Schemat oceny i walidacji wspólnych kryteriów

Common Criteria Evaluation and Validation Scheme ( CCEVS ) to program rządu Stanów Zjednoczonych zarządzany przez National Information Assurance Partnership (NIAP) w celu oceny funkcjonalności zabezpieczeń technologii informacyjnej zgodnie z międzynarodowym standardem Common Criteria . Nowa norma wykorzystuje profile ochrony i standardy Common Criteria do certyfikacji produktu. Ta zmiana nastąpiła w 2009 roku. Ich deklarowanym celem przy wprowadzaniu zmiany było zapewnienie osiągalnych, powtarzalnych i testowalnych ocen.

Cele

Program CCEVS to partnerstwo między rządem USA a przemysłem, aby pomóc sobie i konsumentom:

• Aby sprostać potrzebom rządu i przemysłu w zakresie opłacalnej oceny produktów IT
• Aby zachęcić do tworzenia komercyjnych laboratoriów testujących bezpieczeństwo i rozwoju przemysłu testowania bezpieczeństwa w sektorze prywatnym
• Zapewnienie, że oceny bezpieczeństwa produktów IT są przeprowadzane zgodnie ze spójnymi standardami
• Poprawa dostępności ocenianych produktów IT.

Program ma służyć wielu społecznościom o bardzo zróżnicowanych rolach i obowiązkach. Ta społeczność obejmuje deweloperów produktów IT, sprzedawców produktów, sprzedawców wartości dodanej, integratorów systemów, badaczy bezpieczeństwa IT, organy ds. zakupów/zamówień, konsumentów produktów IT, audytorów i akredytatorów (osoby decydujące o przydatności do działania tych produktów w ramach swoich organizacji). ). Ścisła współpraca między rządem a przemysłem ma kluczowe znaczenie dla powodzenia programu i realizacji jego celów.

Organ zatwierdzający

Jednostka zatwierdzająca ponosi ostateczną odpowiedzialność za działanie CCEVS zgodnie z zasadami i procedurami NIAP. W stosownych przypadkach będzie interpretować i zmieniać te polityki i procedury. NIST i NSA są odpowiedzialne za zapewnienie NIAP wystarczających zasobów, aby Jednostka Zatwierdzająca mogła wykonywać swoje obowiązki . Jednak od 2009 roku NIAP skontaktował się z innymi dostawcami, laboratoriami, środowiskiem akademickim i klientami, aby pomóc w ocenie produktów, zmniejszając w ten sposób zależność od NSA.

Organem zatwierdzającym kieruje dyrektor i zastępca dyrektora wybrany przez kierownictwo NIST i NSA, a pozostały personel obejmuje walidatorów i ekspertów technicznych w różnych obszarach technologicznych.

Jednostka Walidacyjna zapewnia istnienie odpowiednich mechanizmów chroniących interesy wszystkich stron w ramach CCEVS uczestniczących w procesie oceny bezpieczeństwa IT.

Spory wniesione przez jakąkolwiek stronę uczestniczącą, tj. sponsora oceny, produktu lub twórcy Profilu Ochrony lub CCTL, dotyczące działania CCEVS lub jakiejkolwiek powiązanej z nim działalności, będą kierowane do Jednostki Walidacyjnej w celu rozstrzygnięcia.

Po uzyskaniu certyfikatu produkt jest wymieniony jako zgodny z PP na liście zgodności produktów NIAP (PCL).

Linki zewnętrzne

• NIAP
• NIAP NSA
• DoDI 8500.2