Common Criteria (CC) é um conjunto internacional de diretrizes e especificações desenvolvidas para avaliar produtos de segurança da informação, especificamente para garantir que eles cumpram um padrão de segurança acordado para implantações governamentais. Common Criteria é mais formalmente chamado de "Common Criteria for Information Technology Security Evaluation"
Common Criteria tem dois componentes chave: Perfis de Proteção e Níveis de Garantia de Avaliação. Um Perfil de Proteção (PPro) define um conjunto padrão de requisitos de segurança para um tipo específico de produto, tal como um firewall. O Nível de Garantia de Avaliação (EAL) define o quão minuciosamente o produto é testado. Os Níveis de Garantia de Avaliação são escalonados de 1-7, sendo um o mais baixo nível de avaliação e sete o mais alto nível de avaliação. Uma avaliação de nível superior não significa que o produto tem um nível de segurança mais alto, apenas que o produto passou por mais testes.
Para submeter um produto para avaliação, o fornecedor deve primeiro completar uma descrição do Alvo de Segurança (ST), que inclui uma visão geral do produto e dos recursos de segurança do produto, uma avaliação de potenciais ameaças à segurança e a auto-avaliação do fornecedor detalhando como o produto está em conformidade com o Perfil de Proteção relevante no Nível de Garantia de Avaliação que o fornecedor escolhe testar contra. O laboratório então testa o produto para verificar os recursos de segurança do produto e avalia o quão bem ele atende às especificações definidas no Perfil de Proteção. Os resultados de uma avaliação bem sucedida formam a base para uma certificação oficial do produto. O objetivo da certificação CC é assegurar aos clientes que os produtos que eles estão comprando foram avaliados e que as reivindicações do fornecedor foram verificadas por um terceiro neutro.
Learn more:
The Common Criteria Portal makes the guidelines and specifications available for downloading.
The Trusted Computer System Evaluation Criteria was superseded by the Common Criteria for Information Technology Security Evaluation in 2005.