Common Criteria, käyttö (2-B)

CC-standardi on oikealta nimeltään Common Criteria for Information Technology Security Evaluation -- ja ISO-standardina 15408 Evaluation criteria for IT security. Edellinen on ilmaisena verkossa (CC-kotisivu) ja jälkimmäinen maksaa noin 1000 euroa (2004). Kumpikin nimi kertoo, mistä siinä on kyse -- kunhan sanan 'technology' ymmärtää melko tuotekeskeisesti. Vaikka CC-kriteerejä voidaan käyttää myös tietojärjestelmien arviointiin, virallisia arviointeja ei ole muista kuin tuotteista.

Sertifiointi on yleisesti sitä, että luotettu osapuoli antaa todistuksen, että tuote, prosessi tai palvelu on tiettyjen vaatimusten -- erityisesti jonkin standardin mukainen. Akkreditointi puolestaan tarkoittaa menettelyä, jossa arvioidaan ja todetaan sertifioijan pätevyys -- eli tavallaan toisen kertaluvun sertifiointi (eri kriteereillä). Akkreditoinnin tekee yleensä jokin viranomainen.

Suomi ja 18 muuta ns. länsimaata ovat solmineet CCRA-sopimuksen (CC Recognition Arrangement). Sen mukaan osallistujat hyväksyvät toistensa suorittamat CC-evaluaatiot. Kaikissa osallistujamaissa ei kuitenkaan ole arviointilaitoksia.

Tärkeä CC-sertifikaattien myöntäjä on USA:n valtion hallinnoima NIAP (National Information Assurance Partnership). Se myöntää sertifikaatteja CCEVS:n perusteella (CC Evaluation and Validation Scheme). CCEVS on yksi kansallinen menettelytapa, jolla sertifioinnin hallinnointi tapahtuu. Muita on 8 maassa: Englanti, Saksa, Alankomaat, Kanada, Japani, Uusi-Seelanti, Australia. Nämä maat ovat tietenkin mukana myös CCRA:ssa.

Kansallinen skeema ottaa kantaa mm. siihen, miten ko. maassa akkreditoidaan laitokset, jotka arviointeja varsinaisesti suorittavat. Tämän skeeman lisäksi evaluointiin liittyy CEM (CC Evaluation Methodology), joka määrittelee tarkoin, miten laboratoriot evaluointinsa suorittavat. Aluksi CEM kattoi vain tasot EAL 1-4 (versio 1, 1999). Euroopassa oli silti sovittu tasoon EAL 7 asti ulottuvasta sertifiointien siirrettävyydestä. Versio 3.1 (2006, 405 sivua) ei enää ota suoraan kantaa EAL-tasoon. Dokumentissa oleva esimerkki tarkistuslistasta koskee EAL 4:ää.

USA:ssa on 10 NIAP:n hyväksymää testauslaboratoriota. Saksassa on 14 CC-arviointilaitosta (Prüfstelle). Englannissa tehtävä lomittuu yhä aiemman sikäläisen ITSEC-standardin kanssa, jolla on 5 laitosta (vrt. IACS-sivusto).

CC-portaalin sivuilla luetellaan ja tilastoidaan sertifioitija tuotteita. Vuoden 2006 tammikuussa listalla oli 409 tuotetta ja ne jakautuivat EAL-tasoille seuraavasti:

  1. 33
  2. 99
  3. 72
  4. 170
  5. 34
  6. 0
  7. 1

Ainoana EAL7-luokassa oli "Tenix Interactive Link Data Diode Device Version 2.1". Suomalaisista mukana oli Stonesoftin palomuuri ja Nokian turvasovellusten käyttöjärjestelmä IPSO (kummallakin EAL 4, vuonna 2003).

CC-arvioinnit toteutetaan suhteessa johonkin suojaprofiiliin tai -tavoitteeseen?.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 26 Sep 2010 - 11:11:13 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback