सामान्य मानदंड: Difference between revisions
(→इतिहास) |
No edit summary |
||
(14 intermediate revisions by 5 users not shown) | |||
Line 1: | Line 1: | ||
{{Short description|International standard for computer security certification}} | {{Short description|International standard for computer security certification}} | ||
[[ कंप्यूटर सुरक्षा ]] | [[ कंप्यूटर सुरक्षा |कंप्यूटर सुरक्षा]] आकलन के लिए सामान्य मानदंड(सामान्य मानदंड या CC के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक(मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।<ref>{{cite web|url=https://www.commoncriteriaportal.org|title=सामान्य मानदंड}}</ref> | ||
सामान्य मानदंड एक | सामान्य मानदंड एक प्रारूप है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य(सुरक्षा लक्ष्य) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं(क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर, मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।<ref>{{cite web|url=https://www.cse-cst.gc.ca/en/canadian-common-criteria-scheme/main|title=सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान}}</ref> सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम सम्मिलित हैं।<ref>{{cite web|url=https://www.commoncriteriaportal.org/products/|title=सामान्य मानदंड प्रमाणित उत्पाद}}</ref> | ||
Line 7: | Line 7: | ||
सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है। | सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है। | ||
* मूल्यांकन का लक्ष्य | * मूल्यांकन का लक्ष्य - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है: | ||
** सुरक्षा प्रोफ़ाइल | ** सुरक्षा प्रोफ़ाइल - एक दस्तावेज़, जो सामान्यतः एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है(उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क [[ फ़ायरवॉल (कंप्यूटिंग) |फ़ायरवॉल(कंप्यूटिंग)]] जो उस उपयोगकर्ता के लिए प्रासंगिक है। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक सुरक्षा प्रोफ़ाइल का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन सुरक्षा प्रोफ़ाइल के विरुद्ध करवाते हैं। ऐसे मामले में, एक सुरक्षा प्रोफ़ाइल उत्पाद के सुरक्षा लक्ष्य(जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या सुरक्षा लक्ष्य के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित सुरक्षा प्रोफ़ाइल में सभी आवश्यकताएं लक्ष्य के सुरक्षा लक्ष्य दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक सुरक्षा प्रोफ़ाइल के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं। | ||
** सुरक्षा लक्ष्य | ** सुरक्षा लक्ष्य - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। सुरक्षा लक्ष्य एक या एक से अधिक सुरक्षा प्रोफ़ाइल के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके सुरक्षा लक्ष्य में स्थापित SFRs(सुरक्षा कार्यात्मक आवश्यकताएँ) के विरुद्ध ,न अधिक और न ही कम किया जाता है। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को [[ डेटाबेस |डेटाबेस]] प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। सुरक्षा लक्ष्य को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है। | ||
** सुरक्षा कार्यात्मक आवश्यकताएँ (SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष | ** सुरक्षा कार्यात्मक आवश्यकताएँ(SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष [[ आरबीएसी |आरबीएसी]] भूमिका को निभाने वाला उपयोगकर्ता कैसे [[ प्रमाणीकरण |प्रमाणीकरण]] हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को सुरक्षा लक्ष्य में सम्मिलित करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फलन का सही संचालन(जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है(जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता)। | ||
मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो [[ गुणवत्ता आश्वासन ]] प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है: | मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो [[ गुणवत्ता आश्वासन |गुणवत्ता आश्वासन]] प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है: | ||
* सुरक्षा आश्वासन आवश्यकताएँ (SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का | * सुरक्षा आश्वासन आवश्यकताएँ(SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण सुरक्षा आश्वासन कहलाती है। उदाहरण के लिए, मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः सुरक्षा लक्ष्य और सुरक्षा प्रोफ़ाइल में प्रलेखित हैं। | ||
* [[ मूल्यांकन आश्वासन स्तर ]] (ईएएल) | * [[ मूल्यांकन आश्वासन स्तर |मूल्यांकन आश्वासन स्तर]](ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग मूल्यांकन आश्वासन स्तर कहलाती है। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं के एक पैकेज से समानता रखता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी(और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर(सबसे महंगा) है। व्यापक रूप से, एक सुरक्षा लक्ष्य या सुरक्षा प्रोफ़ाइल लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा, लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है। | ||
अब तक, अधिकांश | अब तक, अधिकांश सुरक्षा प्रोफ़ाइल और सबसे अधिक मूल्यांकन किए गए सुरक्षा लक्ष्य/प्रमाणित उत्पाद आईटी घटकों(जैसे, फायरवॉल, [[ ऑपरेटिंग सिस्टम |ऑपरेटिंग सिस्टम]] , स्मार्ट कार्ड) के लिए हैं। | ||
सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक | सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सामान्य मानदंड और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा सम्मिलित हैं। | ||
टीओई के भीतर [[ क्रिप्टोग्राफिक ]] कार्यान्वयन का विवरण | टीओई के भीतर [[ क्रिप्टोग्राफिक |क्रिप्टोग्राफिक]] कार्यान्वयन का विवरण सामान्य मानदंड के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि [[ FIPS 140-2 |FIPS 140-2]] , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं। | ||
हाल ही में, | हाल ही में, सुरक्षा प्रोफ़ाइल लेखक सामान्य मानदंड मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को सम्मिलित कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सामान्य मानदंड की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे। | ||
इन पहले से | इन पहले से उपस्थित मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता थी। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था। | ||
== इतिहास == | == इतिहास == | ||
सामान्य मानदंड तीन मानकों से उत्पन्न हुआ: | |||
* [[ ITSEC ]] | * [[ ITSEC | ITSEC]] –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक के प्रारम्भ में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण([[ जीसीएचक्यू |जीसीएचक्यू]] यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और [[ व्यापार और उद्योग विभाग (यूनाइटेड किंगडम) |व्यापार और उद्योग विभाग(यूनाइटेड किंगडम)]] ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया। | ||
* [[ CTCPEC ]] | * [[ CTCPEC | CTCPEC]] – कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है। CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था। | ||
* TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 | * TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 सुरक्षा लक्ष्यd, जिसे ऑरेंज बुक और [[ इंद्रधनुष श्रृंखला |इंद्रधनुष श्रृंखला]] के हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में [[ राष्ट्रीय सुरक्षा एजेंसी |राष्ट्रीय सुरक्षा एजेंसी]] राष्ट्रीय मानक ब्यूरो(NBS अंततः NIसुरक्षा लक्ष्य बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है। | ||
इन पूर्व- | इन पूर्व-उपस्थिता मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था। | ||
== परीक्षण संगठन == | == परीक्षण संगठन == | ||
सभी [[ सामान्य मानदंड परीक्षण प्रयोगशाला ]] को | सभी [[ सामान्य मानदंड परीक्षण प्रयोगशाला |सामान्य मानदंड परीक्षण प्रयोगशाला]] को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा। | ||
ISO/IEC 17025 के अनुपालन को व्यापक रूप से एक राष्ट्रीय अनुमोदन प्राधिकरण के सामने प्रदर्शित किया जाता है: | |||
* कनाडा में, कनाडा की मानक परिषद (SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम (PALCAN) के तहत सामान्य मानदंड मूल्यांकन | * कनाडा में, कनाडा की मानक परिषद(SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम(PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाएं(CCEF) को मान्यता देती है। | ||
* फ्रांस में | * फ्रांस में(COFRAC) सामान्य मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे व्यापक रूप से(CEसुरक्षा लक्ष्य) कहा जाता है। मूल्यांकन सूचना(ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है। | ||
* इटली में, [http://www.ocsi.isticom.it/ OCSI | * इटली में, [[http://www.ocsi.isticom.it/ http://www.ocsi.iसुरक्षा लक्ष्यicom.it/] OCSI, सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता प्रदान करता है। | ||
* भारत में, [[ इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ]] का | * भारत में, [[ इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय |इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय]] का सुरक्षा लक्ष्यQC निदेशालय ईएएल4 के माध्यम से आश्वासन स्तर ईएएल 1 पर आईटी उत्पादों का मूल्यांकन और प्रमाणन करता है।<ref>{{Cite web |last=Indian Common Criteria Certification Scheme |title=इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू|url=https://www.commoncriteria-india.gov.in/node/2#:~:text=Common%20Criteria%20evaluation%20is%20an,they%20are%20intending%20to%20buy. |access-date=2022-06-01}}</ref> | ||
* ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा (UKAS) [http://www.ukas.org/testing | * ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा(UKAS) [http://www.ukas.org/testing कमर्शियल इवैल्यूएशन फैसिलिटी(CLEF)] मान्यता देने के लिए उपयोग की जाती है; 2019 से यूके सामान्य मानदंड इकोसिस्टम में केवल एक उपभोक्ता है। | ||
* अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान ( | * अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान(NIसुरक्षा लक्ष्य) [[ राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम |राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम]](NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं(CCTL) को मान्यता देता है। | ||
* जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक (बीएसआई) | * जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक(बीएसआई) | ||
* स्पेन में, [https://oc.ccn.cni.es/index.php?lang=en नेशनल क्रिप्टोलॉजिक सेंटर] (CCN) सामान्य मानदंड [http://oc.ccn.cni.es/index. php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं] स्पेनिश योजना में काम कर रही हैं। | * स्पेन में, [https://oc.ccn.cni.es/index.php?lang=en नेशनल क्रिप्टोलॉजिक सेंटर](CCN) सामान्य मानदंड [http://oc.ccn.cni.es/index. php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं] स्पेनिश योजना में काम कर रही हैं। | ||
* नीदरलैंड में, [http://www.tuv-nederland.nl/nl/17/common_criteria.html नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी] (NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज (ITSEF) को मान्यता देती है। | * नीदरलैंड में, [http://www.tuv-nederland.nl/nl/17/common_criteria.html नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी](NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज(ITSEF) को मान्यता देती है। | ||
*स्वीडन में [https://fmv.se/en/Our-activities/CSEC---The-Swedish-Certification-Body-for-IT-Security/ स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी] (CSEC) IT को | *स्वीडन में [https://fmv.se/en/Our-activities/CSEC---The-Swedish-Certification-Body-for-IT-Security/ स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी](CSEC) IT को सुरक्षा मूल्यांकन सुविधाएं(आईटीएसईएफ) का लाइसेंस दिया है। | ||
इन संगठनों की विशेषताओं की जांच की गई और ICCC 10 में प्रस्तुत की गई। | |||
== पारस्परिक मान्यता व्यवस्था == | == पारस्परिक मान्यता व्यवस्था == | ||
साथ ही सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए (पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के | साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए(पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में सम्मिलित हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन सम्मिलित हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट(CCRA) का नाम बदला गया और [https://web.archive.org/web/20080822030243/http://www.commoncriteriaportal.org/members.html सदस्यता का विस्तार जारी है]।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है(दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश सामान्यतः उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को सम्मिलित करने की प्रवृत्ति होती है। | ||
सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक | सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक दृश्य विवरण पत्र तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2(दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में सुरक्षा प्रोफ़ाइल विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है। | ||
2 जुलाई 2014 को एक [http://www.commoncriteriaportal.org/files/CCRA%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf new CCRA] की पुष्टि की गई लक्ष्य [http://www.commoncriteriaportal.org/files/ccfiles/2012-09-001_Vision_statement_of_the_CC_and_the_CCRAv2.pdf 2012 विजन स्टेटमेंट] में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में | 2 जुलाई 2014 को एक [http://www.commoncriteriaportal.org/files/CCRA%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf new CCRA] की पुष्टि की गई लक्ष्य [http://www.commoncriteriaportal.org/files/ccfiles/2012-09-001_Vision_statement_of_the_CC_and_the_CCRAv2.pdf 2012 विजन स्टेटमेंट] में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में सम्मिलित हैं: | ||
* केवल एक सहयोगी सुरक्षा प्रोफ़ाइल (cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता। | * केवल एक सहयोगी सुरक्षा प्रोफ़ाइल(cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता। | ||
* अंतर्राष्ट्रीय तकनीकी समुदायों (आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को | * अंतर्राष्ट्रीय तकनीकी समुदायों(आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीसुरक्षा प्रोफ़ाइल के निर्माण का प्रभार दिया गया। | ||
* व्यवस्था के पिछले संस्करण के तहत जारी | * व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सामान्य मानदंडआरए से एक परिवर्तन योजना। | ||
== मुद्दे == | == मुद्दे == | ||
Line 66: | Line 66: | ||
=== आवश्यकताएँ === | === आवश्यकताएँ === | ||
सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट (श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे टीसीएसईसी और [[ एफआईपीएस 140 ]]-2। | सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट(श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और [[ एफआईपीएस 140 |एफआईपीएस 140]] -2। | ||
=== प्रमाणीकरण का मूल्य === | === प्रमाणीकरण का मूल्य === | ||
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए | सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पादों में साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित होती है कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है। | ||
विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न [[ माइक्रोसॉफ्ट ]] विंडोज | विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न [[ माइक्रोसॉफ्ट |माइक्रोसॉफ्ट]] विंडोज संस्करणों को [http://www.nist.org/news.php?extend.37 प्रमाणित किए गए हैं], लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा इन विंडोज सिस्टमों के लिए प्रकाशित किए जा रहे हैं। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणन प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले संकटों की ताकत के बारे में कुछ अनुमान लगाने की अनुमति देती है। इसके अतिरिक्त, सामान्य मानदंड लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे कि मूल्यांकन किए गए उत्पादों को आश्वासन स्तर या सुरक्षा प्रोफ़ाइल द्वारा निर्दिष्ट विवरण के स्तर तक जांचा जाता है। इसलिए मूल्यांकन गतिविधियों को केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए ही किया जाता है और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करता है। | ||
माइक्रोसॉफ्ट परिस्थिति की मान्यताओं में एक पीयर सम्मिलित है: | |||
"कोई भी अन्य प्रणाली जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और समान सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित परिवेशों पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकताएँ नहीं हैं जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को संबोधित करती हों।" | |||
कोई भी अन्य | यह धारणा [[ नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल |नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल]](CAPP) में निहित है, जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य धारणाओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकती हैं, विंडोज उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिन्हें मूल्यांकित संरूपण भी कहा जाता है। | ||
चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकन विन्यास में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई देते हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणीकरण को विक्रेता द्वारा स्वेच्छा से वापस लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकन विन्यास के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के आवेदन को सम्मिलित करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफल रहने के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था। | |||
प्रमाणित माइक्रोसॉफ्ट विंडोज संस्करण अपने मूल्यांकन विन्यास में किसी माइक्रोसॉफ्ट सुरक्षा भेद्यता पैच के अनुप्रयोग को सम्मिलित किए बिना EAL4+ पर बना रहता है। यह मूल्यांकन किए गए विन्यास की सीमा और ताकत दोनों को दर्शाता है। | |||
===आलोचना === | ===आलोचना === | ||
अगस्त 2007 में, | अगस्त 2007 में, गवर्नमेंट कंप्यूटिंग न्यूज़(GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना(CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।<ref>[http://gcn.com/articles/2007/08/10/under-attack.aspx Under Attack: Common Criteria has loads of critics, but is it getting a bum rap] Government Computer News, retrieved 2007-12-14</ref> स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी(एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में सम्मिलित हैं: | ||
* मूल्यांकन एक महंगी प्रक्रिया है ( | * मूल्यांकन एक महंगी प्रक्रिया है(प्रायः सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है। | ||
* मूल्यांकन मुख्य रूप से मूल्यांकन | * मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है। | ||
* मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, | * मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद सामान्यतः अप्रचलित होता है। | ||
* | * कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है। | ||
2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया | 2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया [[ मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर |मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर]] फॉस)-केंद्रित संगठनों और विकास मॉडल के विरुद्ध भेदभाव करती है।<ref>[http://www.dwheeler.com/essays/oss_software_assurance.pdf Free-Libre / Open Source Software (FLOSS) and Software Assurance]</ref> सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से फॉस सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,<ref>Wäyrynen, J., Bodén, M., and Boström, G., ''Security Engineering and eXtreme Programming: An Impossible Marriage''?</ref> अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।<ref>{{cite web|last1=Beznosov|first1=Konstantin|last2=Kruchten|first2=Philippe|url=http://lersse-dl.ece.ubc.ca/record/87|title=चुस्त सुरक्षा आश्वासन की ओर|access-date=2007-12-14|archive-url=https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/|archive-date=2011-08-19|url-status=dead}}</ref> राजनीतिक विज्ञानी [[ जान कल्बर्ग |जान कल्बर्ग]] ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।<ref>[http://www.utdallas.edu/~bxt043000/Publications/Technical-Reports/UTDCS-13-12.pdf Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal]</ref> | ||
2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों | 2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:<ref name=parsovs_phd>{{cite thesis|type=PhD|first=Arnis|last=Parsovs|date=March 2021|title=एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ|publisher=University of Tartu|url=https://dspace.ut.ee/handle/10062/71481|pages=141–143}}</ref> | ||
* भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, [[ सूचना सुरक्षा के लिए संघीय कार्यालय ]] अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है। | * भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, [[ सूचना सुरक्षा के लिए संघीय कार्यालय ]] अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है। | ||
* भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है। | * भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है। | ||
Line 100: | Line 97: | ||
== वैकल्पिक दृष्टिकोण == | == वैकल्पिक दृष्टिकोण == | ||
CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि [[ FIPS-140 ]] के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )<ref>{{cite web |url=http://www.cesg.gov.uk/site/caps/index.cfm |title=CAPS: CESG से सहायता प्राप्त उत्पाद योजना|archive-url=https://web.archive.org/web/20080801151344/http://www.cesg.gov.uk/site/caps/index.cfm |archive-date=August 1, 2008 }} </ref> | CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि [[ FIPS-140 ]] के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )<ref>{{cite web |url=http://www.cesg.gov.uk/site/caps/index.cfm |title=CAPS: CESG से सहायता प्राप्त उत्पाद योजना|archive-url=https://web.archive.org/web/20080801151344/http://www.cesg.gov.uk/site/caps/index.cfm |archive-date=August 1, 2008 }} </ref> यूके(UK) में। | ||
यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं: | यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं: | ||
* | * सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन(SYSN) और फास्ट ट्रैक दृष्टिकोण(FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस(CTAS) में मिला दिया गया है। <ref>[http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 Infosec Assurance and Certification Services (IACS)] {{webarchive |url=https://web.archive.org/web/20080220132906/http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 |date=February 20, 2008 }}</ref> | ||
* [[ सीसीटी मार्क ]] ( | * [[ सीसीटी मार्क | सामान्य मानदंडटी मार्क]](सामान्य मानदंडटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है। | ||
2011 के प्रारम्भ में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।<ref>{{cite web|url=http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |title=सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद|archive-url=https://web.archive.org/web/20120417104556/http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |archive-date=April 17, 2012 }}</ref> उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।<ref>{{cite web|url=http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|archive-url=https://archive.today/20120529205154/http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|url-status=dead|archive-date=2012-05-29|title=सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?}}</ref> | |||
2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक [http://www.commoncriteriaportal.org/vision.cfm विजन स्टेटमेंट] प्रकाशित किया। दृष्टि के प्रमुख तत्वों में सम्मिलित हैं: | |||
* तकनीकी समुदाय संरक्षण प्रोफाइल(सुरक्षा प्रोफ़ाइल) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं। | |||
* यदि संभव हो तो इन सुरक्षा प्रोफ़ाइल के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी। | |||
== यह भी देखें == | == यह भी देखें == | ||
Line 140: | Line 148: | ||
== बाहरी संबंध == | == बाहरी संबंध == | ||
* [https://www.commoncriteriaportal.org/ The official website of the Common Criteria Project] | * [https://www.commoncriteriaportal.org/ The official website of the Common Criteria Project] | ||
* [https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm The Common Criteria | * [https://www.niap-ccevs.org/Documents_and_Guidance/cc_docs.cfm The Common Criteria सुरक्षा लक्ष्यandard documents] | ||
* [https://www.commoncriteriaportal.org/products/ | * [https://www.commoncriteriaportal.org/products/ Liसुरक्षा लक्ष्य of Common Criteria evaluated products] | ||
* [https://www.commoncriteriaportal.org/labs/ | * [https://www.commoncriteriaportal.org/labs/ Liसुरक्षा लक्ष्य of Licensed Common Criteria Laboratories] | ||
* [https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/ Towards Agile Security Assurance] | * [https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/ Towards Agile Security Assurance] | ||
* [http://www.corsec.com/index.php?option=com_content&task=blogcategory&id=20&Itemid=65 Important Common Criteria Acronyms] | * [http://www.corsec.com/index.php?option=com_content&task=blogcategory&id=20&Itemid=65 Important Common Criteria Acronyms] | ||
Line 153: | Line 161: | ||
{{ISO standards}} | {{ISO standards}} | ||
{{List of International Electrotechnical Commission standards}} | {{List of International Electrotechnical Commission standards}} | ||
[[Category:Articles with short description]] | |||
[[Category: | [[Category:CS1 français-language sources (fr)]] | ||
[[Category:CS1 maint]] | |||
[[Category:CS1 Ελληνικά-language sources (el)]] | |||
[[Category:Citation Style 1 templates|W]] | |||
[[Category:Collapse templates]] | |||
[[Category:Created On 22/11/2022]] | [[Category:Created On 22/11/2022]] | ||
[[Category:Machine Translated Page]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists]] | |||
[[Category:Pages with reference errors]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Short description with empty Wikidata description]] | |||
[[Category:Sidebars with styles needing conversion]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates based on the Citation/CS1 Lua module]] | |||
[[Category:Templates generating COinS|Cite web]] | |||
[[Category:Templates generating microformats]] | |||
[[Category:Templates that are not mobile friendly]] | |||
[[Category:Templates used by AutoWikiBrowser|Cite web]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Webarchive template wayback links]] | |||
[[Category:Wikipedia fully protected templates|Cite web]] | |||
[[Category:Wikipedia metatemplates]] | |||
[[Category:आईएसओ मानक]] | |||
[[Category:कंप्यूटर का मूल्यांकन]] | |||
[[Category:कंप्यूटर सुरक्षा मानक]] |
Latest revision as of 09:57, 13 December 2022
कंप्यूटर सुरक्षा आकलन के लिए सामान्य मानदंड(सामान्य मानदंड या CC के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक(मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।[1] सामान्य मानदंड एक प्रारूप है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य(सुरक्षा लक्ष्य) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं(क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर, मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।[2] सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम सम्मिलित हैं।[3]
मुख्य अवधारणाएँ
सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है।
- मूल्यांकन का लक्ष्य - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है:
- सुरक्षा प्रोफ़ाइल - एक दस्तावेज़, जो सामान्यतः एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है(उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क फ़ायरवॉल(कंप्यूटिंग) जो उस उपयोगकर्ता के लिए प्रासंगिक है। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक सुरक्षा प्रोफ़ाइल का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन सुरक्षा प्रोफ़ाइल के विरुद्ध करवाते हैं। ऐसे मामले में, एक सुरक्षा प्रोफ़ाइल उत्पाद के सुरक्षा लक्ष्य(जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या सुरक्षा लक्ष्य के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित सुरक्षा प्रोफ़ाइल में सभी आवश्यकताएं लक्ष्य के सुरक्षा लक्ष्य दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक सुरक्षा प्रोफ़ाइल के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
- सुरक्षा लक्ष्य - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। सुरक्षा लक्ष्य एक या एक से अधिक सुरक्षा प्रोफ़ाइल के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके सुरक्षा लक्ष्य में स्थापित SFRs(सुरक्षा कार्यात्मक आवश्यकताएँ) के विरुद्ध ,न अधिक और न ही कम किया जाता है। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को डेटाबेस प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। सुरक्षा लक्ष्य को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
- सुरक्षा कार्यात्मक आवश्यकताएँ(SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष आरबीएसी भूमिका को निभाने वाला उपयोगकर्ता कैसे प्रमाणीकरण हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को सुरक्षा लक्ष्य में सम्मिलित करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फलन का सही संचालन(जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है(जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता)।
मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो गुणवत्ता आश्वासन प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है:
- सुरक्षा आश्वासन आवश्यकताएँ(SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण सुरक्षा आश्वासन कहलाती है। उदाहरण के लिए, मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः सुरक्षा लक्ष्य और सुरक्षा प्रोफ़ाइल में प्रलेखित हैं।
- मूल्यांकन आश्वासन स्तर(ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग मूल्यांकन आश्वासन स्तर कहलाती है। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं के एक पैकेज से समानता रखता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी(और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर(सबसे महंगा) है। व्यापक रूप से, एक सुरक्षा लक्ष्य या सुरक्षा प्रोफ़ाइल लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा, लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है।
अब तक, अधिकांश सुरक्षा प्रोफ़ाइल और सबसे अधिक मूल्यांकन किए गए सुरक्षा लक्ष्य/प्रमाणित उत्पाद आईटी घटकों(जैसे, फायरवॉल, ऑपरेटिंग सिस्टम , स्मार्ट कार्ड) के लिए हैं। सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सामान्य मानदंड और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा सम्मिलित हैं।
टीओई के भीतर क्रिप्टोग्राफिक कार्यान्वयन का विवरण सामान्य मानदंड के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि FIPS 140-2 , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं।
हाल ही में, सुरक्षा प्रोफ़ाइल लेखक सामान्य मानदंड मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को सम्मिलित कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सामान्य मानदंड की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे।
इन पहले से उपस्थित मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता थी। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।
इतिहास
सामान्य मानदंड तीन मानकों से उत्पन्न हुआ:
- ITSEC –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक के प्रारम्भ में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण(जीसीएचक्यू यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और व्यापार और उद्योग विभाग(यूनाइटेड किंगडम) ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया।
- CTCPEC – कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है। CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था।
- TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 सुरक्षा लक्ष्यd, जिसे ऑरेंज बुक और इंद्रधनुष श्रृंखला के हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में राष्ट्रीय सुरक्षा एजेंसी राष्ट्रीय मानक ब्यूरो(NBS अंततः NIसुरक्षा लक्ष्य बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।
इन पूर्व-उपस्थिता मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।
परीक्षण संगठन
सभी सामान्य मानदंड परीक्षण प्रयोगशाला को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा।
ISO/IEC 17025 के अनुपालन को व्यापक रूप से एक राष्ट्रीय अनुमोदन प्राधिकरण के सामने प्रदर्शित किया जाता है:
- कनाडा में, कनाडा की मानक परिषद(SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम(PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाएं(CCEF) को मान्यता देती है।
- फ्रांस में(COFRAC) सामान्य मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे व्यापक रूप से(CEसुरक्षा लक्ष्य) कहा जाता है। मूल्यांकन सूचना(ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।
- इटली में, [http://www.ocsi.iसुरक्षा लक्ष्यicom.it/ OCSI, सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता प्रदान करता है।
- भारत में, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय का सुरक्षा लक्ष्यQC निदेशालय ईएएल4 के माध्यम से आश्वासन स्तर ईएएल 1 पर आईटी उत्पादों का मूल्यांकन और प्रमाणन करता है।[4]
- ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा(UKAS) कमर्शियल इवैल्यूएशन फैसिलिटी(CLEF) मान्यता देने के लिए उपयोग की जाती है; 2019 से यूके सामान्य मानदंड इकोसिस्टम में केवल एक उपभोक्ता है।
- अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान(NIसुरक्षा लक्ष्य) राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम(NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं(CCTL) को मान्यता देता है।
- जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक(बीएसआई)
- स्पेन में, नेशनल क्रिप्टोलॉजिक सेंटर(CCN) सामान्य मानदंड php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं स्पेनिश योजना में काम कर रही हैं।
- नीदरलैंड में, नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी(NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज(ITSEF) को मान्यता देती है।
- स्वीडन में स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी(CSEC) IT को सुरक्षा मूल्यांकन सुविधाएं(आईटीएसईएफ) का लाइसेंस दिया है।
इन संगठनों की विशेषताओं की जांच की गई और ICCC 10 में प्रस्तुत की गई।
पारस्परिक मान्यता व्यवस्था
साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए(पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में सम्मिलित हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन सम्मिलित हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट(CCRA) का नाम बदला गया और सदस्यता का विस्तार जारी है।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है(दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश सामान्यतः उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को सम्मिलित करने की प्रवृत्ति होती है।
सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक दृश्य विवरण पत्र तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2(दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में सुरक्षा प्रोफ़ाइल विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।
2 जुलाई 2014 को एक new CCRA की पुष्टि की गई लक्ष्य 2012 विजन स्टेटमेंट में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में सम्मिलित हैं:
- केवल एक सहयोगी सुरक्षा प्रोफ़ाइल(cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
- अंतर्राष्ट्रीय तकनीकी समुदायों(आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीसुरक्षा प्रोफ़ाइल के निर्माण का प्रभार दिया गया।
- व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सामान्य मानदंडआरए से एक परिवर्तन योजना।
मुद्दे
आवश्यकताएँ
सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट(श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और एफआईपीएस 140 -2।
प्रमाणीकरण का मूल्य
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पादों में साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित होती है कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।
विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न माइक्रोसॉफ्ट विंडोज संस्करणों को प्रमाणित किए गए हैं, लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा इन विंडोज सिस्टमों के लिए प्रकाशित किए जा रहे हैं। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणन प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले संकटों की ताकत के बारे में कुछ अनुमान लगाने की अनुमति देती है। इसके अतिरिक्त, सामान्य मानदंड लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे कि मूल्यांकन किए गए उत्पादों को आश्वासन स्तर या सुरक्षा प्रोफ़ाइल द्वारा निर्दिष्ट विवरण के स्तर तक जांचा जाता है। इसलिए मूल्यांकन गतिविधियों को केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए ही किया जाता है और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करता है।
माइक्रोसॉफ्ट परिस्थिति की मान्यताओं में एक पीयर सम्मिलित है:
"कोई भी अन्य प्रणाली जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और समान सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित परिवेशों पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकताएँ नहीं हैं जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को संबोधित करती हों।"
यह धारणा नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल(CAPP) में निहित है, जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य धारणाओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकती हैं, विंडोज उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिन्हें मूल्यांकित संरूपण भी कहा जाता है।
चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकन विन्यास में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई देते हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणीकरण को विक्रेता द्वारा स्वेच्छा से वापस लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकन विन्यास के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के आवेदन को सम्मिलित करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफल रहने के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।
प्रमाणित माइक्रोसॉफ्ट विंडोज संस्करण अपने मूल्यांकन विन्यास में किसी माइक्रोसॉफ्ट सुरक्षा भेद्यता पैच के अनुप्रयोग को सम्मिलित किए बिना EAL4+ पर बना रहता है। यह मूल्यांकन किए गए विन्यास की सीमा और ताकत दोनों को दर्शाता है।
आलोचना
अगस्त 2007 में, गवर्नमेंट कंप्यूटिंग न्यूज़(GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना(CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।[5] स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी(एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में सम्मिलित हैं:
- मूल्यांकन एक महंगी प्रक्रिया है(प्रायः सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है।
- मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है।
- मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद सामान्यतः अप्रचलित होता है।
- कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।
2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर फॉस)-केंद्रित संगठनों और विकास मॉडल के विरुद्ध भेदभाव करती है।[6] सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से फॉस सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,[7] अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।[8] राजनीतिक विज्ञानी जान कल्बर्ग ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।[9] 2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:[10]
- भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, सूचना सुरक्षा के लिए संघीय कार्यालय अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है।
- भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है।
- जबकि कई सामान्य मानदंड प्रमाणित उत्पाद ROCA दोष से प्रभावित हुए हैं, प्रमाणन के संदर्भ में विक्रेताओं की प्रतिक्रियाएँ भिन्न रही हैं। कुछ उत्पादों के लिए एक रखरखाव रिपोर्ट जारी की गई थी, जिसमें कहा गया है कि केवल 3072 और 3584 बिट्स की लंबाई वाली RSA कुंजियों में कम से कम 100 बिट्स का सुरक्षा स्तर है, जबकि कुछ उत्पादों के लिए रखरखाव रिपोर्ट में यह उल्लेख नहीं है कि TOE में परिवर्तन प्रभावित करता है। प्रमाणित क्रिप्टोग्राफिक सुरक्षा कार्यक्षमता, लेकिन निष्कर्ष निकाला है कि परिवर्तन मार्गदर्शन प्रलेखन के स्तर पर है और इसका आश्वासन पर कोई प्रभाव नहीं है।
- सूचना सुरक्षा के लिए संघीय कार्यालय के अनुसार, प्रमाणित अंत उत्पादों के उपयोगकर्ताओं को विक्रेताओं द्वारा आरओसीए भेद्यता के बारे में सूचित किया जाना चाहिए। हालांकि, यह जानकारी एस्टोनियाई अधिकारियों तक समय पर नहीं पहुंच पाई, जिन्होंने 750,000 से अधिक एस्टोनियाई पहचान पत्र पर कमजोर उत्पाद को तैनात किया था।
वैकल्पिक दृष्टिकोण
CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि FIPS-140 के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )[11] यूके(UK) में।
यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:
- सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन(SYSN) और फास्ट ट्रैक दृष्टिकोण(FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस(CTAS) में मिला दिया गया है। [12]
- सामान्य मानदंडटी मार्क(सामान्य मानदंडटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है।
2011 के प्रारम्भ में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।[13] उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।[14] 2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक विजन स्टेटमेंट प्रकाशित किया। दृष्टि के प्रमुख तत्वों में सम्मिलित हैं:
- तकनीकी समुदाय संरक्षण प्रोफाइल(सुरक्षा प्रोफ़ाइल) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
- यदि संभव हो तो इन सुरक्षा प्रोफ़ाइल के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी।
यह भी देखें
- बेल-लापादुला मॉडल
- चीन अनिवार्य प्रमाणपत्र
- मूल्यांकन आश्वासन स्तर
- FIPS 140-2
- सूचना आश्वासन
- आईएसओ 9241
- आईएसओ/आईईसी 27001
- उपयोगिता परीक्षण
- जाँच और वैधता
संदर्भ
- ↑ "सामान्य मानदंड".
- ↑ "सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान".
- ↑ "सामान्य मानदंड प्रमाणित उत्पाद".
- ↑ Indian Common Criteria Certification Scheme. "इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू". Retrieved 2022-06-01.
- ↑ Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Government Computer News, retrieved 2007-12-14
- ↑ Free-Libre / Open Source Software (FLOSS) and Software Assurance
- ↑ Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
- ↑ Beznosov, Konstantin; Kruchten, Philippe. "चुस्त सुरक्षा आश्वासन की ओर". Archived from the original on 2011-08-19. Retrieved 2007-12-14.
- ↑ Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal
- ↑ Parsovs, Arnis (March 2021). एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ (PhD). University of Tartu. pp. 141–143.
- ↑ "CAPS: CESG से सहायता प्राप्त उत्पाद योजना". Archived from the original on August 1, 2008.
- ↑ Infosec Assurance and Certification Services (IACS) Archived February 20, 2008, at the Wayback Machine
- ↑ "सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद" (PDF). Archived from the original (PDF) on April 17, 2012.
- ↑ "सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?". Archived from the original on 2012-05-29.
इस पेज में लापता आंतरिक लिंक की सूची
- इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
- अंतर्राष्ट्रीय मानक
- अंतरराष्ट्रीय मानकीकरण संगठन
- संरक्षण प्रोफ़ाइल
- आईटी आधारभूत सुरक्षा
- अंगुली का हस्ताक्षर
- मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
- चुस्त सॉफ्टवेयर विकास
- आरओसीए भेद्यता
बाहरी संबंध
- The official website of the Common Criteria Project
- The Common Criteria सुरक्षा लक्ष्यandard documents
- Liसुरक्षा लक्ष्य of Common Criteria evaluated products
- Liसुरक्षा लक्ष्य of Licensed Common Criteria Laboratories
- Towards Agile Security Assurance
- Important Common Criteria Acronyms
- Common Criteria Users Forum
- Additional Common Criteria Information on Google Knol
- OpenCC Project – free Apache license CC docs, templates and tools
- Common Criteria Quick Reference Card
- Common Criteria process cheatsheet
- Common Criteria process timeline