Critérios comuns

O que é a certificação Common Criteria?

O Common Criteria é o modelo que os governos usam como esquema de certificação para os produtos que escolhem usar em agências governamentais e em infraestrutura crítica. Muitas empresas também usam o Common Criteria em seu processo de seleção de software devido à qualidade que a Common Criteria Certification garante.

O Acordo de Reconhecimento de Critérios Comuns (CCRA) é definido nos Critérios Comuns para Avaliação da Segurança da Tecnologia da Informação e na Metodologia Comum para Avaliação da Segurança da Tecnologia da Informação (CEM). Esses são padrões muito genéricos e não garantem segurança.

No entanto, uma certificação Common Criteria pode garantir que as reivindicações de segurança de um fornecedor sejam avaliadas de forma independente.

A certificação CC disponibiliza produtos que foram avaliados para um grupo maior de usuários, garante que o produto atenda às reivindicações do fornecedor e elimina a carga e o custo da avaliação de software dos clientes de software.

Principais conceitos de critérios comuns

Aqui estão alguns conceitos que talvez você precise conhecer ao tentar entender os Critérios Comuns:

• Objetivo da avaliação (TOE): Esse é o produto ou sistema que está sendo avaliado.
• Alvo de segurança (ST): Este documento define as propriedades de segurança do produto que está sendo avaliado. Ele permite que os fornecedores de software personalizem a avaliação de acordo com os recursos específicos de seus produtos. Também ajuda os clientes em potencial a determinar quais recursos de segurança do produto foram testados, para que possam tomar decisões mais informadas.
• Perfil de proteção (PP): Esse é um documento criado pela comunidade de usuários para identificar os requisitos de segurança de uma classe específica de dispositivos de segurança, como assinaturas digitais ou firewalls. Os fornecedores podem optar por fabricar produtos que estejam em conformidade com um ou mais PPs e, em seguida, ter seus produtos avaliados em relação a eles. Os fornecedores também podem usar PPs como modelo para criar suas próprias metas de segurança.
• Requisitos funcionais de segurança (SFRs): Eles listam as funções de segurança exclusivas fornecidas por um produto.
• Requisitos de garantia de segurança (SARs): Eles são usados no processo de garantia de qualidade e descrevem as etapas a serem seguidas para garantir que um produto atenda aos padrões de segurança declarados.
• Nível de garantia de avaliação (EAL): Essa é uma classificação numérica que descreve a profundidade e o rigor da avaliação. Cada EAL corresponde a um conjunto de SARs. O Common Criteria lista sete níveis de EAL, onde 1 é o nível mais básico de avaliação e 7 é o mais rigoroso.

Como os produtos obtêm a certificação CC

Aqui estão algumas etapas que uma empresa deve seguir para obter a certificação Common Criteria:

1. A empresa deve preencher uma descrição do Security Target junto com todos os documentos de apoio. Isso deve incluir uma visão geral do produto, seus recursos de segurança e quaisquer possíveis ameaças à segurança.
2. A empresa deve encontrar um laboratório licenciado de forma independente para avaliar seu produto e determinar se ele atende aos padrões de segurança que a empresa definiu para o produto.
3. Depois que o produto passa pela avaliação, um dos muitos esquemas de criação de certificados emite a certificação.

O Common Criteria é um padrão internacional para certificação de segurança de computadores. Os fornecedores de produtos podem obter a certificação Common Criteria para comprovar as alegações de segurança que fazem e, em seguida, as empresas podem comparar suas necessidades de segurança com as alegações testadas para encontrar software e sistemas para adicionar à sua infraestrutura.

Saiba mais

Para obter mais detalhes sobre a certificação Common Criteria da Illumio e outras certificações de segurança governamentais, visite nosso Certificações e páginas do governo.