Common Criteria (CC) is een internationale verzameling richtlijnen en specificaties die zijn ontwikkeld voor de evaluatie van informatiebeveiligingsproducten, met name om ervoor te zorgen dat ze voldoen aan een overeengekomen beveiligingsstandaard voor overheidsimplementaties. Common Criteria heet formeel "Common Criteria for Information Technology Security Evaluation."
Common Criteria heeft twee belangrijke componenten: Protection Profiles en Evaluation Assurance Levels. Een beschermingsprofiel (PPro) definieert een standaardreeks beveiligingseisen voor een specifiek type product, zoals een firewall. Het Evaluation Assurance Level (EAL) bepaalt hoe grondig het product is getest. Evaluation Assurance Levels hebben een schaal van 1-7, waarbij 1 het laagste niveau van evaluatie is en 7 het hoogste niveau van evaluatie. Een evaluatie op een hoger niveau betekent niet dat het product een hoger beveiligingsniveau heeft, maar alleen dat het product meer tests heeft ondergaan.
Om een product ter evaluatie in te dienen, moet de verkoper eerst een Security Target (ST)-beschrijving invullen, die een overzicht bevat van het product en de beveiligingskenmerken van het product, een evaluatie van mogelijke beveiligingsrisico's en de zelfbeoordeling van de verkoper waarin gedetailleerd wordt aangegeven hoe het product voldoet aan het relevante beschermingsprofiel op het niveau van Evaluation Assurance Level dat de verkoper kiest om tegen te testen. Het laboratorium test vervolgens het product om de beveiligingskenmerken van het product te verifiëren en beoordeelt in welke mate het voldoet aan de specificaties die zijn gedefinieerd in het beschermingsprofiel. De resultaten van een succesvolle evaluatie vormen de basis voor een officiële certificering van het product. Het doel van CC-certificering is om klanten de zekerheid te geven dat de producten die zij kopen zijn geëvalueerd en dat de beweringen van de verkoper zijn geverifieerd door een verkoper-neutrale derde partij.
Learn more:
The Common Criteria Portal makes the guidelines and specifications available for downloading.
The Trusted Computer System Evaluation Criteria was superseded by the Common Criteria for Information Technology Security Evaluation in 2005.