Gemensamma kriterier för utvärdering och validering

CCEVS logotyp

Common Criteria Evaluation and Validation Scheme ( CCEVS ) är ett program från USA:s regering som administreras av National Information Assurance Partnership (NIAP) för att utvärdera säkerhetsfunktionaliteten hos en informationsteknik med överensstämmelse med den internationella standarden Common Criteria . Den nya standarden använder skyddsprofiler och Common Criteria Standards för att certifiera produkten. Denna förändring skedde 2009. Deras uttalade mål med att göra förändringen var att säkerställa genomförbara, repeterbara och testbara utvärderingar.

Mål

CCEVS-programmet är ett partnerskap mellan den amerikanska regeringen och industrin för att hjälpa sig själva och konsumenterna:

  • För att möta regeringens och industrins behov av kostnadseffektiv utvärdering av IT-produkter
  • Att uppmuntra bildandet av kommersiella säkerhetstestlaboratorier och utvecklingen av en privat sektor för säkerhetstestning
  • För att säkerställa att säkerhetsutvärderingar av IT-produkter utförs enligt konsekventa standarder
  • Att förbättra tillgängligheten för utvärderade IT-produkter.

Systemet är avsett att tjäna många intressegemenskaper med mycket olika roller och ansvar. Denna gemenskap inkluderar IT-produktutvecklare, produktleverantörer, värdeadderande återförsäljare, systemintegratörer, IT-säkerhetsforskare, förvärvs-/upphandlingsmyndigheter, konsumenter av IT-produkter, revisorer och ackrediterare (individer som bestämmer lämpligheten för driften av dessa produkter inom sina respektive organisationer ). Ett nära samarbete mellan myndigheter och industri är avgörande för att systemet ska lyckas och förverkliga dess mål.

Valideringsorgan

Valideringsorganet har det yttersta ansvaret för driften av CCEVS i enlighet med NIAP:s policyer och procedurer. När så är lämpligt kommer den att tolka och ändra dessa policyer och förfaranden. NIST och NSA är ansvariga för att tillhandahålla tillräckliga resurser till NIAP så att valideringsorganet kan utföra sitt ansvar . Men från och med 2009 har NIAP nått ut till andra leverantörer, labb, akademi och kunder för att hjälpa till med utvärderingen av produkter, vilket minskar beroendet av NSA.

Valideringsorganet leds av en direktör och biträdande direktör utvalda av NIST och NSA:s ledning och annan personal inkluderar validerare och tekniska experter inom olika teknikområden.

Valideringsorganet säkerställer att lämpliga mekanismer finns på plats för att skydda intressena för alla parter inom CCEVS som deltar i processen för IT-säkerhetsutvärdering.

Tvister som förs fram av någon deltagande part, dvs. sponsorn av en utvärderings-, produkt- eller skyddsprofilutvecklare eller CCTL angående driften av CCEVS eller någon av dess associerade aktiviteter ska hänvisas till valideringsorganet för lösning.

När produkten har certifierats är den listad som PP-kompatibel i NIAP Product Compliant List (PCL).

externa länkar

  1. ^ "NIAP: CCEVS-mål" . Nationellt partnerskap för informationssäkring . Hämtad 2017-11-07 .
Hämtad från " https://en.wikipedia.org/w/index.php?title=Common_Criteria_Evaluation_and_Validation_Scheme&oldid=1060665071 "