सामान्य मानदंड
कंप्यूटर सुरक्षा सुरक्षा आकलन के लिए सामान्य मानदंड (सामान्य मानदंड या सीसी के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक (मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।[1] सामान्य मानदंड एक ढांचा है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य (एसटी) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं (क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल (पीपी) से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं या दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।[2] सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम शामिल हैं।[3]
मुख्य अवधारणाएँ
कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर सामान्य मानदंड मूल्यांकन किए जाते हैं।
- मूल्यांकन का लक्ष्य (TOE) - उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने के लिए कार्य करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन को लक्ष्य की सुरक्षा सुविधाओं को सत्यापित करना चाहिए। यह निम्नलिखित के माध्यम से किया जाता है:
- सुरक्षा प्रोफ़ाइल (पीपी) – एक दस्तावेज़, जो आमतौर पर एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों के एक वर्ग के लिए सुरक्षा आवश्यकताओं की पहचान करता है (उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क फ़ायरवॉल (कंप्यूटिंग) ) उस उपयोगकर्ता को किसी विशेष उद्देश्य के लिए। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक पीपीज़ का अनुपालन करते हैं, और उन पीपीज़ के विरुद्ध अपने उत्पादों का मूल्यांकन करवाते हैं। ऐसे मामले में, एक पीपी उत्पाद के एसटी (सुरक्षा लक्ष्य, जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या एसटी के लेखक कम से कम यह सुनिश्चित करेंगे कि प्रासंगिक पीपी में सभी आवश्यकताएं लक्ष्य के एसटी दस्तावेज़ में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक पीपी के खिलाफ प्रमाणित उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
- सुरक्षा लक्ष्य (ST) – वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा गुणों की पहचान करता है। एसटी एक या एक से अधिक पीपी के साथ अनुरूपता का दावा कर सकता है। TOE का मूल्यांकन इसके ST में स्थापित SFRs (सिक्योरिटी फंक्शनल रिक्वायरमेंट्स। फिर से, नीचे देखें) के विरुद्ध किया जाता है, न अधिक और न ही कम। यह विक्रेताओं को मूल्यांकन को उनके उत्पाद की इच्छित क्षमताओं से सटीक रूप से मिलान करने की अनुमति देता है। इसका मतलब है कि एक नेटवर्क फ़ायरवॉल को डेटाबेस प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और वास्तव में अलग-अलग फायरवॉल का मूल्यांकन आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के खिलाफ किया जा सकता है। एसटी आमतौर पर प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा सुविधाओं का निर्धारण कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
- सुरक्षा कार्यात्मक आवश्यकताएँ (SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो एक उत्पाद द्वारा प्रदान किया जा सकता है। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक एसएफआर यह बता सकता है कि एक विशेष आरबीएसी का कार्य करने वाला उपयोगकर्ता प्रमाणीकरण कैसे हो सकता है। एसएफआर की सूची एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को एसटी में शामिल करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फ़ंक्शन का सही संचालन (जैसे भूमिकाओं के अनुसार पहुंच को सीमित करने की क्षमता) दूसरे पर निर्भर है (जैसे व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता) ).
मूल्यांकन प्रक्रिया गुणवत्ता आश्वासन प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखे जा सकने वाले विश्वास के स्तर को स्थापित करने का भी प्रयास करती है:
- सुरक्षा आश्वासन आवश्यकताएँ (SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण। उदाहरण के लिए, एक मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को परिवर्तन प्रबंधन प्रणाली में रखा जाए, या यह कि पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताओं को क्रमशः एसटी और पीपी में प्रलेखित किया गया है।
- मूल्यांकन आश्वासन स्तर (ईएएल) - मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं (SARs, ऊपर देखें) के एक पैकेज से मेल खाता है, जो एक निश्चित स्तर की सख्ती के साथ उत्पाद के पूर्ण विकास को कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी (और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर (और सबसे महंगा) है। आम तौर पर, एक एसटी या पीपी लेखक आश्वासन आवश्यकता का चयन नहीं करेगाव्यक्तिगत रूप से, लेकिन इन पैकेजों में से किसी एक को चुनें, संभवतः कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'बढ़ती' आवश्यकताएं। उच्च ईएएल नहीं आवश्यक रूप से बेहतर सुरक्षा का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई का दावा किया गया सुरक्षा आश्वासन अधिक व्यापक सत्यापन और सत्यापन है।
अब तक, अधिकांश पीपी और अधिकांश मूल्यांकित एसटी/प्रमाणित उत्पाद आईटी घटकों (जैसे, फायरवॉल, ऑपरेटिंग सिस्टम , स्मार्ट कार्ड) के लिए हैं। आईटी खरीद के लिए कभी-कभी सामान्य मानदंड प्रमाणन निर्दिष्ट किया जाता है। अन्य मानकों में शामिल हैं, उदाहरण के लिए, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सीसी और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा शामिल हैं।
टीओई के भीतर क्रिप्टोग्राफिक कार्यान्वयन का विवरण सीसी के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे FIPS 140-2 , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक उपयोग में क्रिप्टोग्राफ़िक एल्गोरिदम निर्दिष्ट करते हैं।
हाल ही में, पीपी लेखकों ने सीसी मूल्यांकनों के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को शामिल किया है जो आमतौर पर योजना-विशिष्ट व्याख्याओं के माध्यम से सीसी की सीमाओं को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किया जाएगा।
कुछ राष्ट्रीय मूल्यांकन योजनाएँ ईएएल-आधारित मूल्यांकनों को समाप्त कर रही हैं और केवल मूल्यांकन के लिए ऐसे उत्पादों को स्वीकार करती हैं जो अनुमोदित पीपी के साथ सख्त अनुरूपता का दावा करते हैं। संयुक्त राज्य अमेरिका वर्तमान में केवल पीपी-आधारित मूल्यांकन की अनुमति देता है। कनाडा EAL-आधारित मूल्यांकनों को चरणबद्ध तरीके से समाप्त करने की प्रक्रिया में है।
इतिहास
सीसी की उत्पत्ति तीन मानकों से हुई:
- ITSEC – यूरोपीय मानक, जिसे 1990 के दशक की शुरुआत में फ़्रांस, जर्मनी, नीदरलैंड और यूके द्वारा विकसित किया गया था। यह भी पहले के काम का एकीकरण था, जैसे कि दो यूके दृष्टिकोण (जीसीएचक्यू यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और व्यापार और उद्योग विभाग (यूनाइटेड किंगडम) ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और इसे अपनाया गया था कुछ अन्य देशों द्वारा, उदा। ऑस्ट्रेलिया।
- CTCPEC – कनाडा के मानक ने US DoD मानक का पालन किया, लेकिन कई समस्याओं से बचा और अमेरिका और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा संयुक्त रूप से उपयोग किया गया। CTCPEC मानक पहली बार मई 1993 में प्रकाशित हुआ था।
- TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 Std, जिसे TCSEC और इंद्रधनुष श्रृंखला ़ के हिस्से कहा जाता है। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक की शुरुआत में राष्ट्रीय सुरक्षा एजेंसी और राष्ट्रीय मानक ब्यूरो (NBS अंततः राष्ट्रीय मानक और प्रौद्योगिकी संस्थान बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई थी। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।
इन पूर्व-मौजूदा मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।
परीक्षण संगठन
सभी सामान्य मानदंड परीक्षण प्रयोगशाला को ISO 17025|ISO/IEC 17025 का अनुपालन करना चाहिए, और प्रमाणीकरण निकायों को सामान्य रूप से ISO/IEC 17065 के विरुद्ध अनुमोदित किया जाएगा।
ISO 17025|ISO/IEC 17025 का अनुपालन आम तौर पर एक राष्ट्रीय अनुमोदन प्राधिकरण को प्रदर्शित किया जाता है:
- कनाडा में, कनाडा की मानक परिषद (SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम (PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाओं (CCEF) को मान्यता देती है।
- फ्रांस में Comité français d'accréditation (COFRAC) सामान्य मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे आमतौर पर कहा जाता है Centre d'évaluation de la sécurité des technologies de l'information (सीईएसटीआई)। मूल्यांकन Agence Nationale de la securité des Systemes d'सूचना (ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।
- इटली में, [http://www.ocsi.isticom.it/ OCSI (Organismo di Certificazione della Sicurezza Informatica) सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता देता है
- भारत में, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय का STQC निदेशालय EAL4 के माध्यम से आश्वासन स्तर EAL 1 पर IT उत्पादों का मूल्यांकन और प्रमाणन करता है।[4]
- ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा (UKAS) Commercial Evaluation Facility (CLEF) को मान्यता देती थी; यूके 2019 से सीसी पारिस्थितिकी तंत्र में केवल एक उपभोक्ता है
- अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम (NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं (CCTL) को मान्यता देता है।
- जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक (बीएसआई)
- स्पेन में, नेशनल क्रिप्टोलॉजिक सेंटर (CCN) सामान्य मानदंड php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं स्पेनिश योजना में काम कर रही हैं।
- नीदरलैंड में, नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी (NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज (ITSEF) को मान्यता देती है।
- स्वीडन में स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी (CSEC) IT को लाइसेंस देता है सुरक्षा मूल्यांकन सुविधाएं (ITSEF)।
ICCC 10 में इन संगठनों की विशेषताओं की जांच की गई और उन्हें प्रस्तुत किया गया।
पारस्परिक मान्यता व्यवस्था
साथ ही सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए (पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के खिलाफ मूल्यांकन को मान्यता देता है। मूल रूप से कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा 1998 में हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में शामिल हुए, इसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन शामिल हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) का नाम बदलकर सदस्यता का विस्तार जारी है। CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को पारस्परिक रूप से मान्यता प्राप्त है (त्रुटि निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश आमतौर पर उच्च EALs को भी पहचानते हैं। EAL5 और ऊपर के मूल्यांकन में मेजबान देश की सरकार की सुरक्षा आवश्यकताओं को शामिल करने की प्रवृत्ति होती है।
सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक विजन स्टेटमेंट तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2 (दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में पीपी विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से प्राप्त किया जाएगा, और अभी तक एक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।
2 जुलाई 2014 को एक new CCRA की पुष्टि की गई लक्ष्य 2012 विजन स्टेटमेंट में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में शामिल हैं:
- केवल एक सहयोगी सुरक्षा प्रोफ़ाइल (cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
- अंतर्राष्ट्रीय तकनीकी समुदायों (आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीपीपी के निर्माण का प्रभार दिया गया।
- व्यवस्था के पिछले संस्करण के तहत जारी किए गए प्रमाणपत्रों की मान्यता सहित पिछले सीसीआरए से एक संक्रमण योजना।
मुद्दे
आवश्यकताएँ
सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट (श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे टीसीएसईसी और एफआईपीएस 140 -2।
प्रमाणीकरण का मूल्य
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पाद साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित करते हैं कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।
विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न माइक्रोसॉफ्ट विंडोज संस्करण, प्रमाणित किए गए हैं, लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा प्रकाशित किए जा रहे हैं ये विंडोज सिस्टम। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणीकरण प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले खतरों की ताकत के बारे में कुछ धारणाएं बनाने की अनुमति देती है। इसके अतिरिक्त, सीसी लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे मूल्यांकन किए गए उत्पादों की जांच आश्वासन स्तर या पीपी द्वारा निर्दिष्ट विवरण के स्तर तक की जाती है। मूल्यांकन गतिविधियाँ इसलिए केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए की जाती हैं और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करती हैं।
Microsoft मामले में, मान्यताओं में A.PEER शामिल है: <ब्लॉककोट>
कोई भी अन्य सिस्टम जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और उसी सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित वातावरण पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकता नहीं है जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को पूरा करती हो।
</ब्लॉककोट>
यह धारणा नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल (CAPP) में निहित है जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य मान्यताओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकते हैं, Windows उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिसे मूल्यांकित कॉन्फ़िगरेशन के रूप में भी जाना जाता है।
चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकित कॉन्फ़िगरेशन में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई दे रहे हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणन को विक्रेता द्वारा स्वेच्छा से वापस ले लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकित कॉन्फ़िगरेशन के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के अनुप्रयोग को शामिल करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफलता के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।
प्रमाणित Microsoft Windows संस्करण अपने मूल्यांकित कॉन्फ़िगरेशन में किसी भी Microsoft सुरक्षा भेद्यता पैच के अनुप्रयोग को शामिल किए बिना मूल्यांकन आश्वासन स्तर|EAL4+ पर बने रहते हैं। यह मूल्यांकित कॉन्फ़िगरेशन की सीमा और शक्ति दोनों को दर्शाता है।
आलोचना
अगस्त 2007 में, Government Computing News|Government Computing News (GCN) स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और सत्यापन योजना (CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की गंभीर रूप से जांच की।[5] कॉलम में सुरक्षा उद्योग के अधिकारियों, शोधकर्ताओं और राष्ट्रीय सूचना आश्वासन भागीदारी (एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में उल्लिखित आपत्तियों में शामिल हैं:
- मूल्यांकन एक महंगी प्रक्रिया है (अक्सर सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी जरूरी नहीं कि एक अधिक सुरक्षित उत्पाद हो।
- मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेजों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की खूबियों पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर में ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर पूर्ण स्रोत कोड विश्लेषण आवश्यक है।
- मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, तब तक मूल्यांकन में उत्पाद आम तौर पर अप्रचलित हो जाता है।
- उद्योग इनपुट, जिसमें कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट शामिल हैं, का आम तौर पर पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।
2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुक्त मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर FOSS)-केंद्रित संगठनों और विकास मॉडल के साथ भेदभाव करती है।[6] सामान्य मानदंड आश्वासन आवश्यकताएं पारंपरिक जलप्रपात मॉडल सॉफ्टवेयर विकास पद्धति से प्रेरित होती हैं। इसके विपरीत, आधुनिक फुर्तीले सॉफ्टवेयर विकास प्रतिमानों का उपयोग करके बहुत से FOSS सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं हैं,[7] दूसरों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।[8] राजनीतिक विज्ञानी जान कल्बर्ग ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी कर्मचारी वाले संगठनात्मक निकाय की अनुपस्थिति, और यह विचार कि आम मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास होगा, पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।[9]
2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों को उजागर किया:Cite error: Closing </ref>
missing for <ref>
tag उक में।
यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:
- जीसीएचक्यू सिस्टम इवैल्यूएशन (एसवाईएसएन) और फास्ट ट्रैक एप्रोच (एफटीए) योजनाएं जेनेरिक उत्पादों और सेवाओं के बजाय सरकारी सिस्टम के आश्वासन के लिए हैं, जिन्हें अब सीईएसजी टेलर्ड एश्योरेंस सर्विस (सीटीएएस) में विलय कर दिया गया है। [10]
- सीसीटी मार्क (सीसीटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम विस्तृत आश्वासन आवश्यकताओं को पूरा करना है।
2011 की शुरुआत में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के प्रति एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।[11] उद्देश्य एक अधिक मजबूत मूल्यांकन है। कुछ चिंता है कि इससे #पारस्परिक मान्यता व्यवस्था पर नकारात्मक प्रभाव पड़ सकता है।[12] 2012 के सितंबर में, कॉमन क्राइटेरिया ने एक विजन स्टेटमेंट प्रकाशित किया, जो काफी हद तक क्रिस साल्टर के पिछले साल के विचारों को लागू करता है। विजन के प्रमुख तत्वों में शामिल हैं:
- तकनीकी समुदायों को संरक्षण प्रोफाइल (पीपी) लिखने पर ध्यान केंद्रित किया जाएगा जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
- यदि संभव हो तो इन पीपी के विरुद्ध मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता EAL2 तक सीमित नहीं होगी।
यह भी देखें
- बेल-लापादुला मॉडल
- चीन अनिवार्य प्रमाणपत्र
- मूल्यांकन आश्वासन स्तर
- FIPS 140-2
- सूचना आश्वासन
- आईएसओ 9241
- आईएसओ/आईईसी 27001
- उपयोगिता परीक्षण
- जाँच और वैधता
संदर्भ
- ↑ "सामान्य मानदंड".
- ↑ "सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान".
- ↑ "सामान्य मानदंड प्रमाणित उत्पाद".
- ↑ Indian Common Criteria Certification Scheme. "इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू". Retrieved 2022-06-01.
- ↑ Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Government Computer News, retrieved 2007-12-14
- ↑ Free-Libre / Open Source Software (FLOSS) and Software Assurance
- ↑ Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
- ↑ Beznosov, Konstantin; Kruchten, Philippe. "चुस्त सुरक्षा आश्वासन की ओर". Archived from the original on 2011-08-19. Retrieved 2007-12-14.
- ↑ Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal
- ↑ Infosec Assurance and Certification Services (IACS) Archived February 20, 2008, at the Wayback Machine
- ↑ "सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद" (PDF). Archived from the original (PDF) on April 17, 2012.
- ↑ "सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?". Archived from the original on 2012-05-29.
इस पेज में लापता आंतरिक लिंक की सूची
- इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
- अंतर्राष्ट्रीय मानक
- अंतरराष्ट्रीय मानकीकरण संगठन
- संरक्षण प्रोफ़ाइल
- आईटी आधारभूत सुरक्षा
- अंगुली का हस्ताक्षर
- मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
- चुस्त सॉफ्टवेयर विकास
- आरओसीए भेद्यता
बाहरी संबंध
- The official website of the Common Criteria Project
- The Common Criteria standard documents
- List of Common Criteria evaluated products
- List of Licensed Common Criteria Laboratories
- Towards Agile Security Assurance
- Important Common Criteria Acronyms
- Common Criteria Users Forum
- Additional Common Criteria Information on Google Knol
- OpenCC Project – free Apache license CC docs, templates and tools
- Common Criteria Quick Reference Card
- Common Criteria process cheatsheet
- Common Criteria process timeline