Common Criteria (CC) for Information Technology Security Evaluation é um conjunto de padrões e diretrizes para avaliar a segurança de produtos e sistemas de TI. É desenvolvido conjuntamente pela ISO/IEC e pela Agência Nacional de Segurança (NSA).
A CC foi concebida para fornecer uma base consistente e reconhecida internacionalmente para avaliar a segurança de produtos e sistemas de TI. Pode ser utilizado por governos, empresas e indivíduos para adquirir produtos e sistemas de TI que satisfaçam os seus requisitos de segurança.
A CC está estruturada em torno de um conjunto de requisitos funcionais de segurança, que definem o que um produto ou sistema deve ser capaz de fazer para atender a um objetivo específico de segurança. Estes requisitos estão agrupados em sete categorias:
- Política de segurança
- Identidade e autenticação
- Confidencialidade dos dados
- Integridade dos dados
- Disponibilidade
- Não repúdio
- Gestão da segurança
Para ser certificado pela CC, um produto ou sistema deve ser avaliado por um organismo de certificação independente e acreditado. O processo de avaliação envolve testes e verificação de que o produto ou sistema cumpre todos os requisitos funcionais de segurança exigidos.
A certificação CC garante que um produto ou sistema é adequado para uso em ambientes onde a segurança é importante. É importante notar que a certificação CC não garante que um produto ou sistema esteja livre de todas as vulnerabilidades de segurança, mas oferece um alto nível de garantia de que o produto ou sistema foi projetado e implementado utilizando as melhores práticas de segurança. O que é a segurança da informação? A segurança da informação é quando uma entidade governamental exige que todos os produtos e serviços relacionados com a segurança da informação cumpram determinados padrões de segurança antes de poderem ser utilizados. Isso normalmente inclui coisas como firewalls, sistemas de detecção/prevenção de intrusão e software anti-vírus. Os padrões são normalmente estabelecidos pela própria entidade governamental ou por um terceiro independente.
Como é que os Critérios Comuns definem o âmbito da segurança?
A segurança de um sistema é determinada pela capacidade do sistema de proteger ativos contra acesso, uso, divulgação ou destruição não autorizados. Critérios Comuns define segurança como "uma medida do grau em que um sistema protege os ativos contra acesso, uso, divulgação ou destruição não autorizados".
Para determinar o escopo da segurança, a Common Criteria utiliza os conceitos de funções de segurança e objetivos de segurança. As funções de segurança são os mecanismos utilizados para implementar os objectivos de segurança. Os objetivos de segurança são as metas que um sistema é projetado para alcançar com respeito à segurança.
O escopo da segurança é o conjunto de objetivos de segurança que um sistema é projetado para alcançar. Os Critérios Comuns definem três objectivos de segurança:
- Confidencialidade: proteger a informação contra a divulgação não autorizada
- Integridade: proteger a informação contra modificações não autorizadas
- Disponibilidade: assegurar que os utilizadores autorizados tenham acesso à informação quando necessitam
Um sistema pode ser desenhado para atingir um ou mais destes objectivos. Por exemplo, um sistema concebido para alcançar a confidencialidade pode utilizar criptografia para proteger as informações contra a divulgação não autorizada. Um sistema concebido para alcançar a integridade pode utilizar uma assinatura digital para garantir que a informação não foi modificada. Um sistema projetado para alcançar a disponibilidade pode usar redundância e failover para garantir que usuários autorizados possam sempre acessar informações.
Qual é o nível de garantia?
Um nível de garantia é uma medida do grau de confiança que pode ser colocado na segurança de um sistema de informação. Quanto maior o nível de garantia, maior a confiança de que o sistema será capaz de proteger a informação que contém contra acesso não autorizado ou modificação.
Existem quatro níveis de garantia:
Nível 1: Segurança básica
Nível 2: Segurança média
Nível 3: Segurança alta
Nível 4: Segurança muito alta
O nível de segurança necessário para um determinado sistema dependerá da sensibilidade da informação que contém e das potenciais consequências do acesso não autorizado ou da modificação. Por exemplo, um sistema que armazena informações classificadas de segurança nacional exigiria um nível de segurança mais elevado do que um sistema que armazena informações sobre a folha de pagamento dos funcionários.
O que é o portal CC? O Portal CC é o site da iniciativa "Collaborative Commerce" do governo canadense. O site fornece informações e recursos sobre como as empresas podem usar a tecnologia para colaborar e competir no mercado global. O site inclui estudos de caso, artigos, eventos e outros recursos. Quem dá a certificação Ndpp? A certificação Ndpp é administrada pelo National Data Protection Board (NDPB).