Biztonsági felmérés a Common Criteria alapján

common_criteria

Az IT biztonságba vetett bizalmat a fejlesztés, értékelés és üzemeltetés alatt megtett lépésekkel lehet elérni.
A Common Criteria rendszer informatikai termékek és rendszerek biztonsági tényezőinek értékelési alapjául szolgál.

Fejlesztés:
A Common Criteria ismert érvényességű IT követelmények készletét definiálja, melyeket használva felállíthatók a jövőbeli termék, illetve rendszer IT biztonsági követelményei.

Értékelés:
Az értékelés alap kiinduló adatai a biztonsági cél, tanúsítványok a vizsgálat tárgyáról, valamint maga a vizsgálat tárgya. Az értékelési folyamat várható eredménye egy igazolás, hogy a vizsgálat tárgya megfelel a biztonsági célnak, egy-két jelentéssel dokumentálva az értékelés megállapításait.

Üzemeltetés:
Amikor a vizsgálat tárgya üzemel, sérülékenységek kerülhetnek felszínre, vagy környezeti körülmények tehetik szükségessé a felülvizsgálatot. Jelentések készülhetnek a fejlesztő számára, a vizsgálat tárgyán szükséges változtatásokról. Az ilyen változtatásokat követően újabb értékelésre lehet szükség.

A Common Criteria lehetővé teszi független biztonsági értékelések összehasonlítását. Közös biztonsági követelményeket és mérőszámokat fogalmaz meg az IT eszközök biztonsági funkcióival szemben. Ezzel elősegíti az IT rendszerek biztonságának felmérését, a biztonsági kockázatok felbecsülését.
A Common Criteria-n alapuló értékelés bevezetésével az informatikai biztonság mérhetővé, a különböző eszközök összehasonlíthatóvá válnak.

"A Common Criteria szerinti, IT termékekre vonatkozó értékelésnek, választásnak már nincs ésszerű alternatívája. A korábban kidolgozott különböző módszerek ma is érvényes, illetve továbbfejlesztett változatai beépültek a Common Criteria anyagaiba." - forrás: ITB