Схема оценки и проверки общих критериев - Common Criteria Evaluation and Validation Scheme
Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) (Узнайте, как и когда удалить этот шаблон сообщения)
|
Схема оценки и проверки общих критериев (CCEVS) это Соединенные Штаты Правительство программа администрируется Национальное партнерство по обеспечению информации (NIAP) для оценки функциональности безопасности информационные технологии в соответствии с Общие критерии Международный стандарт. В новом стандарте для сертификации продукта используются профили защиты и стандарты Common Criteria. Это изменение произошло в 2009 году. Их заявленная цель при внесении изменения заключалась в обеспечении достижимых, повторяемых и проверяемых оценок.
Цели
Программа CCEVS - это партнерство между правительством США и промышленностью с целью помочь себе и потребителям:
- Для удовлетворения потребностей правительства и промышленности в рентабельной оценке ИТ-продуктов.
- Поощрять создание коммерческих лабораторий тестирования безопасности и развитие индустрии тестирования безопасности частного сектора.
- Чтобы гарантировать, что оценка безопасности ИТ-продуктов выполняется в соответствии с согласованными стандартами
- Повысить доступность оцениваемых ИТ-продуктов.
Схема предназначена для обслуживания множества заинтересованных сообществ с очень разными ролями и обязанностями. В это сообщество входят разработчики ИТ-продуктов, поставщики продуктов, реселлеры с добавленной стоимостью, системные интеграторы, исследователи ИТ-безопасности, органы по закупкам / закупкам, потребители ИТ-продуктов, аудиторы и аккредиторы (лица, принимающие решение о пригодности этих продуктов для эксплуатации в своих организациях ). Тесное сотрудничество между правительством и промышленностью имеет первостепенное значение для успеха схемы и реализации ее целей.[1]
Орган валидации
Орган по валидации несет полную ответственность за работу CCEVS в соответствии с политиками и процедурами NIAP. При необходимости он будет интерпретировать и изменять эти политики и процедуры. В NIST и АНБ несут ответственность за предоставление NIAP достаточных ресурсов, чтобы орган по валидации мог выполнять свои обязанности. Однако с 2009 года NIAP обратился к другим поставщикам, лабораториям, академическим кругам и клиентам с просьбой помочь в оценке продуктов, тем самым уменьшив зависимость от АНБ.
Орган по валидации возглавляется директором и заместителем директора, выбранными руководством NIST и NSA, а другой персонал включает валидаторов и технических экспертов в различных областях технологий.
Орган по валидации обеспечивает наличие соответствующих механизмов для защиты интересов всех сторон в CCEVS, участвующих в процессе оценки безопасности ИТ.
Споры, возбужденные любой участвующей стороной, то есть спонсором оценки, продукта или Профиль защиты разработчик или CCTL, касающиеся работы CCEVS или любой связанной с ним деятельности, должны быть переданы в орган по валидации для решения.
После того, как продукт был сертифицирован, он занесен в список соответствия требованиям PP в списке соответствия продуктов NIAP (PCL).
внешняя ссылка
Рекомендации
- ^ «НИАП: цели CCEVS». Национальное партнерство по обеспечению информации. Получено 2017-11-07.