È stato affermato che Common Criteria risolve un "problema di conformità e non un problema di sicurezza" . Qualcuno può spiegare dove è richiesta la certificazione CC o a vantaggio di un settore?
È semplicemente un angolo di marketing che aiuta a vendere un prodotto a VP / exec meno informati? Quali sono i vantaggi pratici di esso, o dove è utile?
Criteri comuni è una casella di controllo su DoD e altri processi di approvvigionamento del dipartimento governativo. Come probabilmente saprai, CC si è evoluto da TCSEC negli Stati Uniti e combinato ITSEC (Europa) e CTCPEC (Canada) . Quindi ci sono quelli che sostengono che Common Criteria imposta un modello standard di consapevolezza della sicurezza per qualsiasi prodotto che attraversa il suo processo.
Detto questo, e in quanto valutatore canadese dei criteri comuni, posso dirvi che ci sono continue divergenze all'interno dell'industria CC riguardo al fatto che il processo aiuti a fornire qualsiasi garanzia o se si tratti semplicemente di una casella di controllo insoddisfacente.
In definitiva i grandi produttori finali - i tuoi Microsoft, i tuoi HP, i tuoi Oracle - tutti vogliono vendere al governo. Non possono farlo senza il certificato CC, quindi acconsentono a far valutare il loro sistema. Sono interessati al certificato finale (tecnicamente, purché siano "in valutazione" che potrebbe essere tutto ciò che devono vendere).
L'assicurazione è una bestia bidimensionale in CC. Su un asse, si hanno le funzioni di sicurezza che il prodotto sta rivendicando di offrire (ad esempio, l'identificazione e l'autenticazione delle smart card per le workstation). Nell'altra dimensione, hai il livello di rigore e di impegno per testare che tali affermazioni funzionano e sono implementate in modo sicuro.
L'industria CC ha deciso di forzare per ridurre il rigore della valutazione (puoi salire solo al Livello 2 di Valutazione della Valutazione invece di 4 [più alto il numero, più rigore applicato]). L'idea è di accelerare le valutazioni, renderle più economiche e consentire a più venditori di cercarle.
La domanda che si presenta sempre all'interno di CC è: il processo fa la differenza? Lo fa, e non lo fa. CC si occupa principalmente dell'analisi della sicurezza dell'architettura e del processo di sviluppo end-to-end. Solo una piccola parte dell'assicurazione generale è correlata all'analisi di test e vulnerabilità. È questa mancanza di test che molte persone (incluso me stesso) vedono come un problema all'interno di CC. Ci sono cambiamenti in arrivo che mirano ad aumentare l'attenzione sui test riducendo allo stesso tempo la quantità di sforzi spesi per analizzare la documentazione. Questa è una buona cosa.
Aiuta altre industrie? può , ma certamente non è obbligatorio. Molte industrie hanno i propri processi di certificazione. Si è tentato di applicare CC alla sanità (quadro BITS) e anche ai sistemi di controllo e analisi industriali (ad esempio i sistemi SCADA).
Leggi altre domande sui tag regulation compliance common-criteria