक रूप से एक राष्ट्रीय अनुमोदन प्राधिकरण के सामने प्रदर्शित किया जाता है:
* कनाडा में, कनाडा की मानक परिषद (SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम (PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाओं (CCEF) को मान्यता देती है।
* कनाडा में, कनाडा की मानक परिषद(SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम(PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाएं(CCEF) को मान्यता देती है।
* फ्रांस में {{ill|Comité français d'accréditation|fr}} (COFRAC) सामान्य मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे आमतौर पर कहा जाता है {{ill|Centre d'évaluation de la sécurité des technologies de l'information|fr}} (सीईएसटीआई)। मूल्यांकन Agence Nationale de la securité des Systemes d'सूचना (ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।
* फ्रांस में(COFRAC) सामान्य मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे व्यापक रूप से(CEसुरक्षा लक्ष्य) कहा जाता है। मूल्यांकन सूचना(ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।
* इटली में, [http://www.ocsi.isticom.it/ OCSI (Organismo di Certificazione della Sicurezza Informatica) सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता देता है
* इटली में, [[http://www.ocsi.isticom.it/ http://www.ocsi.iसुरक्षा लक्ष्यicom.it/] OCSI, सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता प्रदान करता है।
* भारत में, [[ इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ]] का STQC निदेशालय EAL4 के माध्यम से आश्वासन स्तर EAL 1 पर IT उत्पादों का मूल्यांकन और प्रमाणन करता है।<ref>{{Cite web |last=Indian Common Criteria Certification Scheme |title=इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू|url=https://www.commoncriteria-india.gov.in/node/2#:~:text=Common%20Criteria%20evaluation%20is%20an,they%20are%20intending%20to%20buy. |access-date=2022-06-01}}</ref>
* भारत में, [[ इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय |इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय]] का सुरक्षा लक्ष्यQC निदेशालय ईएएल4 के माध्यम से आश्वासन स्तर ईएएल 1 पर आईटी उत्पादों का मूल्यांकन और प्रमाणन करता है।<ref>{{Cite web |last=Indian Common Criteria Certification Scheme |title=इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू|url=https://www.commoncriteria-india.gov.in/node/2#:~:text=Common%20Criteria%20evaluation%20is%20an,they%20are%20intending%20to%20buy. |access-date=2022-06-01}}</ref>
* ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा (UKAS) [http://www.ukas.org/testing Commercial Evaluation Facility (CLEF)] को मान्यता देती थी; यूके 2019 से सीसी पारिस्थितिकी तंत्र में केवल एक उपभोक्ता है
* ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा(UKAS) [http://www.ukas.org/testing कमर्शियल इवैल्यूएशन फैसिलिटी(CLEF)] मान्यता देने के लिए उपयोग की जाती है; 2019 से यूके सामान्य मानदंड इकोसिस्टम में केवल एक उपभोक्ता है।
* अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) [[ राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम ]] (NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं (CCTL) को मान्यता देता है।
* अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान(NIसुरक्षा लक्ष्य) [[ राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम |राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम]](NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं(CCTL) को मान्यता देता है।
* जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक (बीएसआई)
* जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक(बीएसआई)
* स्पेन में, [https://oc.ccn.cni.es/index.php?lang=en नेशनल क्रिप्टोलॉजिक सेंटर] (CCN) सामान्य मानदंड [http://oc.ccn.cni.es/index. php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं] स्पेनिश योजना में काम कर रही हैं।
* स्पेन में, [https://oc.ccn.cni.es/index.php?lang=en नेशनल क्रिप्टोलॉजिक सेंटर](CCN) सामान्य मानदंड [http://oc.ccn.cni.es/index. php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं] स्पेनिश योजना में काम कर रही हैं।
* नीदरलैंड में, [http://www.tuv-nederland.nl/nl/17/common_criteria.html नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी] (NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज (ITSEF) को मान्यता देती है।
* नीदरलैंड में, [http://www.tuv-nederland.nl/nl/17/common_criteria.html नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी](NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज(ITSEF) को मान्यता देती है।
*स्वीडन में [https://fmv.se/en/Our-activities/CSEC---The-Swedish-Certification-Body-for-IT-Security/ स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी] (CSEC) IT को लाइसेंस देता है सुरक्षा मूल्यांकन सुविधाएं (ITSEF)
*स्वीडन में [https://fmv.se/en/Our-activities/CSEC---The-Swedish-Certification-Body-for-IT-Security/ स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी](CSEC) IT को सुरक्षा मूल्यांकन सुविधाएं(आईटीएसईएफ) का लाइसेंस दिया है।


ICCC 10 में इन संगठनों की विशेषताओं की जांच की गई और उन्हें प्रस्तुत किया गया।
इन संगठनों की विशेषताओं की जांच की गई और ICCC 10 में प्रस्तुत की गई।


== पारस्परिक मान्यता व्यवस्था ==
== पारस्परिक मान्यता व्यवस्था ==
साथ ही सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए (पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के खिलाफ मूल्यांकन को मान्यता देता है। मूल रूप से कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा 1998 में हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में शामिल हुए, इसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन शामिल हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) का नाम बदलकर [https://web.archive.org/web/20080822030243/http://www.commoncriteriaportal.org/members.html सदस्यता का विस्तार जारी है]। CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को पारस्परिक रूप से मान्यता प्राप्त है (त्रुटि निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश आमतौर पर उच्च EALs को भी पहचानते हैं। EAL5 और ऊपर के मूल्यांकन में मेजबान देश की सरकार की सुरक्षा आवश्यकताओं को शामिल करने की प्रवृत्ति होती है।
साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए(पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में सम्मिलित हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन सम्मिलित हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट(CCRA) का नाम बदला गया और [https://web.archive.org/web/20080822030243/http://www.commoncriteriaportal.org/members.html सदस्यता का विस्तार जारी है]।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है(दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश सामान्यतः उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को सम्मिलित करने की प्रवृत्ति होती है।


सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक विजन स्टेटमेंट तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2 (दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में पीपी विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से प्राप्त किया जाएगा, और अभी तक एक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।
सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक दृश्य विवरण पत्र तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2(दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में सुरक्षा प्रोफ़ाइल विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।


2 जुलाई 2014 को एक [http://www.commoncriteriaportal.org/files/CCRA%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf new CCRA] की पुष्टि की गई लक्ष्य [http://www.commoncriteriaportal.org/files/ccfiles/2012-09-001_Vision_statement_of_the_CC_and_the_CCRAv2.pdf 2012 विजन स्टेटमेंट] में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में शामिल हैं:
2 जुलाई 2014 को एक [http://www.commoncriteriaportal.org/files/CCRA%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf new CCRA] की पुष्टि की गई लक्ष्य [http://www.commoncriteriaportal.org/files/ccfiles/2012-09-001_Vision_statement_of_the_CC_and_the_CCRAv2.pdf 2012 विजन स्टेटमेंट] में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में सम्मिलित हैं:
* केवल एक सहयोगी सुरक्षा प्रोफ़ाइल (cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
* केवल एक सहयोगी सुरक्षा प्रोफ़ाइल(cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
* अंतर्राष्ट्रीय तकनीकी समुदायों (आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीपीपी के निर्माण का प्रभार दिया गया।
* अंतर्राष्ट्रीय तकनीकी समुदायों(आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीसुरक्षा प्रोफ़ाइल के निर्माण का प्रभार दिया गया।
* व्यवस्था के पिछले संस्करण के तहत जारी किए गए प्रमाणपत्रों की मान्यता सहित पिछले सीसीआरए से एक संक्रमण योजना।
* व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सामान्य मानदंडआरए से एक परिवर्तन योजना।


== मुद्दे ==
== मुद्दे ==
Line 66: Line 66:
=== आवश्यकताएँ ===
=== आवश्यकताएँ ===


सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट (श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे टीसीएसईसी और [[ एफआईपीएस 140 ]]-2।
सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट(श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और [[ एफआईपीएस 140 |एफआईपीएस 140]] -2।


=== प्रमाणीकरण का मूल्य ===
=== प्रमाणीकरण का मूल्य ===
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पाद साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित करते हैं कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पादों में साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित होती है कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।


विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न [[ माइक्रोसॉफ्ट ]] विंडोज संस्करण, [http://www.nist.org/news.php?extend.37 प्रमाणित किए गए हैं], लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा प्रकाशित किए जा रहे हैं ये विंडोज सिस्टम। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणीकरण प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले खतरों की ताकत के बारे में कुछ धारणाएं बनाने की अनुमति देती है। इसके अतिरिक्त, सीसी लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे मूल्यांकन किए गए उत्पादों की जांच आश्वासन स्तर या पीपी द्वारा निर्दिष्ट विवरण के स्तर तक की जाती है। मूल्यांकन गतिविधियाँ इसलिए केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए की जाती हैं और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करती हैं।
विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न [[ माइक्रोसॉफ्ट |माइक्रोसॉफ्ट]] विंडोज संस्करणों को [http://www.nist.org/news.php?extend.37 प्रमाणित किए गए हैं], लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा इन विंडोज सिस्टमों के लिए प्रकाशित किए जा रहे हैं। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणन प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले संकटों की ताकत के बारे में कुछ अनुमान लगाने की अनुमति देती है। इसके अतिरिक्त, सामान्य मानदंड लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे कि मूल्यांकन किए गए उत्पादों को आश्वासन स्तर या सुरक्षा प्रोफ़ाइल द्वारा निर्दिष्ट विवरण के स्तर तक जांचा जाता है। इसलिए मूल्यांकन गतिविधियों को केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए ही किया जाता है और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करता है।


Microsoft मामले में, मान्यताओं में A.PEER शामिल है:
माइक्रोसॉफ्ट परिस्थिति की मान्यताओं में एक पीयर सम्मिलित है:
<ब्लॉककोट>
  "कोई भी अन्य प्रणाली जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और समान सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित परिवेशों पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकताएँ नहीं हैं जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को संबोधित करती हों।"
  कोई भी अन्य सिस्टम जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और उसी सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित वातावरण पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकता नहीं है जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को पूरा करती हो।
यह धारणा [[ नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल |नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल]](CAPP) में निहित है, जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य धारणाओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकती हैं, विंडोज उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिन्हें मूल्यांकित संरूपण भी कहा जाता है।
</ब्लॉककोट>


यह धारणा [[ नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल ]] (CAPP) में निहित है जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य मान्यताओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकते हैं, Windows उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिसे मूल्यांकित कॉन्फ़िगरेशन के रूप में भी जाना जाता है।
चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकन विन्यास में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई देते हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणीकरण को विक्रेता द्वारा स्वेच्छा से वापस लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकन विन्यास के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के आवेदन को सम्मिलित करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफल रहने के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।


चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकित कॉन्फ़िगरेशन में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई दे रहे हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणन को विक्रेता द्वारा स्वेच्छा से वापस ले लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकित कॉन्फ़िगरेशन के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के अनुप्रयोग को शामिल करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफलता के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।
प्रमाणित माइक्रोसॉफ्ट विंडोज संस्करण अपने मूल्यांकन विन्यास में किसी माइक्रोसॉफ्ट सुरक्षा भेद्यता पैच के अनुप्रयोग को सम्मिलित किए बिना EAL4+ पर बना रहता है। यह मूल्यांकन किए गए विन्यास की सीमा और ताकत दोनों को दर्शाता है।
 
प्रमाणित Microsoft Windows संस्करण अपने मूल्यांकित कॉन्फ़िगरेशन में किसी भी Microsoft सुरक्षा भेद्यता पैच के अनुप्रयोग को शामिल किए बिना मूल्यांकन आश्वासन स्तर|EAL4+ पर बने रहते हैं। यह मूल्यांकित कॉन्फ़िगरेशन की सीमा और शक्ति दोनों को दर्शाता है।


===आलोचना ===
===आलोचना ===
अगस्त 2007 में, Government Computing News|Government Computing News (GCN) स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और सत्यापन योजना (CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की गंभीर रूप से जांच की।<ref>[http://gcn.com/articles/2007/08/10/under-attack.aspx Under Attack: Common Criteria has loads of critics, but is it getting a bum rap] Government Computer News, retrieved 2007-12-14</ref> कॉलम में सुरक्षा उद्योग के अधिकारियों, शोधकर्ताओं और राष्ट्रीय सूचना आश्वासन भागीदारी (एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में उल्लिखित आपत्तियों में शामिल हैं:
अगस्त 2007 में, गवर्नमेंट कंप्यूटिंग न्यूज़(GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना(CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।<ref>[http://gcn.com/articles/2007/08/10/under-attack.aspx Under Attack: Common Criteria has loads of critics, but is it getting a bum rap] Government Computer News, retrieved 2007-12-14</ref> स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी(एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में सम्मिलित हैं:


* मूल्यांकन एक महंगी प्रक्रिया है (अक्सर सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी जरूरी नहीं कि एक अधिक सुरक्षित उत्पाद हो।
* मूल्यांकन एक महंगी प्रक्रिया है(प्रायः सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है।
* मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेजों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की खूबियों पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर में ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर पूर्ण स्रोत कोड विश्लेषण आवश्यक है।
* मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है।
* मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, तब तक मूल्यांकन में उत्पाद आम तौर पर अप्रचलित हो जाता है।
* मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद सामान्यतः अप्रचलित होता है।
* उद्योग इनपुट, जिसमें कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट शामिल हैं, का आम तौर पर पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।
* कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।


2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुक्त [[ मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर ]]FOSS)-केंद्रित संगठनों और विकास मॉडल के साथ भेदभाव करती है।<ref>[http://www.dwheeler.com/essays/oss_software_assurance.pdf Free-Libre / Open Source Software (FLOSS) and Software Assurance]</ref> सामान्य मानदंड आश्वासन आवश्यकताएं पारंपरिक जलप्रपात मॉडल सॉफ्टवेयर विकास पद्धति से प्रेरित होती हैं। इसके विपरीत, आधुनिक फुर्तीले सॉफ्टवेयर विकास प्रतिमानों का उपयोग करके बहुत से FOSS सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं हैं,<ref>Wäyrynen, J., Bodén, M., and Boström, G., ''Security Engineering and eXtreme Programming: An Impossible Marriage''?</ref> दूसरों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।<ref>{{cite web|last1=Beznosov|first1=Konstantin|last2=Kruchten|first2=Philippe|url=http://lersse-dl.ece.ubc.ca/record/87|title=चुस्त सुरक्षा आश्वासन की ओर|access-date=2007-12-14|archive-url=https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/|archive-date=2011-08-19|url-status=dead}}</ref> राजनीतिक विज्ञानी [[ जान कल्बर्ग ]] ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी कर्मचारी वाले संगठनात्मक निकाय की अनुपस्थिति, और यह विचार कि आम मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास होगा, पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।<ref>[http://www.utdallas.edu/~bxt043000/Publications/Technical-Reports/UTDCS-13-12.pdf Common Criteria meets Realpolitik&nbsp;– Trust, Alliances, and Potential Betrayal]</ref>
2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया [[ मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर |मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर]] फॉस)-केंद्रित संगठनों और विकास मॉडल के विरुद्ध भेदभाव करती है।<ref>[http://www.dwheeler.com/essays/oss_software_assurance.pdf Free-Libre / Open Source Software (FLOSS) and Software Assurance]</ref> सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से फॉस सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,<ref>Wäyrynen, J., Bodén, M., and Boström, G., ''Security Engineering and eXtreme Programming: An Impossible Marriage''?</ref> अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।<ref>{{cite web|last1=Beznosov|first1=Konstantin|last2=Kruchten|first2=Philippe|url=http://lersse-dl.ece.ubc.ca/record/87|title=चुस्त सुरक्षा आश्वासन की ओर|access-date=2007-12-14|archive-url=https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/|archive-date=2011-08-19|url-status=dead}}</ref> राजनीतिक विज्ञानी [[ जान कल्बर्ग |जान कल्बर्ग]] ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।<ref>[http://www.utdallas.edu/~bxt043000/Publications/Technical-Reports/UTDCS-13-12.pdf Common Criteria meets Realpolitik&nbsp;– Trust, Alliances, and Potential Betrayal]</ref>
2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों को उजागर किया:<ref name=parsovs_phd>{{cite thesis|type=PhD|first=Arnis|last=Parsovs|date=March 2021|title=एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ|publisher=University of Tartu|url=https://dspace.ut.ee/handle/10062/71481|pages=141–143}}</रेफरी>
2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:<ref name=parsovs_phd>{{cite thesis|type=PhD|first=Arnis|last=Parsovs|date=March 2021|title=एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ|publisher=University of Tartu|url=https://dspace.ut.ee/handle/10062/71481|pages=141–143}}</ref>
* भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, [[ सूचना सुरक्षा के लिए संघीय कार्यालय ]] अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है।
* भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, [[ सूचना सुरक्षा के लिए संघीय कार्यालय ]] अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है।
* भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक ​​कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है।
* भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक ​​कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है।
Line 100: Line 97:


== वैकल्पिक दृष्टिकोण ==
== वैकल्पिक दृष्टिकोण ==
CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि [[ FIPS-140 ]] के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )<ref>{{cite web |url=http://www.cesg.gov.uk/site/caps/index.cfm |title=CAPS: CESG से सहायता प्राप्त उत्पाद योजना|archive-url=https://web.archive.org/web/20080801151344/http://www.cesg.gov.uk/site/caps/index.cfm |archive-date=August 1, 2008 }} </ref> उक में।
CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि [[ FIPS-140 ]] के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )<ref>{{cite web |url=http://www.cesg.gov.uk/site/caps/index.cfm |title=CAPS: CESG से सहायता प्राप्त उत्पाद योजना|archive-url=https://web.archive.org/web/20080801151344/http://www.cesg.gov.uk/site/caps/index.cfm |archive-date=August 1, 2008 }} </ref> यूके(UK) में।


यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:
यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:
* जीसीएचक्यू सिस्टम इवैल्यूएशन (एसवाईएसएन) और फास्ट ट्रैक एप्रोच (एफटीए) योजनाएं जेनेरिक उत्पादों और सेवाओं के बजाय सरकारी सिस्टम के आश्वासन के लिए हैं, जिन्हें अब सीईएसजी टेलर्ड एश्योरेंस सर्विस (सीटीएएस) में विलय कर दिया गया है। <ref>[http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 Infosec Assurance and Certification Services (IACS)] {{webarchive |url=https://web.archive.org/web/20080220132906/http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 |date=February 20, 2008 }}</ref>
* सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन(SYSN) और फास्ट ट्रैक दृष्टिकोण(FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस(CTAS) में मिला दिया गया है। <ref>[http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 Infosec Assurance and Certification Services (IACS)] {{webarchive |url=https://web.archive.org/web/20080220132906/http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 |date=February 20, 2008 }}</ref>
* [[ सीसीटी मार्क ]] (सीसीटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम विस्तृत आश्वासन आवश्यकताओं को पूरा करना है।
* [[ सीसीटी मार्क | सामान्य मानदंडटी मार्क]](सामान्य मानदंडटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है।
 
2011 के प्रारम्भ में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।<ref>{{cite web|url=http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |title=सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद|archive-url=https://web.archive.org/web/20120417104556/http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |archive-date=April 17, 2012 }}</ref> उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।<ref>{{cite web|url=http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|archive-url=https://archive.today/20120529205154/http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|url-status=dead|archive-date=2012-05-29|title=सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?}}</ref>
2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक [http://www.commoncriteriaportal.org/vision.cfm विजन स्टेटमेंट] प्रकाशित किया। दृष्टि के प्रमुख तत्वों में सम्मिलित हैं:
* तकनीकी समुदाय संरक्षण प्रोफाइल(सुरक्षा प्रोफ़ाइल) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
* यदि संभव हो तो इन सुरक्षा प्रोफ़ाइल के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी।
 
 
 
 
 
 
 
 
 
 


2011 की शुरुआत में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के प्रति एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।<ref>{{cite web|url=http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |title=सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद|archive-url=https://web.archive.org/web/20120417104556/http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |archive-date=April 17, 2012 }}</ref> उद्देश्य एक अधिक मजबूत मूल्यांकन है। कुछ चिंता है कि इससे #पारस्परिक मान्यता व्यवस्था पर नकारात्मक प्रभाव पड़ सकता है।<ref>{{cite web|url=http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|archive-url=https://archive.today/20120529205154/http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|url-status=dead|archive-date=2012-05-29|title=सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?}}</ref>
2012 के सितंबर में, कॉमन क्राइटेरिया ने एक [http://www.commoncriteriaportal.org/vision.cfm विजन स्टेटमेंट] प्रकाशित किया, जो काफी हद तक क्रिस साल्टर के पिछले साल के विचारों को लागू करता है। विजन के प्रमुख तत्वों में शामिल हैं:
* तकनीकी समुदायों को संरक्षण प्रोफाइल (पीपी) लिखने पर ध्यान केंद्रित किया जाएगा जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
* यदि संभव हो तो इन पीपी के विरुद्ध मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता EAL2 तक सीमित नहीं होगी।


== यह भी देखें ==
== यह भी देखें ==
Line 140: Line 148:
== बाहरी संबंध ==
== बाहरी संबंध ==
* [https://www.commoncriteriaportal.org/ The official website of the Common Criteria Project]
* [https://www.commoncriteriaportal.org/ The official website of the Common Criteria Project]
* [https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm The Common Criteria standard documents]
* [https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm The Common Criteria सुरक्षा लक्ष्यandard documents]
* [https://www.commoncriteriaportal.org/products/ List of Common Criteria evaluated products]
* [https://www.commoncriteriaportal.org/products/ Liसुरक्षा लक्ष्य of Common Criteria evaluated products]
* [https://www.commoncriteriaportal.org/labs/ List of Licensed Common Criteria Laboratories]
* [https://www.commoncriteriaportal.org/labs/ Liसुरक्षा लक्ष्य of Licensed Common Criteria Laboratories]
* [https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/ Towards Agile Security Assurance]
* [https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/ Towards Agile Security Assurance]
* [http://www.corsec.com/index.php?option=com_content&task=blogcategory&id=20&Itemid=65 Important Common Criteria Acronyms]
* [http://www.corsec.com/index.php?option=com_content&task=blogcategory&id=20&Itemid=65 Important Common Criteria Acronyms]
Line 153: Line 161:


{{ISO standards}}
{{ISO standards}}
{{List of International Electrotechnical Commission standards}}[[Category: कंप्यूटर सुरक्षा मानक]]
{{List of International Electrotechnical Commission standards}}
[[Category: कंप्यूटर का मूल्यांकन]]
[[Category:आईएसओ मानक]]


 
[[Category:Articles with short description]]
[[Category: Machine Translated Page]]
[[Category:CS1 français-language sources (fr)]]
[[Category:CS1 maint]]
[[Category:CS1 Ελληνικά-language sources (el)]]
[[Category:Citation Style 1 templates|W]]
[[Category:Collapse templates]]
[[Category:Created On 22/11/2022]]
[[Category:Created On 22/11/2022]]
[[Category:Machine Translated Page]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists]]
[[Category:Pages with reference errors]]
[[Category:Pages with script errors]]
[[Category:Short description with empty Wikidata description]]
[[Category:Sidebars with styles needing conversion]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates based on the Citation/CS1 Lua module]]
[[Category:Templates generating COinS|Cite web]]
[[Category:Templates generating microformats]]
[[Category:Templates that are not mobile friendly]]
[[Category:Templates used by AutoWikiBrowser|Cite web]]
[[Category:Templates using TemplateData]]
[[Category:Webarchive template wayback links]]
[[Category:Wikipedia fully protected templates|Cite web]]
[[Category:Wikipedia metatemplates]]
[[Category:आईएसओ मानक]]
[[Category:कंप्यूटर का मूल्यांकन]]
[[Category:कंप्यूटर सुरक्षा मानक]]

Latest revision as of 09:57, 13 December 2022

कंप्यूटर सुरक्षा आकलन के लिए सामान्य मानदंड(सामान्य मानदंड या CC के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक(मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।[1] सामान्य मानदंड एक प्रारूप है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य(सुरक्षा लक्ष्य) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं(क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर, मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।[2] सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम सम्मिलित हैं।[3]


मुख्य अवधारणाएँ

सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है।

  • मूल्यांकन का लक्ष्य - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है:
    • सुरक्षा प्रोफ़ाइल - एक दस्तावेज़, जो सामान्यतः एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है(उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क फ़ायरवॉल(कंप्यूटिंग) जो उस उपयोगकर्ता के लिए प्रासंगिक है। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक सुरक्षा प्रोफ़ाइल का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन सुरक्षा प्रोफ़ाइल के विरुद्ध करवाते हैं। ऐसे मामले में, एक सुरक्षा प्रोफ़ाइल उत्पाद के सुरक्षा लक्ष्य(जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या सुरक्षा लक्ष्य के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित सुरक्षा प्रोफ़ाइल में सभी आवश्यकताएं लक्ष्य के सुरक्षा लक्ष्य दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक सुरक्षा प्रोफ़ाइल के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
    • सुरक्षा लक्ष्य - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। सुरक्षा लक्ष्य एक या एक से अधिक सुरक्षा प्रोफ़ाइल के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके सुरक्षा लक्ष्य में स्थापित SFRs(सुरक्षा कार्यात्मक आवश्यकताएँ) के विरुद्ध ,न अधिक और न ही कम किया जाता है। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को डेटाबेस प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। सुरक्षा लक्ष्य को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
    • सुरक्षा कार्यात्मक आवश्यकताएँ(SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष आरबीएसी भूमिका को निभाने वाला उपयोगकर्ता कैसे प्रमाणीकरण हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को सुरक्षा लक्ष्य में सम्मिलित करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फलन का सही संचालन(जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है(जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता)।

मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो गुणवत्ता आश्वासन प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है:

  • सुरक्षा आश्वासन आवश्यकताएँ(SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण सुरक्षा आश्वासन कहलाती है। उदाहरण के लिए, मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः सुरक्षा लक्ष्य और सुरक्षा प्रोफ़ाइल में प्रलेखित हैं।
  • मूल्यांकन आश्वासन स्तर(ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग मूल्यांकन आश्वासन स्तर कहलाती है। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं के एक पैकेज से समानता रखता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी(और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर(सबसे महंगा) है। व्यापक रूप से, एक सुरक्षा लक्ष्य या सुरक्षा प्रोफ़ाइल लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा, लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है।

अब तक, अधिकांश सुरक्षा प्रोफ़ाइल और सबसे अधिक मूल्यांकन किए गए सुरक्षा लक्ष्य/प्रमाणित उत्पाद आईटी घटकों(जैसे, फायरवॉल, ऑपरेटिंग सिस्टम , स्मार्ट कार्ड) के लिए हैं। सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सामान्य मानदंड और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा सम्मिलित हैं।

टीओई के भीतर क्रिप्टोग्राफिक कार्यान्वयन का विवरण सामान्य मानदंड के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि FIPS 140-2 , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं।

हाल ही में, सुरक्षा प्रोफ़ाइल लेखक सामान्य मानदंड मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को सम्मिलित कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सामान्य मानदंड की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे।

इन पहले से उपस्थित मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता थी। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

इतिहास

सामान्य मानदंड तीन मानकों से उत्पन्न हुआ:

  • ITSEC –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक के प्रारम्भ में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण(जीसीएचक्यू यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और व्यापार और उद्योग विभाग(यूनाइटेड किंगडम) ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया।
  • CTCPEC – कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है। CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था।
  • TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 सुरक्षा लक्ष्यd, जिसे ऑरेंज बुक और इंद्रधनुष श्रृंखला के हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में राष्ट्रीय सुरक्षा एजेंसी राष्ट्रीय मानक ब्यूरो(NBS अंततः NIसुरक्षा लक्ष्य बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।

इन पूर्व-उपस्थिता मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

परीक्षण संगठन

सभी सामान्य मानदंड परीक्षण प्रयोगशाला को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा।

ISO/IEC 17025 के अनुपालन को व्यापक रूप से एक राष्ट्रीय अनुमोदन प्राधिकरण के सामने प्रदर्शित किया जाता है:

इन संगठनों की विशेषताओं की जांच की गई और ICCC 10 में प्रस्तुत की गई।

पारस्परिक मान्यता व्यवस्था

साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए(पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में सम्मिलित हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन सम्मिलित हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट(CCRA) का नाम बदला गया और सदस्यता का विस्तार जारी है।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है(दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश सामान्यतः उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को सम्मिलित करने की प्रवृत्ति होती है।

सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक दृश्य विवरण पत्र तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2(दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में सुरक्षा प्रोफ़ाइल विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।

2 जुलाई 2014 को एक new CCRA की पुष्टि की गई लक्ष्य 2012 विजन स्टेटमेंट में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में सम्मिलित हैं:

  • केवल एक सहयोगी सुरक्षा प्रोफ़ाइल(cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
  • अंतर्राष्ट्रीय तकनीकी समुदायों(आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीसुरक्षा प्रोफ़ाइल के निर्माण का प्रभार दिया गया।
  • व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सामान्य मानदंडआरए से एक परिवर्तन योजना।

मुद्दे

आवश्यकताएँ

सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट(श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और एफआईपीएस 140 -2।

प्रमाणीकरण का मूल्य

सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पादों में साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित होती है कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।

विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न माइक्रोसॉफ्ट विंडोज संस्करणों को प्रमाणित किए गए हैं, लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा इन विंडोज सिस्टमों के लिए प्रकाशित किए जा रहे हैं। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणन प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले संकटों की ताकत के बारे में कुछ अनुमान लगाने की अनुमति देती है। इसके अतिरिक्त, सामान्य मानदंड लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे कि मूल्यांकन किए गए उत्पादों को आश्वासन स्तर या सुरक्षा प्रोफ़ाइल द्वारा निर्दिष्ट विवरण के स्तर तक जांचा जाता है। इसलिए मूल्यांकन गतिविधियों को केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए ही किया जाता है और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करता है।

माइक्रोसॉफ्ट परिस्थिति की मान्यताओं में एक पीयर सम्मिलित है:

"कोई भी अन्य प्रणाली जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और समान सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित परिवेशों पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकताएँ नहीं हैं जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को संबोधित करती हों।"

यह धारणा नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल(CAPP) में निहित है, जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य धारणाओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकती हैं, विंडोज उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिन्हें मूल्यांकित संरूपण भी कहा जाता है।

चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकन विन्यास में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई देते हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणीकरण को विक्रेता द्वारा स्वेच्छा से वापस लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकन विन्यास के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के आवेदन को सम्मिलित करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफल रहने के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।

प्रमाणित माइक्रोसॉफ्ट विंडोज संस्करण अपने मूल्यांकन विन्यास में किसी माइक्रोसॉफ्ट सुरक्षा भेद्यता पैच के अनुप्रयोग को सम्मिलित किए बिना EAL4+ पर बना रहता है। यह मूल्यांकन किए गए विन्यास की सीमा और ताकत दोनों को दर्शाता है।

आलोचना

अगस्त 2007 में, गवर्नमेंट कंप्यूटिंग न्यूज़(GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना(CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।[5] स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी(एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में सम्मिलित हैं:

  • मूल्यांकन एक महंगी प्रक्रिया है(प्रायः सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है।
  • मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है।
  • मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद सामान्यतः अप्रचलित होता है।
  • कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।

2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर फॉस)-केंद्रित संगठनों और विकास मॉडल के विरुद्ध भेदभाव करती है।[6] सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से फॉस सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,[7] अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।[8] राजनीतिक विज्ञानी जान कल्बर्ग ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।[9] 2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:[10]

  • भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, सूचना सुरक्षा के लिए संघीय कार्यालय अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है।
  • भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक ​​कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है।
  • जबकि कई सामान्य मानदंड प्रमाणित उत्पाद ROCA दोष से प्रभावित हुए हैं, प्रमाणन के संदर्भ में विक्रेताओं की प्रतिक्रियाएँ भिन्न रही हैं। कुछ उत्पादों के लिए एक रखरखाव रिपोर्ट जारी की गई थी, जिसमें कहा गया है कि केवल 3072 और 3584 बिट्स की लंबाई वाली RSA कुंजियों में कम से कम 100 बिट्स का सुरक्षा स्तर है, जबकि कुछ उत्पादों के लिए रखरखाव रिपोर्ट में यह उल्लेख नहीं है कि TOE में परिवर्तन प्रभावित करता है। प्रमाणित क्रिप्टोग्राफिक सुरक्षा कार्यक्षमता, लेकिन निष्कर्ष निकाला है कि परिवर्तन मार्गदर्शन प्रलेखन के स्तर पर है और इसका आश्वासन पर कोई प्रभाव नहीं है।
  • सूचना सुरक्षा के लिए संघीय कार्यालय के अनुसार, प्रमाणित अंत उत्पादों के उपयोगकर्ताओं को विक्रेताओं द्वारा आरओसीए भेद्यता के बारे में सूचित किया जाना चाहिए। हालांकि, यह जानकारी एस्टोनियाई अधिकारियों तक समय पर नहीं पहुंच पाई, जिन्होंने 750,000 से अधिक एस्टोनियाई पहचान पत्र पर कमजोर उत्पाद को तैनात किया था।

वैकल्पिक दृष्टिकोण

CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि FIPS-140 के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )[11] यूके(UK) में।

यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:

  • सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन(SYSN) और फास्ट ट्रैक दृष्टिकोण(FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस(CTAS) में मिला दिया गया है। [12]
  • सामान्य मानदंडटी मार्क(सामान्य मानदंडटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है।

2011 के प्रारम्भ में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।[13] उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।[14] 2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक विजन स्टेटमेंट प्रकाशित किया। दृष्टि के प्रमुख तत्वों में सम्मिलित हैं:

  • तकनीकी समुदाय संरक्षण प्रोफाइल(सुरक्षा प्रोफ़ाइल) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
  • यदि संभव हो तो इन सुरक्षा प्रोफ़ाइल के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी।







यह भी देखें

संदर्भ

  1. "सामान्य मानदंड".
  2. "सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान".
  3. "सामान्य मानदंड प्रमाणित उत्पाद".
  4. Indian Common Criteria Certification Scheme. "इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू". Retrieved 2022-06-01.
  5. Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Government Computer News, retrieved 2007-12-14
  6. Free-Libre / Open Source Software (FLOSS) and Software Assurance
  7. Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
  8. Beznosov, Konstantin; Kruchten, Philippe. "चुस्त सुरक्षा आश्वासन की ओर". Archived from the original on 2011-08-19. Retrieved 2007-12-14.
  9. Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal
  10. Parsovs, Arnis (March 2021). एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ (PhD). University of Tartu. pp. 141–143.
  11. "CAPS: CESG से सहायता प्राप्त उत्पाद योजना". Archived from the original on August 1, 2008.
  12. Infosec Assurance and Certification Services (IACS) Archived February 20, 2008, at the Wayback Machine
  13. "सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद" (PDF). Archived from the original (PDF) on April 17, 2012.
  14. "सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?". Archived from the original on 2012-05-29.


इस पेज में लापता आंतरिक लिंक की सूची

  • इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
  • अंतर्राष्ट्रीय मानक
  • अंतरराष्ट्रीय मानकीकरण संगठन
  • संरक्षण प्रोफ़ाइल
  • आईटी आधारभूत सुरक्षा
  • अंगुली का हस्ताक्षर
  • मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
  • चुस्त सॉफ्टवेयर विकास
  • आरओसीए भेद्यता

बाहरी संबंध