W

połowie lat 90. opracowano podobny do TCSEC (Orange Book) zbiór europejskich kryteriów bezpieczeństwa, ITSEC (Information Technology Security Evaluation Criteria). Następnie widząc potrzebę jednego systemu ocen całym świecie, w styczniu 1996 powstał światowy standard. W jego tworzeniu brały udział takie kraje jak: Stany Zjednoczone, Wielka Brytania, Niemcy, Francja, Kanada i Holandia.

Standard ten nosi nazwę CCITSE (Common Criteria for Information Technology Security Evaluation), lub po prostu nazywany po prostu wspólnymi kryteriami (Common Criteria, CC). Sama budowa tego dokumentu jest bardziej zbliżona do ITSEC niż do TCSEC. Zawiera profile bezpieczeństwa (ang. protection profiles), będące swego rodzaju zbiorami łatwo porównywalnych wymagań, oraz cele bezpieczeństwa (ang. security targets). Podobnie jak Orange Book – CC zawiera zbiór redefiniowanych wymagań, zwanych poziomami EAL (Evaluation Assurance Level). Poziomy EAL to wzrastająca jednorodnie skala, równoważąca uzyskiwany poziom bezpieczeństwa z kosztami i wykonalnością. Tak samo jak w TCSEC w CC istnieje także siedem hierarchicznie uporządkowanych poziomów EAL. Wyższe poziomy są budowane na niższych poziomach, więc im wyższy wskaźnik EAL, tym wyższy poziom bezpieczeństwa.

• EAL1 (testowanie funkcjonalnie) – oznacza, że zabezpieczenia produktu zostały niezależnie przetestowane, produkt funkcjonuje zgodnie ze swoją dokumentacją i zapewnia ochronę przez zidentyfikowanymi zagrożeniami.
• EAL2 (testowanie strukturalnie) – wskaźnik ten dodatkowo wymaga niezależnego potwierdzenia danych z testów producenta i selektywnych rezultatów. Producent musi przeprowadzić analizę słabych punktów i dostarczyć dowody, że zabezpieczenia, które powinny działać na pewnych poziomach, spełniają lub przekraczają te poziomy. Jeśli na przykład dany produkt obsługuje szyfrowanie 128-bitowe, producent musi dostarczyć dowód poświadczający tę funkcję.
• EAL3 (metodycznie testowane i sprawdzane) – wskaźnik ten wymaga od producenta udokumentowania kontroli zabezpieczeń i procedur (w tym tzw. Change Management) zastosowanych w czasie tworzenia danego produktu – na przykład, w jaki sposób chroniony był kod źródłowy. Poza tym sprawdza się, czy dokumentacja produktu nie zawiera sprzecznych lub błędnych informacji, czy opisano w niej wszystkie możliwe tryby działania i czy wymieniono wszystkie założenia odnośnie środowiska operacyjnego i wymagania dla zewnętrznych środków bezpieczeństwa. Wskaźnik ten można stosować w tych okolicznościach, które wymagają średniego poziomu niezależnie potwierdzonych zabezpieczeń i gruntownego zbadania produktu i historii jego powstawania.
• EAL4 (metodycznie projektowane, testowane i oceniane) – wskaźnik ten dodatkowo wymaga sprawdzenia, że produkt jest odporny na ataki “o niskim potencjale penetracji”. Poza dowodami częściowej automatyzacji zmiany zarządzania i śledzenia problemów, a także implementacji produktu zgodnie ze ścisłą dokumentacją projektu, producent musi również dostarczyć dokumentację obsługi cyklu życia. Zastosowanie tego wskaźnika ma miejsce w tych okolicznościach, które wymagają średniego lub wysokiego poziomu bezpieczeństwa w produktach “prosto z półki”.
• EAL5 (półformalnie projektowane i testowane) – wskaźnik ten dodatkowo wymaga potwierdzenia, że produkt jest odporny na ataki “o średnim potencjale penetracji”. Producent musi dostarczyć architekturalny opis funkcji zabezpieczeń produktu, aby zademonstrować modularny projekt i udowodnić, że między modułami zachodzi minimalna interakcja (tzn. awaria jednego modułu zabezpieczeń nie ma żadnego wpływu na wydajność innych). Poziom ten nadaje się w sytuacjach, gdzie wymagany jest wysoki poziom bezpieczeństwa i rygorystyczne podejście do programowania. Produkt ze wskaźnikiem EAL5 najczęściej od samego początku tworzy się z myślą o uzyskaniu tego poziomu zabezpieczeń (jeśli dołączanie jest wymagane, mogą być problemy z integracją komponentów).
• EAL6 (półformalnie weryfikowany projekt i testowanie) – wskaźnik ten dodatkowo wymaga sprawdzenia, że produkt jest odporny na ataki “o wysokim potencjale penetracji”. Poza dowodami kompletnej automatyzacji procesu zmiany zarządzania, producent musi dostarczyć architekturalny opis funkcji bezpieczeństwa produktu, przedstawiając projekt zarówno warstwowy, jak i modularny. Wykonuje się analizę dokumentacji, aby zapewnić, że zawiera wystarczające informacje, aby użytkownicy mogli wykryć niezabezpieczony produkt. Poziom ten jest zatem stosowany w produktach wykorzystywanych w sytuacjach wysokiego ryzyka, kiedy wartość chronionych informacji uzasadnia dodatkowe koszty.
• EAL7 (formalnie weryfikowany projekt i testowanie) – wskaźnik ten wymaga, aby osoba oceniająca powtórzyła i sprawdziła wszystkie testy wykonane przez producenta i aby istniała procedura gwarantująca, że produkt nie został sfałszowany w drodze od producenta do użytkownika. Poziom ten stosuje się do tworzenia produktów wykorzystywanych w sytuacjach skrajnie wysokiego ryzyka, gdzie wysoka wartość informacji uzasadnia wyższe koszty.

   W celu uzupełnienia całej specyfikacji CC, należy wspomnieć o wcześniej nieopisanych profilach i celach bezpieczeństwa. Profilem bezpieczeństwa w CC – jest dokument utworzony przez grupę użytkowników, w którym wymienione są pożądane właściwości zabezpieczeń produktu (produkt w standardzie tym jest nazywany TOE – Target of Evaluation). Jest to po prostu lista wymagań użytkowników opisanych w ściśle określony sposób zdefiniowany przez CC. Natomiast celem bezpieczeństwa jest dokument, w którym zostało wyjaśnione, co dany produkt (czyli TOE), albo jego mechanizm odpowiedzialny za bezpieczeństwo, faktycznie robi. Na koniec warto wspomnieć, że standard Common Criteria zastąpił obecnie TCSEC i ITSEC, i wszystkie oceny sieciowych systemów operacyjnych wykorzystują nowe, a nie stare (np. te z Orange Book) poziomy. Dlatego wybierając system operacyjny w celu zbudowania bezpiecznej sieci, najlepiej wybrać system oceniony w standardzie EAL, ale należy się liczyć z tym, że sam wskaźnik EAL nie daje nam automatycznego bezpieczeństwa. Do tego trzeba skorzystać z odpowiednich wskazówek mówiących o odpowiedniej konfiguracji tego systemu, w celu osiągnięciu tego wskaźnika.

Więcej informacji: TCSEC / CCITSE