Non ho mai trovato un'applicazione web certificata secondo Common Critera . Per quanto ne so, non esiste nemmeno un profilo di protezione disponibile per le applicazioni web.
Qual è la ragione di questo? I criteri comuni non sono adatti per le applicazioni Web? Quali sono i problemi principali?
No. In pratica, i criteri comuni non sono un ottimo strumento per garantire o valutare la sicurezza di un'applicazione web. Ci sono una serie di motivi:
Esistono molte informazioni su come valutare la sicurezza di un'applicazione web. Ci sono aziende che lo faranno per te (ad esempio, Whitehat Security, Cigital e molte altre aziende). Non abbiamo bisogno di standard "puzzolenti".
Criteri comuni uno strumento goffo e pesante. Basandosi sull'esperienza in altri settori, non sarebbe una buona combinazione per la rapida innovazione e agilità nelle applicazioni web.
Le valutazioni dei criteri comuni sono costose e spesso non sono così efficaci come potrebbe, quindi probabilmente non sono un modo efficace per valutare la sicurezza della tua applicazione web.
La mia sensazione è che le valutazioni di Common Criteria spesso si estendano troppo pesantemente verso gli esercizi burocratici nel spuntare le caselle di controllo. Inoltre, i valutatori di Common Criteria soffrono di un conflitto di interessi (sono pagati dalle persone che stanno valutando, il che tende a condurre a una sindrome dal minimo comune denominatore in cui i valutatori tendono ad essere un po 'negligenti). Di conseguenza, ho visto prodotti altamente insicuri certificati secondo i Common Criteria.
Le valutazioni dei criteri comuni richiedono molto tempo, quindi non è insolito che un prodotto sia quasi obsoleto al momento della certificazione.
Per quanto ne so, non esiste un "profilo di protezione" per le applicazioni web. In linea di principio, Common Criteria è felice di poter certificare qualsiasi cosa, se esiste un "profilo di protezione" che specifica quali potrebbero essere i requisiti di sicurezza e le minacce. Poiché non esiste un "profilo di protezione" per le applicazioni Web, non è possibile certificare un'applicazione Web per i criteri comuni anche se lo si desidera.
Per riassumere, i Common Criteria risolve principalmente un problema di conformità, non un problema di sicurezza .
Puoi certificare praticamente qualsiasi con Common Criteria, per sua natura. Il primo passo dei criteri comuni è definire come appare il sistema che si sta verificando e quindi stabilire quali saranno i parametri di sicurezza appropriati per quel sistema. Se disponi di un cacciavite con funzionalità IP, puoi ottenerlo certificato in base a criteri comuni (supponendo che sia abbastanza sicuro, ovviamente).
Esaminando elenco dei prodotti certificati certificati comuni , ad esempio, vedo BEA WebLogic e IBM WebSphere certificati. Quelle sono piattaforme di applicazioni web, un passo avanti rispetto a quello che stai cercando. Vedo anche Splunk nell'elenco, che potrebbe essere considerato un'applicazione web.
Ora, non so per certo cosa stai cercando quando dici un'applicazione web. Ma l'unico fattore comune tra la ogni voce nell'elenco dei prodotti certificati CC è che qualcuno voleva venderlo a persone che facevano della certificazione di sicurezza parte della loro valutazione e del processo di acquisto. Se intendi applicazioni web come, ad esempio, Google Documenti o Google Mail, Google non le sta vendendo a nessuno. Certo, vendono il servizio , ma non le applicazioni. Quindi non è necessario ottenerli certificati CC, perché non c'è alcun vantaggio nel farlo.
Spero che ti aiuti!
Leggi altre domande sui tag web-application compliance common-criteria