
Start
Wprowadzenie do standardu
Standard ISO/IEC 15408 Common Criteria for Information Security Evaluation (Wspólne kryteria do oceny zabezpieczeń informatycznych) składa się z trzech części:
- ISO/IEC 15408-1 (CC Part 1) zawiera: wprowadzenie, opis modelu zarządzania ryzykiem i kreowania uzasadnionego zaufania oraz struktur podstawowych dokumentów, opracowywanych na potrzeby certyfikacji produktu lub systemu;
- ISO/IEC 15408-2 (CC Part 2) zawiera katalog komponentów funkcjonalnych (ang. functional components) służących do modelowania funkcjonalnych wymagań bezpieczeństwa;
- ISO/IEC 15408-3 (CC Part 3) zawiera katalog komponentów uzasadniających zaufanie (ang. assurance components), służących do modelowania wymagań uzasadniających zaufanie do funkcji zabezpieczających.
Dokumentacja CC dostępna jest na stronie https://www.commoncriteriaportal.org/
Common Criteria zaleca stosowanie rygorystycznych wymagań dla procesów rozwoju, produkcji i utrzymania produktów IT po to, aby użytkownicy mogli mieć pewność, że stosowane w tych produktach zabezpieczenia są poprawne i efektywne. Zaufanie do produktu jest dodatkowo potwierdzane w drodze niezależnej oceny i certyfikacji wykonywanych przez akredytowane laboratoria i instytucje.
Więcej informacji o standardzie dostępnych jest w zakładce Standard Common Criteria.
Dla kogo i dlaczego Common Criteria?
Standard jest przydatny dla przedsiębiorców, konstruktorów, programistów, menadżerów oraz wszystkich tych, którzy zaangażowani są w proces powstawania produktów IT, które posiadają jakiekolwiek funkcje zabezpieczające, które powinny działać niezawodnie i wiarygodnie.
Standard dostarcza środków do specyfikowania własności bezpieczeństwa, miar uzasadnionego zaufania oraz zasady tworzenia dokumentacji, która pełni rolę materiału dowodowego podczas niezależnej oceny.
Środki te zostały twórczo rozwinięte i dostosowane do potrzeb polskich przedsiębiorców w ramach projektu pn. „Środowisko rozwojowe produktów i systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa". Projekt, oznaczany akronimem angielskim CCMODE (Common Criteria compliant Modular Open IT security Development Environment), został zrealizowany w Instytucie Technik Innowacyjnych EMAG w ramach Programu Operacyjnego Innowacyjna Gospodarka (POIG 1.3.1).
Produkty projektu CCMODE przeznaczone do upowszechniania:
- wzorce projektowe dokumentacji,
- komputerowy system wspomagający CCMODE Tools,
- wdrożenie i utrzymanie systemu CCMODE Tools u klienta,
- wiedza, doświadczenie, dobre praktyki,
- szkolenia, warsztaty i konsultacje,
- pomoc przy analizach bezpieczeństwa,
- pomoc przy opracowaniu dokumentacji,
- audyt środowiska rozwojowego na zgodność z CC,
- ocena produktu na zgodność z danym poziomem EAL,
- pracownia SecLab EMAG.
Szczegółowe informacje na temat produktów projektu dostępne są w zakładce Oferta współpracy.