सामान्य मानदंड: Difference between revisions
(→आलोचना) |
|||
Line 85: | Line 85: | ||
===आलोचना === | ===आलोचना === | ||
अगस्त 2007 में, Government Computing News|Government Computing News (GCN) स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और | अगस्त 2007 में, Government Computing News|Government Computing News (GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना (CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।<ref>[http://gcn.com/articles/2007/08/10/under-attack.aspx Under Attack: Common Criteria has loads of critics, but is it getting a bum rap] Government Computer News, retrieved 2007-12-14</ref> स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी (एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में शामिल हैं: | ||
* मूल्यांकन एक महंगी प्रक्रिया है (अक्सर सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी | * मूल्यांकन एक महंगी प्रक्रिया है (अक्सर सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है। | ||
* मूल्यांकन मुख्य रूप से मूल्यांकन | * मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है। | ||
* मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, | * मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद आम तौर पर अप्रचलित होता है। | ||
* | * कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है। | ||
2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया | 2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया [[ मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर ]]FOSS)-केंद्रित संगठनों और विकास मॉडल केविरुद्ध भेदभाव करती है।<ref>[http://www.dwheeler.com/essays/oss_software_assurance.pdf Free-Libre / Open Source Software (FLOSS) and Software Assurance]</ref> सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से FOSS सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,<ref>Wäyrynen, J., Bodén, M., and Boström, G., ''Security Engineering and eXtreme Programming: An Impossible Marriage''?</ref> अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।<ref>{{cite web|last1=Beznosov|first1=Konstantin|last2=Kruchten|first2=Philippe|url=http://lersse-dl.ece.ubc.ca/record/87|title=चुस्त सुरक्षा आश्वासन की ओर|access-date=2007-12-14|archive-url=https://web.archive.org/web/20110819235522/http://lersse-dl.ece.ubc.ca/record/87/|archive-date=2011-08-19|url-status=dead}}</ref> राजनीतिक विज्ञानी [[ जान कल्बर्ग ]] ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।<ref>[http://www.utdallas.edu/~bxt043000/Publications/Technical-Reports/UTDCS-13-12.pdf Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal]</ref> | ||
2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों | 2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:<ref name=parsovs_phd>{{cite thesis|type=PhD|first=Arnis|last=Parsovs|date=March 2021|title=एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ|publisher=University of Tartu|url=https://dspace.ut.ee/handle/10062/71481|pages=141–143}}</रेफरी> | ||
* भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, [[ सूचना सुरक्षा के लिए संघीय कार्यालय ]] अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है। | * भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, [[ सूचना सुरक्षा के लिए संघीय कार्यालय ]] अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है। | ||
* भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है। | * भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है। | ||
Line 100: | Line 100: | ||
== वैकल्पिक दृष्टिकोण == | == वैकल्पिक दृष्टिकोण == | ||
CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि [[ FIPS-140 ]] के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )<ref>{{cite web |url=http://www.cesg.gov.uk/site/caps/index.cfm |title=CAPS: CESG से सहायता प्राप्त उत्पाद योजना|archive-url=https://web.archive.org/web/20080801151344/http://www.cesg.gov.uk/site/caps/index.cfm |archive-date=August 1, 2008 }} </ref> | CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि [[ FIPS-140 ]] के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )<ref>{{cite web |url=http://www.cesg.gov.uk/site/caps/index.cfm |title=CAPS: CESG से सहायता प्राप्त उत्पाद योजना|archive-url=https://web.archive.org/web/20080801151344/http://www.cesg.gov.uk/site/caps/index.cfm |archive-date=August 1, 2008 }} </ref> यूके(UK) में। | ||
यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं: | यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं: | ||
* | * सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन (SYSN) और फास्ट ट्रैक दृष्टिकोण (FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस (CTAS) में मिला दिया गया है। <ref>[http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 Infosec Assurance and Certification Services (IACS)] {{webarchive |url=https://web.archive.org/web/20080220132906/http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=3&displayPage=3 |date=February 20, 2008 }}</ref> | ||
* [[ सीसीटी मार्क ]] (सीसीटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम | * [[ सीसीटी मार्क ]] (सीसीटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है। | ||
2011 की शुरुआत में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के | 2011 की शुरुआत में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।<ref>{{cite web|url=http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |title=सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद|archive-url=https://web.archive.org/web/20120417104556/http://www.niap-ccevs.org/cc_docs/CC_Community_Paper_10_Jan_2011.pdf |archive-date=April 17, 2012 }}</ref> उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।<ref>{{cite web|url=http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|archive-url=https://archive.today/20120529205154/http://community.ca.com/blogs/iam/archive/2011/03/11/common-criteria-reforms-sink-or-swim-how-should-industry-handle-the-revolution-brewing-with-common-criteria.aspx|url-status=dead|archive-date=2012-05-29|title=सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?}}</ref> | ||
2012 के सितंबर में, कॉमन क्राइटेरिया ने एक [http://www.commoncriteriaportal.org/vision.cfm विजन स्टेटमेंट] प्रकाशित | 2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक [http://www.commoncriteriaportal.org/vision.cfm विजन स्टेटमेंट] प्रकाशित किया। दृष्टि के प्रमुख तत्वों में शामिल हैं: | ||
* तकनीकी | * तकनीकी समुदाय संरक्षण प्रोफाइल (पीपी) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं। | ||
* यदि संभव हो तो इन पीपी के | * यदि संभव हो तो इन पीपी के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी। | ||
== यह भी देखें == | == यह भी देखें == |
Revision as of 16:44, 8 December 2022
कंप्यूटर सुरक्षा सुरक्षा आकलन के लिए सामान्य मानदंड (सामान्य मानदंड या सीसी के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक (मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।[1] सामान्य मानदंड एक ढांचा है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य (एसटी) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं (क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल (पीपी) से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं या दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।[2] सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम शामिल हैं।[3]
मुख्य अवधारणाएँ
सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है।
- मूल्यांकन का लक्ष्य (TOE) - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है:
- सुरक्षा प्रोफ़ाइल (पीपी) - एक दस्तावेज़, जो आमतौर पर एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है (उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क फ़ायरवॉल (कंप्यूटिंग)जो उस उपयोगकर्ता के लिए प्रासंगिक है। विशेष हेतू। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक पीपीज़ का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन पीपीज़ के विरुद्ध करवाते हैं। ऐसे मामले में, एक पीपी उत्पाद के एसटी (सुरक्षा लक्ष्य, जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या एसटी के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित पीपी में सभी आवश्यकताएं लक्ष्य के एसटी दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक पीपी के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
- सुरक्षा लक्ष्य (ST) - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। ST एक या एक से अधिक पीपी के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके ST में स्थापित SFRs (सुरक्षा कार्यात्मक आवश्यकताएँ। फिर से, नीचे देखें) के विरुद्ध किया जाता है,न अधिक और न ही कम। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को डेटाबेस प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। एसटी को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
- सुरक्षा कार्यात्मक आवश्यकताएँ (SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष आरबीएसी भूमिका को निभाने वाला उपयोगकर्ता कैसे प्रमाणीकरण हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को एसटी में शामिल करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फ़ंक्शन का सही संचालन (जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है (जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता) ).
मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो गुणवत्ता आश्वासन प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है:
- सुरक्षा आश्वासन आवश्यकताएँ (SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण। उदाहरण के लिए, एक मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः एसटी और पीपी में प्रलेखित हैं।
- मूल्यांकन आश्वासन स्तर (ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं (SARs, ऊपर देखें) के एक पैकेज से मेल खाता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी (और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर (और सबसे महंगा) है। व्यापक रूप से, एक एसटी या पीपी लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा,लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को। उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है।
अब तक, अधिकांश पीपी और सबसे अधिक मूल्यांकन किए गए एसटी/प्रमाणित उत्पाद आईटी घटकों (जैसे, फायरवॉल, ऑपरेटिंग सिस्टम , स्मार्ट कार्ड) के लिए हैं। सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सीसी और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा शामिल हैं।
टीओई के भीतर क्रिप्टोग्राफिक कार्यान्वयन का विवरण सीसी के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि FIPS 140-2 , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं।
हाल ही में, पीपी लेखक सीसी मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को शामिल कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सीसी की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे।
इन पहले से मौजूद मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।
इतिहास
सीसी तीन मानकों से उत्पन्न हुआ:
- ITSEC –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक की शुरुआत में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण (जीसीएचक्यू यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और व्यापार और उद्योग विभाग (यूनाइटेड किंगडम) ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया।
- CTCPEC – कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है।CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था।
- TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 Std, जिसे ऑरेंज बुक और इंद्रधनुष श्रृंखला ़ के कुछ हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में राष्ट्रीय सुरक्षा एजेंसी राष्ट्रीय मानक ब्यूरो (NBS अंततः NIST बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।
इन पूर्व-मौजूदा मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।
परीक्षण संगठन
सभी सामान्य मानदंड परीक्षण प्रयोगशाला को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा।
ISO/IEC 17025 के अनुपालन को व्यापक रूप से एक राष्ट्रीय अनुमोदन प्राधिकरण के सामने प्रदर्शित किया जाता है:
- कनाडा में, कनाडा की मानक परिषद (SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम (PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाएं (CCEF) को मान्यता देती है।
- फ्रांस में Comité français d'accréditation (COFRAC) सामान्य मानदंड मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे व्यापक रूप से Centre d'évaluation de la sécurité des technologies de l'information (CESTI) कहा जाता है। मूल्यांकन Agence Nationale de la securité des Systemes d'सूचना (ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।
- इटली में, [http://www.ocsi.isticom.it/ OCSI (Organismo di Certificazione della Sicurezza Informatica, सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता प्रदान करता है।
- भारत में, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय का STQC निदेशालय ईएएल4 के माध्यम से आश्वासन स्तर ईएएल 1 पर आईटी उत्पादों का मूल्यांकन और प्रमाणन करता है।[4]
- ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा (UKAS) Commercial Evaluation Facility (CLEF) मान्यता देने के लिए उपयोग की जाती है; 2019 से यूके सीसी इकोसिस्टम में केवल एक उपभोक्ता है।
- अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम (NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं (CCTL) को मान्यता देता है।
- जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक (बीएसआई)
- स्पेन में, नेशनल क्रिप्टोलॉजिक सेंटर (CCN) सामान्य मानदंड php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं स्पेनिश योजना में काम कर रही हैं।
- नीदरलैंड में, नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी (NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज (ITSEF) को मान्यता देती है।
- स्वीडन में स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी (CSEC) IT को सुरक्षा मूल्यांकन सुविधाएं (आईटीएसईएफ) का लाइसेंस दिया है।
इन संगठनों की विशेषताओं की जांच की गई और ICCC 10 में प्रस्तुत की गई।
पारस्परिक मान्यता व्यवस्था
साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए (पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में शामिल हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन शामिल हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) का नाम बदला गया और सदस्यता का विस्तार जारी है।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है (दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश आमतौर पर उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को शामिल करने की प्रवृत्ति होती है।
सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक विजन स्टेटमेंट तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2 (दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में पीपी विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।
2 जुलाई 2014 को एक new CCRA की पुष्टि की गई लक्ष्य 2012 विजन स्टेटमेंट में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में शामिल हैं:
- केवल एक सहयोगी सुरक्षा प्रोफ़ाइल (cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
- अंतर्राष्ट्रीय तकनीकी समुदायों (आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीपीपी के निर्माण का प्रभार दिया गया।
- व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सीसीआरए से एक परिवर्तन योजना।
मुद्दे
आवश्यकताएँ
सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट (श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और एफआईपीएस 140 -2।
प्रमाणीकरण का मूल्य
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पादों में साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित होती है कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।
विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न माइक्रोसॉफ्ट विंडोज संस्करणों को प्रमाणित किए गए हैं, लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा इन विंडोज सिस्टमों के लिए प्रकाशित किए जा रहे हैं। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणन प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले खतरों की ताकत के बारे में कुछ अनुमान लगाने की अनुमति देती है। इसके अतिरिक्त, सीसी लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे कि मूल्यांकन किए गए उत्पादों को आश्वासन स्तर या पीपी द्वारा निर्दिष्ट विवरण के स्तर तक जांचा जाता है। इसलिए मूल्यांकन गतिविधियों को केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए ही किया जाता है और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करता है।
Microsoft मामले में, मान्यताओं में A.PEER शामिल है: <ब्लॉककोट>
कोई भी अन्य प्रणाली जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और समान सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित परिवेशों पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकताएँ नहीं हैं जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को संबोधित करती हों।
</ब्लॉककोट>
यह धारणा नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल (CAPP) में निहित है, जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य धारणाओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकती हैं, Windows उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिन्हें मूल्यांकित कॉन्फ़िगरेशन भी कहा जाता है।
चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकन विन्यास में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई देते हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणीकरण को विक्रेता द्वारा स्वेच्छा से वापस लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकन विन्यास के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के आवेदन को शामिल करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफल रहने के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।
प्रमाणित Microsoft Windows संस्करण अपने मूल्यांकन विन्यास में किसी Microsoft सुरक्षा भेद्यता पैच के अनुप्रयोग को शामिल किए बिना EAL4+ पर बना रहता है। यह मूल्यांकन किए गए विन्यास की सीमा और ताकत दोनों को दर्शाता है।
आलोचना
अगस्त 2007 में, Government Computing News|Government Computing News (GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना (CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।[5] स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी (एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में शामिल हैं:
- मूल्यांकन एक महंगी प्रक्रिया है (अक्सर सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है।
- मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है।
- मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद आम तौर पर अप्रचलित होता है।
- कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।
2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर FOSS)-केंद्रित संगठनों और विकास मॉडल केविरुद्ध भेदभाव करती है।[6] सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से FOSS सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,[7] अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।[8] राजनीतिक विज्ञानी जान कल्बर्ग ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।[9]
2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:Cite error: Closing </ref>
missing for <ref>
tag यूके(UK) में।
यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:
- सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन (SYSN) और फास्ट ट्रैक दृष्टिकोण (FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस (CTAS) में मिला दिया गया है। [10]
- सीसीटी मार्क (सीसीटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है।
2011 की शुरुआत में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।[11] उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।[12] 2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक विजन स्टेटमेंट प्रकाशित किया। दृष्टि के प्रमुख तत्वों में शामिल हैं:
- तकनीकी समुदाय संरक्षण प्रोफाइल (पीपी) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
- यदि संभव हो तो इन पीपी के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी।
यह भी देखें
- बेल-लापादुला मॉडल
- चीन अनिवार्य प्रमाणपत्र
- मूल्यांकन आश्वासन स्तर
- FIPS 140-2
- सूचना आश्वासन
- आईएसओ 9241
- आईएसओ/आईईसी 27001
- उपयोगिता परीक्षण
- जाँच और वैधता
संदर्भ
- ↑ "सामान्य मानदंड".
- ↑ "सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान".
- ↑ "सामान्य मानदंड प्रमाणित उत्पाद".
- ↑ Indian Common Criteria Certification Scheme. "इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू". Retrieved 2022-06-01.
- ↑ Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Government Computer News, retrieved 2007-12-14
- ↑ Free-Libre / Open Source Software (FLOSS) and Software Assurance
- ↑ Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
- ↑ Beznosov, Konstantin; Kruchten, Philippe. "चुस्त सुरक्षा आश्वासन की ओर". Archived from the original on 2011-08-19. Retrieved 2007-12-14.
- ↑ Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal
- ↑ Infosec Assurance and Certification Services (IACS) Archived February 20, 2008, at the Wayback Machine
- ↑ "सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद" (PDF). Archived from the original (PDF) on April 17, 2012.
- ↑ "सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?". Archived from the original on 2012-05-29.
इस पेज में लापता आंतरिक लिंक की सूची
- इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
- अंतर्राष्ट्रीय मानक
- अंतरराष्ट्रीय मानकीकरण संगठन
- संरक्षण प्रोफ़ाइल
- आईटी आधारभूत सुरक्षा
- अंगुली का हस्ताक्षर
- मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
- चुस्त सॉफ्टवेयर विकास
- आरओसीए भेद्यता
बाहरी संबंध
- The official website of the Common Criteria Project
- The Common Criteria standard documents
- List of Common Criteria evaluated products
- List of Licensed Common Criteria Laboratories
- Towards Agile Security Assurance
- Important Common Criteria Acronyms
- Common Criteria Users Forum
- Additional Common Criteria Information on Google Knol
- OpenCC Project – free Apache license CC docs, templates and tools
- Common Criteria Quick Reference Card
- Common Criteria process cheatsheet
- Common Criteria process timeline