सामान्य मानदंड

From Vigyanwiki

कंप्यूटर सुरक्षा आकलन के लिए सामान्य मानदंड(सामान्य मानदंड या CC के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक(मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।[1] सामान्य मानदंड एक प्रारूप है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य(सुरक्षा लक्ष्य) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं(क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर, मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।[2] सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम सम्मिलित हैं।[3]


मुख्य अवधारणाएँ

सामान्य मानदंड मूल्यांकन कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर किया जाता है।

  • मूल्यांकन का लक्ष्य - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है:
    • सुरक्षा प्रोफ़ाइल - एक दस्तावेज़, जो सामान्यतः एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है(उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क फ़ायरवॉल(कंप्यूटिंग) जो उस उपयोगकर्ता के लिए प्रासंगिक है। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक सुरक्षा प्रोफ़ाइल का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन सुरक्षा प्रोफ़ाइल के विरुद्ध करवाते हैं। ऐसे मामले में, एक सुरक्षा प्रोफ़ाइल उत्पाद के सुरक्षा लक्ष्य(जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या सुरक्षा लक्ष्य के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित सुरक्षा प्रोफ़ाइल में सभी आवश्यकताएं लक्ष्य के सुरक्षा लक्ष्य दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक सुरक्षा प्रोफ़ाइल के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
    • सुरक्षा लक्ष्य - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। सुरक्षा लक्ष्य एक या एक से अधिक सुरक्षा प्रोफ़ाइल के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके सुरक्षा लक्ष्य में स्थापित SFRs(सुरक्षा कार्यात्मक आवश्यकताएँ) के विरुद्ध ,न अधिक और न ही कम किया जाता है। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को डेटाबेस प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। सुरक्षा लक्ष्य को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
    • सुरक्षा कार्यात्मक आवश्यकताएँ(SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष आरबीएसी भूमिका को निभाने वाला उपयोगकर्ता कैसे प्रमाणीकरण हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को सुरक्षा लक्ष्य में सम्मिलित करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फलन का सही संचालन(जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है(जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता)।

मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो गुणवत्ता आश्वासन प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है:

  • सुरक्षा आश्वासन आवश्यकताएँ(SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण सुरक्षा आश्वासन कहलाती है। उदाहरण के लिए, मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः सुरक्षा लक्ष्य और सुरक्षा प्रोफ़ाइल में प्रलेखित हैं।
  • मूल्यांकन आश्वासन स्तर(ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग मूल्यांकन आश्वासन स्तर कहलाती है। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं के एक पैकेज से समानता रखता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी(और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर(सबसे महंगा) है। व्यापक रूप से, एक सुरक्षा लक्ष्य या सुरक्षा प्रोफ़ाइल लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा, लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है।

अब तक, अधिकांश सुरक्षा प्रोफ़ाइल और सबसे अधिक मूल्यांकन किए गए सुरक्षा लक्ष्य/प्रमाणित उत्पाद आईटी घटकों(जैसे, फायरवॉल, ऑपरेटिंग सिस्टम , स्मार्ट कार्ड) के लिए हैं। सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सामान्य मानदंड और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा सम्मिलित हैं।

टीओई के भीतर क्रिप्टोग्राफिक कार्यान्वयन का विवरण सामान्य मानदंड के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि FIPS 140-2 , क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं।

हाल ही में, सुरक्षा प्रोफ़ाइल लेखक सामान्य मानदंड मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को सम्मिलित कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सामान्य मानदंड की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे।

इन पहले से उपस्थित मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता थी। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

इतिहास

सामान्य मानदंड तीन मानकों से उत्पन्न हुआ:

  • ITSEC –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक के प्रारम्भ में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण(जीसीएचक्यू यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और व्यापार और उद्योग विभाग(यूनाइटेड किंगडम) ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया।
  • CTCPEC – कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है। CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था।
  • TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 सुरक्षा लक्ष्यd, जिसे ऑरेंज बुक और इंद्रधनुष श्रृंखला के हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में राष्ट्रीय सुरक्षा एजेंसी राष्ट्रीय मानक ब्यूरो(NBS अंततः NIसुरक्षा लक्ष्य बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।

इन पूर्व-उपस्थिता मानकों को एकीकृत करके सामान्य मानदंड का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार(मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

परीक्षण संगठन

सभी सामान्य मानदंड परीक्षण प्रयोगशाला को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा।

ISO/IEC 17025 के अनुपालन को व्यापक रूप से एक राष्ट्रीय अनुमोदन प्राधिकरण के सामने प्रदर्शित किया जाता है:

इन संगठनों की विशेषताओं की जांच की गई और ICCC 10 में प्रस्तुत की गई।

पारस्परिक मान्यता व्यवस्था

साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए(पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में सम्मिलित हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन सम्मिलित हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट(CCRA) का नाम बदला गया और सदस्यता का विस्तार जारी है।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है(दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश सामान्यतः उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को सम्मिलित करने की प्रवृत्ति होती है।

सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक दृश्य विवरण पत्र तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2(दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में सुरक्षा प्रोफ़ाइल विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।

2 जुलाई 2014 को एक new CCRA की पुष्टि की गई लक्ष्य 2012 विजन स्टेटमेंट में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में सम्मिलित हैं:

  • केवल एक सहयोगी सुरक्षा प्रोफ़ाइल(cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
  • अंतर्राष्ट्रीय तकनीकी समुदायों(आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीसुरक्षा प्रोफ़ाइल के निर्माण का प्रभार दिया गया।
  • व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सामान्य मानदंडआरए से एक परिवर्तन योजना।

मुद्दे

आवश्यकताएँ

सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट(श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और एफआईपीएस 140 -2।

प्रमाणीकरण का मूल्य

सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पादों में साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित होती है कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।

विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न माइक्रोसॉफ्ट विंडोज संस्करणों को प्रमाणित किए गए हैं, लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा इन विंडोज सिस्टमों के लिए प्रकाशित किए जा रहे हैं। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणन प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले संकटों की ताकत के बारे में कुछ अनुमान लगाने की अनुमति देती है। इसके अतिरिक्त, सामान्य मानदंड लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे कि मूल्यांकन किए गए उत्पादों को आश्वासन स्तर या सुरक्षा प्रोफ़ाइल द्वारा निर्दिष्ट विवरण के स्तर तक जांचा जाता है। इसलिए मूल्यांकन गतिविधियों को केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए ही किया जाता है और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करता है।

माइक्रोसॉफ्ट परिस्थिति की मान्यताओं में एक पीयर सम्मिलित है:

"कोई भी अन्य प्रणाली जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और समान सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित परिवेशों पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकताएँ नहीं हैं जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को संबोधित करती हों।"

यह धारणा नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल(CAPP) में निहित है, जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य धारणाओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकती हैं, विंडोज उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिन्हें मूल्यांकित संरूपण भी कहा जाता है।

चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकन विन्यास में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई देते हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणीकरण को विक्रेता द्वारा स्वेच्छा से वापस लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकन विन्यास के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के आवेदन को सम्मिलित करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफल रहने के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।

प्रमाणित माइक्रोसॉफ्ट विंडोज संस्करण अपने मूल्यांकन विन्यास में किसी माइक्रोसॉफ्ट सुरक्षा भेद्यता पैच के अनुप्रयोग को सम्मिलित किए बिना EAL4+ पर बना रहता है। यह मूल्यांकन किए गए विन्यास की सीमा और ताकत दोनों को दर्शाता है।

आलोचना

अगस्त 2007 में, गवर्नमेंट कंप्यूटिंग न्यूज़(GCN) के स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और मान्यता योजना(CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की आलोचनात्मक जांच की।[5] स्तंभ में सुरक्षा उद्योग के कार्यकारियों, शोधकर्ताओं, और राष्ट्रीय सूचना आश्वासन भागीदारी(एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में दी गई आपत्तियों में सम्मिलित हैं:

  • मूल्यांकन एक महंगी प्रक्रिया है(प्रायः सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी आवश्यक रूप से अधिक सुरक्षित उत्पाद नहीं है।
  • मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेज़ों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की योग्यता पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर स्तर पर ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर ही पूर्ण स्रोत कोड विश्लेषण की आवश्यकता है।
  • मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, मूल्यांकन में उत्पाद सामान्यतः अप्रचलित होता है।
  • कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट सहित उद्योग इनपुट का व्यापक रूप से पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।

2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर फॉस)-केंद्रित संगठनों और विकास मॉडल के विरुद्ध भेदभाव करती है।[6] सामान्य मानदंड आश्वासन आवश्यकताओं को पारंपरिक जलप्रपात सॉफ्टवेयर विकास पद्धति से प्रेरित किया जाता है। इसके विपरीत, आधुनिक फुर्तीले प्रतिमानों का उपयोग करते हुए बहुत से फॉस सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ लोगों ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं होते हैं,[7] अन्य लोगों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है।[8] राजनीतिक विज्ञानी जान कल्बर्ग ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी रूप से कर्मचारियों वाले संगठनात्मक निकाय की अनुपस्थिति, और सामान्य मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास के विचार पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए।[9] 2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों पर प्रकाश डाला:[10]

  • भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, सूचना सुरक्षा के लिए संघीय कार्यालय अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है।
  • भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक ​​कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है।
  • जबकि कई सामान्य मानदंड प्रमाणित उत्पाद ROCA दोष से प्रभावित हुए हैं, प्रमाणन के संदर्भ में विक्रेताओं की प्रतिक्रियाएँ भिन्न रही हैं। कुछ उत्पादों के लिए एक रखरखाव रिपोर्ट जारी की गई थी, जिसमें कहा गया है कि केवल 3072 और 3584 बिट्स की लंबाई वाली RSA कुंजियों में कम से कम 100 बिट्स का सुरक्षा स्तर है, जबकि कुछ उत्पादों के लिए रखरखाव रिपोर्ट में यह उल्लेख नहीं है कि TOE में परिवर्तन प्रभावित करता है। प्रमाणित क्रिप्टोग्राफिक सुरक्षा कार्यक्षमता, लेकिन निष्कर्ष निकाला है कि परिवर्तन मार्गदर्शन प्रलेखन के स्तर पर है और इसका आश्वासन पर कोई प्रभाव नहीं है।
  • सूचना सुरक्षा के लिए संघीय कार्यालय के अनुसार, प्रमाणित अंत उत्पादों के उपयोगकर्ताओं को विक्रेताओं द्वारा आरओसीए भेद्यता के बारे में सूचित किया जाना चाहिए। हालांकि, यह जानकारी एस्टोनियाई अधिकारियों तक समय पर नहीं पहुंच पाई, जिन्होंने 750,000 से अधिक एस्टोनियाई पहचान पत्र पर कमजोर उत्पाद को तैनात किया था।

वैकल्पिक दृष्टिकोण

CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि FIPS-140 के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) )[11] यूके(UK) में।

यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:

  • सामान्य उत्पादों और सेवाओं के बजाय सरकारी प्रणालियों के आश्वासन के लिए GCHQ सिस्टम मूल्यांकन(SYSN) और फास्ट ट्रैक दृष्टिकोण(FTA) योजनाओं को अब CESG टेलर्ड एश्योरेंस सर्विस(CTAS) में मिला दिया गया है। [12]
  • सामान्य मानदंडटी मार्क(सामान्य मानदंडटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम व्यापक आश्वासन आवश्यकताओं को पूरा करना है।

2011 के प्रारम्भ में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के लिए एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं।[13] उद्देश्य एक और मजबूत मूल्यांकन है। कुछ चिंता है कि इससे पारस्परिक मान्यता पर नकारात्मक प्रभाव पड़ सकता है।[14] 2012 के सितंबर में, कॉमन क्राइटेरिया ने पिछले वर्ष से काफी हद तक क्रिस साल्टर के विचारों को लागू करते हुए एक विजन स्टेटमेंट प्रकाशित किया। दृष्टि के प्रमुख तत्वों में सम्मिलित हैं:

  • तकनीकी समुदाय संरक्षण प्रोफाइल(सुरक्षा प्रोफ़ाइल) को संलेखित करने पर ध्यान केंद्रित करेंगे जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
  • यदि संभव हो तो इन सुरक्षा प्रोफ़ाइल के खिलाफ मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता नहीं है तो EAL2 तक सीमित होगी।







यह भी देखें

संदर्भ

  1. "सामान्य मानदंड".
  2. "सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान".
  3. "सामान्य मानदंड प्रमाणित उत्पाद".
  4. Indian Common Criteria Certification Scheme. "इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू". Retrieved 2022-06-01.
  5. Under Attack: Common Criteria has loads of critics, but is it getting a bum rap Government Computer News, retrieved 2007-12-14
  6. Free-Libre / Open Source Software (FLOSS) and Software Assurance
  7. Wäyrynen, J., Bodén, M., and Boström, G., Security Engineering and eXtreme Programming: An Impossible Marriage?
  8. Beznosov, Konstantin; Kruchten, Philippe. "चुस्त सुरक्षा आश्वासन की ओर". Archived from the original on 2011-08-19. Retrieved 2007-12-14.
  9. Common Criteria meets Realpolitik – Trust, Alliances, and Potential Betrayal
  10. Parsovs, Arnis (March 2021). एस्टोनियाई इलेक्ट्रॉनिक पहचान पत्र और इसकी सुरक्षा चुनौतियाँ (PhD). University of Tartu. pp. 141–143.
  11. "CAPS: CESG से सहायता प्राप्त उत्पाद योजना". Archived from the original on August 1, 2008.
  12. Infosec Assurance and Certification Services (IACS) Archived February 20, 2008, at the Wayback Machine
  13. "सामान्य मानदंड सुधार: उद्योग के साथ सहयोग बढ़ाकर बेहतर सुरक्षा उत्पाद" (PDF). Archived from the original (PDF) on April 17, 2012.
  14. "सामान्य मानदंड "सुधार"—सिंक या स्विम--उद्योग को सामान्य मानदंड के साथ चल रही क्रांति को कैसे संभालना चाहिए?". Archived from the original on 2012-05-29.


इस पेज में लापता आंतरिक लिंक की सूची

  • इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
  • अंतर्राष्ट्रीय मानक
  • अंतरराष्ट्रीय मानकीकरण संगठन
  • संरक्षण प्रोफ़ाइल
  • आईटी आधारभूत सुरक्षा
  • अंगुली का हस्ताक्षर
  • मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
  • चुस्त सॉफ्टवेयर विकास
  • आरओसीए भेद्यता

बाहरी संबंध