Common Criteria

De Common Criteria for Information Technology Security Evaluation (ook wel Common Criteria of CC genoemd) is een internationale norm (ISO / IEC 15408) voor computerbeveiligingscertificering. De huidige versie is 2022.^[1]

Common Criteria is een raamwerk waarin gebruikers van IT producten hun beveiligingsfunctionaliteit en zekerheidsvereisten (respectievelijk SFR's en SAR's) kunnen specificeren in Protection Profiles (PP's).

Producenten beschrijven dan de claims over de beveiligingskenmerken van hun product in een Security Target (ST). Een ST kan gebaseerd worden op een of meer PP'[s. Een Testlaboratorium evalueert het product (Target of Evaluation, TOE) om te bepalen of het daadwerkelijk aan de claims voldoet. De "Certification Body" geeft een certificaat uit wanneer het testlaboratorium aangegeven heeft dat de TOE aan de claims voldoet. De certification body bewaakt ook het evaluatie proces.

Common Criteria specificeert hoe het proces van specificatie, implementatie en evaluatie van een computerbeveiligingsproduct op een rigoureuze en gestandaardiseerde en herhaalbare manier wordt uitgevoerd op een niveau dat in overeenstemming is met de beoogde gebruiksomgeving.^[2] Common Criteria houdt een lijst bij van gecertificeerde producten, waaronder besturingssystemen, toegangscontrolesystemen, databases en sleutelbeheersystemen.^[3]

1. ↑ The Common Criteria. Gearchiveerd op 9 juni 2023.
2. ↑ Common Criteria - Communication Security Establishment. Gearchiveerd op 1 februari 2021. Geraadpleegd op 31 mei 2023.
3. ↑ Common Criteria Certified Products. Gearchiveerd op 9 juni 2023.