Common Criteria (CC) for Information Technology Security Evaluation ist ein von der Internationalen Organisation für Normung (ISO) entwickeltes Rahmenwerk zur Bewertung der Sicherheit von IT-Systemen. Das Rahmenwerk soll Organisationen und Benutzern von IT-Systemen die Gewissheit geben, dass die auf dem IT-System gespeicherten und übertragenen Daten sicher und vor unbefugtem Zugriff oder Missbrauch geschützt sind. Es ist ein internationaler Standard für die Bewertung der Sicherheit von IT-Systemen und wird von Regierungen, der Industrie und der Wissenschaft verwendet, um den Kunden zu versichern, dass ihre IT-Systeme sicher sind.
Common Criteria bietet Organisationen einen umfassenden Rahmen für die Bewertung der Sicherheit ihrer IT-Systeme. Es wurde entwickelt, um Organisationen die Gewissheit zu geben, dass ihre IT-Systeme sicher und vor unbefugtem Zugriff oder Missbrauch geschützt sind. Darüber hinaus bieten sie eine gemeinsame Sprache, die es Organisationen ermöglicht, die Sicherheitsanforderungen an ihre IT-Systeme effektiv zu kommunizieren. Die Ziele der Common Criteria sind die Gewährleistung, dass die betreffenden IT-Systeme sicher und vor unbefugtem Zugriff oder Missbrauch geschützt sind, und die Bereitstellung eines Standards, anhand dessen die Sicherheit von IT-Systemen objektiv bewertet werden kann.
Die Common Criteria Evaluation Assurance Levels (EALs) bieten Organisationen und Anwendern von IT-Systemen die Gewissheit, dass die auf dem System gespeicherten und übertragenen Daten sicher sind und vor unberechtigtem Zugriff oder Missbrauch geschützt sind. Die Evaluationsstufen sind so konzipiert, dass sie ein gewisses Maß an Vertrauen vermitteln, dass das IT-System die in den Common Criteria spezifizierten Sicherheitsanforderungen erfüllt hat. Die Evaluierungssicherheitsstufen reichen von EAL1, der grundlegenden Sicherheitsstufe, bis zu EAL7, der höchsten Sicherheitsstufe.
Common Criteria Requirements (CCR) und Protection Profiles (PP) sind Dokumente, die die Sicherheitsanforderungen für ein bestimmtes IT-System definieren. Die CCR und PP werden zur Bewertung der Sicherheit eines IT-Systems verwendet und dienen als Grundlage für die Bewertung nach den Common Criteria. Die CCRs und PPs definieren die Sicherheitsanforderungen, die erfüllt werden müssen, damit das IT-System als konform mit den Common Criteria zertifiziert werden kann.
Common Criteria-Evaluierungen werden von unabhängigen, akkreditierten Evaluierungslabors durchgeführt. Der Evaluierungsprozess beinhaltet eine strenge Prüfung der Sicherheit des IT-Systems, einschließlich einer Überprüfung des Systementwurfs, der Implementierung und der Tests. Die Evaluierung erfolgt in Übereinstimmung mit den Anforderungen und Schutzprofilen der Common Criteria. Die Evaluation wird von einem unabhängigen Expertenteam durchgeführt, das die Sicherheit des IT-Systems anhand der in den CCRs und PPs festgelegten Anforderungen bewertet.
Common Criteria Security Assurance Packages (SAPs) sind Dokumente, die Organisationen und Nutzern von IT-Systemen die Gewissheit geben, dass die auf dem System gespeicherten und übertragenen Daten sicher und vor unbefugtem Zugriff oder Missbrauch geschützt sind. Die SAPs werden verwendet, um die in den CCRs und PPs spezifizierten Sicherheitsanforderungen sowie die Ergebnisse des Evaluierungsprozesses zu dokumentieren. Die SAPs geben Organisationen und Nutzern von IT-Systemen die Gewissheit, dass die auf dem System gespeicherten und übertragenen Daten sicher sind und vor unberechtigtem Zugriff oder Missbrauch geschützt sind.
Gemeinsame Schwachstellen und Gefährdungen (CVE) sind öffentlich bekannt gegebene Sicherheitslücken und Gefährdungen, die zu unbefugtem Zugriff oder Missbrauch eines IT-Systems führen können. Die CVEs werden vom National Institute of Standards and Technology (NIST) ermittelt und dokumentiert und in der National Vulnerability Database (NVD) veröffentlicht. CVEs werden verwendet, um potenzielle Sicherheitsschwachstellen und Gefährdungen in einem IT-System zu identifizieren und zu beheben.
Die Common Criteria-Zertifizierung ist der Prozess der Zertifizierung eines IT-Systems als konform mit den Common Criteria-Anforderungen und -Schutzprofilen. Der Zertifizierungsprozess beinhaltet eine gründliche Überprüfung der Sicherheit des IT-Systems, einschließlich einer Überprüfung des Systementwurfs, der Implementierung und der Tests. Der Zertifizierungsprozess wird von einer unabhängigen, akkreditierten Prüfstelle durchgeführt. Der Zertifizierungsprozess bietet Organisationen und Benutzern von IT-Systemen die Gewissheit, dass die auf dem System gespeicherten und übertragenen Daten sicher und vor unbefugtem Zugriff oder Missbrauch geschützt sind.
Die Common Criteria-Zertifizierung ist eine internationale Norm (ISO IEC 15408) für die Bewertung der IT-Sicherheit. Sie bietet einen Rahmen für die Bewertung der Sicherheit von IT-Produkten und -Systemen. Die Common Criteria-Zertifizierung wird von Regierungen und Organisationen auf der ganzen Welt anerkannt und wird zur Zertifizierung von Produkten für den Einsatz in sensiblen Umgebungen verwendet.