Umumiy mezonlar - Common Criteria

The Axborot texnologiyalari xavfsizligini baholashning umumiy mezonlari (deb nomlanadi Umumiy mezonlar yoki CC) an xalqaro standart (ISO /IEC 15408) uchun kompyuter xavfsizligi sertifikatlash. Hozirda u 5-versiyaning 3.1-versiyasida.^[1]

Umumiy mezon - bu kompyuter tizimining foydalanuvchilari mumkin bo'lgan ramka belgilang ularning xavfsizligi funktsional va ishonch talablar (tegishli ravishda SFR va SAR) a Xavfsizlik maqsadi (ST), va olinishi mumkin Himoya profillari (PP). Keyin sotuvchilar mumkin amalga oshirish yoki o'z mahsulotlarining xavfsizlik xususiyatlariga nisbatan da'vo qilishlari mumkin va sinov laboratoriyalari buni amalga oshirishi mumkin baholash ularning da'volarni haqiqatan ham qondirishini aniqlash uchun mahsulotlar. Boshqacha qilib aytganda, Umumiy mezonlar kompyuter xavfsizligi mahsulotini spetsifikatsiya qilish, tatbiq etish va baholash jarayoni qat'iy va standart va takrorlanadigan tarzda ishlatish uchun maqsadli muhitga mos darajada amalga oshirilganligiga kafolat beradi.^[2] Umumiy mezonlar sertifikatlangan mahsulotlar ro'yxatini, shu jumladan operatsion tizimlar, kirishni boshqarish tizimlari, ma'lumotlar bazalari va asosiy boshqaruv tizimlarini saqlaydi.^[3]

Asosiy tushunchalar

Umumiy mezonlarni baholash kompyuter xavfsizligi mahsulotlari va tizimlarida amalga oshiriladi.

Baholash maqsadi (BO) - baholash predmeti bo'lgan mahsulot yoki tizim. Baho maqsadga qo'yilgan da'volarni tasdiqlash uchun xizmat qiladi. Amaliy foydalanish uchun baholash maqsadning xavfsizlik xususiyatlarini tekshirishi kerak. Bu quyidagilar orqali amalga oshiriladi:
- Himoya profili (PP) - odatda foydalanuvchi yoki foydalanuvchi hamjamiyati tomonidan yaratilgan, xavfsizlik vositalarining bir klassi uchun xavfsizlik talablarini belgilaydigan hujjat (masalan, aqlli kartalar ta'minlash uchun ishlatiladi elektron raqamli imzolar yoki tarmoq xavfsizlik devorlari ) ma'lum bir maqsad uchun ushbu foydalanuvchiga tegishli. Mahsulot sotuvchilari bir yoki bir nechta PPga mos keladigan mahsulotlarni amalga oshirishni tanlashlari va ushbu mahsulotlarga nisbatan mahsulotlarini baholashlari mumkin. Bunday holatda, PP mahsulotning ST uchun shablon sifatida xizmat qilishi mumkin (Xavfsizlik Maqsadi, quyida ta'riflanganidek), yoki XT mualliflari hech bo'lmaganda tegishli FP-lardagi barcha talablarning maqsadli ST hujjatida ko'rinishini ta'minlaydilar. Mahsulotlarning alohida turlarini qidirayotgan mijozlar o'zlarining talablariga javob beradigan PPga qarshi sertifikatlanganlarga e'tibor qaratishlari mumkin.
- Xavfsizlik maqsadi (ST) - xavfsizlikni aniqlaydigan hujjat xususiyatlari baholash maqsadi. ST bir yoki bir nechta PPga muvofiqligini talab qilishi mumkin. BO ko'proq va kam bo'lmagan holda o'z ST-da o'rnatilgan SFR (Xavfsizlik funktsional talablari. Yana quyida ko'rib chiqing) bo'yicha baholanadi. Bu sotuvchilarga o'z mahsulotlarining mo'ljallangan imkoniyatlariga aniq mos kelish uchun baholashni moslashtirishga imkon beradi. Bu shuni anglatadiki, tarmoq xavfsizlik devori a kabi funktsional talablarga javob berishi shart emas ma'lumotlar bazasi boshqaruv tizimi va aslida turli xil xavfsizlik devorlari mutlaqo boshqa talablar ro'yxati bo'yicha baholanishi mumkin. ST odatda potentsial mijozlar baholash tomonidan tasdiqlangan maxsus xavfsizlik xususiyatlarini aniqlashlari uchun nashr etiladi.
- Xavfsizlikning funktsional talablari (SFR) - shaxsiy xavfsizlikni ko'rsatish funktsiyalari mahsulot tomonidan taqdim etilishi mumkin. Umumiy mezonlar bunday funktsiyalarning standart katalogini taqdim etadi. Masalan, SFR bayon qilishi mumkin Qanaqasiga ma'lum bir narsani bajaradigan foydalanuvchi rol bo'lishi mumkin tasdiqlangan. SFRlar ro'yxati har bir baholashdan boshqasiga farq qilishi mumkin, hatto ikkita maqsad bir xil turdagi mahsulot bo'lsa ham. Umumiy mezonlarda biron bir SFRni STga kiritishni nazarda tutmasa ham, u bir funktsiyani to'g'ri ishlashi (masalan, rollarga ko'ra kirishni cheklash qobiliyati) boshqasiga bog'liq bo'lgan bog'liqliklarni aniqlaydi (masalan, individual rollarni aniqlash qobiliyati ).

Shuningdek, baholash jarayoni mahsulotning xavfsizlik xususiyatlariga qo'yilishi mumkin bo'lgan ishonch darajasini o'rnatishga harakat qiladi sifatni tekshirish jarayonlar:

Xavfsizlikni ta'minlash talablari (SAR) - da'vo qilingan xavfsizlik funktsiyalariga muvofiqligini ta'minlash uchun mahsulotni ishlab chiqish va baholash paytida ko'rilgan choralarning tavsifi. Masalan, baholash uchun barcha manba kodlari o'zgarishlarni boshqarish tizimida saqlanishi yoki to'liq funktsional sinovdan o'tkazilishi talab qilinishi mumkin. Umumiy mezonlar bularning katalogini taqdim etadi va talablar har bir baholashdan boshqasiga farq qilishi mumkin. Maxsus maqsadlarga yoki mahsulot turlariga qo'yiladigan talablar tegishli ravishda ST va PPda hujjatlashtirilgan.
Baholashni ta'minlash darajasi (EAL) - baholashning chuqurligi va qat'iyligini tavsiflovchi raqamli reyting. Har bir EAL xavfsizlikni ta'minlash talablari to'plamiga mos keladi (SAR, yuqoriga qarang), ushbu mahsulot qat'iy ishlab chiqilgan holda to'liq ishlab chiqilishini qamrab oladi. Umumiy mezonlar etti darajani sanab o'tdi, ularning orasida EAL 1 eng asosiy (va shuning uchun uni amalga oshirish va baholash uchun eng arzon) va EAL 7 eng qat'iy (va eng qimmat) hisoblanadi. Odatda, ST yoki PP muallifi ishonch talablarini alohida tanlamaydi, balki ushbu paketlardan birini, ehtimol yuqori darajadagi talablar bilan bir nechta sohalarda talablarni "oshirish" ni tanlaydi. Yuqori narxlar bunday qilma albatta "xavfsizlikni yaxshilash" degan ma'noni anglatadi, bu faqat BO talab qilingan xavfsizlik kafolati kengroq bo'lganligini anglatadi tasdiqlangan.

Hozirga qadar ko'pgina PP va eng ko'p baholangan ST / sertifikatlangan mahsulotlar IT tarkibiy qismlariga (masalan, xavfsizlik devorlari, operatsion tizimlar Ba'zida AT-ni sotib olish uchun odatiy mezonlarni sertifikatlash belgilanadi. Masalan, o'zaro ishlash, tizimni boshqarish, foydalanuvchilarni o'qitish, qo'shimcha CC va boshqa mahsulot standartlarini o'z ichiga olgan boshqa standartlar. Bunga misollar ISO / IEC 27002 ) va nemis Axborot texnologiyalari bazasini himoya qilish.

Tafsilotlari kriptografik BO doirasida amalga oshirish CC doirasidan tashqarida. Buning o'rniga, milliy standartlar, kabi FIPS 140-2, kriptografik modullar uchun texnik xususiyatlarni bering va turli xil standartlar qo'llanilayotgan kriptografik algoritmlarni aniqlaydi.

Yaqinda PP mualliflari, odatda, FIPS 140-2 baholari bilan qamrab olinadigan CC-ni baholash uchun kriptografik talablarni o'z ichiga oladi, bu esa sxemani spetsifik talqinlar orqali CC chegaralarini kengaytiradi.

Baholashning ayrim milliy sxemalari EAL-ga asoslangan baholarni bekor qiladi va faqat tasdiqlangan PP bilan qat'iy muvofiqlikni talab qiladigan mahsulotlarni baholash uchun qabul qiladi. Qo'shma Shtatlar hozirda faqat PP asosida baholashga ruxsat beradi. Kanada EAL-ga asoslangan baholarni bosqichma-bosqich bekor qilmoqda.

Tarix

CC uchta standartdan kelib chiqqan:

ITSEC - 1990-yillarning boshlarida Frantsiya, Germaniya, Gollandiya va Buyuk Britaniya tomonidan ishlab chiqilgan Evropa standarti. Bu ham Buyuk Britaniyaning ikkita yondashuvi kabi oldingi ishlarning birlashishi edi CESG Mudofaa / razvedka bozoriga va Buyuk Britaniyani baholash sxemasi DTI Tijorat maqsadlarida foydalanishga mo'ljallangan Yashil kitob), va boshqa ba'zi mamlakatlar tomonidan qabul qilingan, masalan. Avstraliya.
CTCPEC - Kanada standarti AQSh DoD standartidan kelib chiqqan, ammo bir nechta muammolardan qochgan va AQSh va Kanadaning baholovchilari tomonidan birgalikda foydalanilgan. CTCPEC standarti birinchi marta 1993 yil may oyida nashr etilgan.
TSSEC - The Amerika Qo'shma Shtatlari Mudofaa vazirligi DoD 5200.28 Std, deb nomlangan To'q rangli kitob va qismlari Kamalak seriyasi. Apelsin kitobi Kompyuter xavfsizligi, shu jumladan Anderson hisobotidan kelib chiqqan Milliy xavfsizlik agentligi va Milliy standartlar byurosi (oxir-oqibat NBS bo'ldi) NIST ) 70-yillarning oxiri va 80-yillarning boshlarida. Apelsin kitobining markaziy tezisi Deyv Bell va Len LaPadulaning himoya mexanizmlari to'plami uchun qilgan ishlaridan kelib chiqadi.

CC avval ishlab chiqarilgan ushbu standartlarni birlashtirish yo'li bilan ishlab chiqarilgan bo'lib, asosan hukumat bozori uchun kompyuter mahsulotlarini sotadigan kompaniyalar (asosan mudofaa yoki razvedka uchun) ularni faqat bitta standartlar asosida baholashlari kerak. CC Kanada, Frantsiya, Germaniya, Gollandiya, Buyuk Britaniya va AQSh hukumatlari tomonidan ishlab chiqilgan.

Sinov tashkilotlari

Hammasi sinov laboratoriyalari rioya qilishi shart ISO / IEC 17025 va sertifikatlashtirish organlari odatda ISO / IEC 17065 standartlariga muvofiq tasdiqlanadi.

Bilan muvofiqligi ISO / IEC 17025 odatda Milliy tasdiqlash organiga ko'rsatiladi:

Kanadada Kanada standartlari kengashi Laboratoriyalarni akkreditatsiya qilish dasturi (PALCAN) doirasida (SCC) umumiy mezonlarni baholash vositalari (CCEF) tomonidan akkreditatsiya qilingan
Frantsiyada Comité français d'accréditation [fr ] (COFRAC) umumiy mezonlarni baholash vositalarini odatda akkreditatsiya qiladi Axborotlashtirish markazi de la sécurité des tech de l 'information [fr ] (CESTI). Baholash belgilangan me'yor va standartlarga muvofiq amalga oshiriladi Agence nationale de la sécurité des systèmes d 'information (ANSSI).
Italiyada OCSI (Organismo di Certificazione della Sicurezza Informatica.) umumiy mezonlarni baholash laboratoriyalari akkreditatsiyalari
Buyuk Britaniyada Birlashgan Qirollikning akkreditatsiya xizmati (UKAS) akkreditatsiya qilish uchun ishlatilgan Tijoratni baholash vositalari (CLEF); Buyuk Britaniya 2019 yildan buyon CC ekotizimida faqat iste'molchi hisoblanadi
AQShda Milliy standartlar va texnologiyalar instituti (NIST) Laboratoriyani akkreditatsiya qilish bo'yicha milliy ixtiyoriy dastur (NVLAP) umumiy mezonlarni sinash laboratoriyalarini (CCTL) akkreditatsiya qildi
Germaniyada Bundesamt für Sicherheit in der Informationstechnik (BSI)
Ispaniyada Milliy kriptologik markaz (CCN) umumiy mezonlarni akkreditatsiya qiladi Sinov laboratoriyalari Ispaniya sxemasida ishlaydigan.
Gollandiyada IT xavfsizligi sohasida sertifikatlashtirish bo'yicha Gollandiya sxemasi (NSCIB) AT xavfsizligini baholash vositalarini (ITSEF) akkreditatsiya qiladi.
Shvetsiyada IT xavfsizligi bo'yicha Shvetsiya sertifikatlashtirish idorasi (CSEC) IT xavfsizligini baholash vositalari (ITSEF) litsenziyalari.

Ushbu tashkilotlarning xususiyatlari ko'rib chiqildi va ICCC 10 da taqdim etildi.^[4]

O'zaro tan olish tartibi

Umumiy Kriteriyalar standarti bilan bir qatorda, shartnoma bo'yicha pastki darajadagi Umumiy Kriteriyalar MRA (O'zaro tanishishni tartibga solish) ham mavjud bo'lib, bunda uning har bir tomoni boshqa tomonlar tomonidan amalga oshirilgan Umumiy Kriteriyalar standartiga muvofiq baholarni tan oladi. Dastlab 1998 yilda Kanada, Frantsiya, Germaniya, Buyuk Britaniya va AQSh tomonidan imzolangan bo'lib, 1999 yil Avstraliya va Yangi Zelandiya, so'ngra Finlyandiya, Gretsiya, Isroil, Italiya, Gollandiya, Norvegiya va Ispaniya 2000 yilda qo'shilishdi. qayta nomlandi Umumiy mezonlarni tanib olish tartibi (CCRA) va a'zolik kengayishda davom etmoqda. CCRA doirasida faqat EAL 2 gacha bo'lgan baholashlar o'zaro tan olinadi (Nosozliklarni tuzatish bilan oshirish). ITSEC-ning sobiq shartnomasi bo'yicha Evropa mamlakatlari odatda yuqori EAL-larni ham tan oladilar. EAL5 va undan yuqori baholash mezbon davlat hukumatining xavfsizlik talablarini o'z ichiga oladi.

2012 yil sentyabr oyida CCRA a'zolarining aksariyati vizual bayonotni ishlab chiqdilar, unda CC tomonidan baholangan mahsulotlarning o'zaro tan olinishi EAL 2 ga tushiriladi (shu jumladan kamchiliklarni bartaraf etish bilan oshirish). Bundan tashqari, ushbu tasavvur ishonch darajalaridan butunlay voz kechishni bildiradi va baholash hech qanday aniq ishonch darajasiga ega bo'lmagan himoya profillariga mos keladi. Bunga butun dunyo bo'ylab PPni ishlab chiqadigan texnik ishchi guruhlar orqali erishiladi va hali o'tish davri to'liq belgilanmagan.

2014 yil 2 iyulda a yangi CCRA doirasida belgilangan maqsadlar bo'yicha ratifikatsiya qilindi 2012 yildagi ko'rish bayonoti. Tartibga kiritilgan katta o'zgarishlar quyidagilarni o'z ichiga oladi:

Faqatgina birgalikda himoya qilish profiliga (cPP) yoki 1 dan 2 gacha va ALC_FLR baholashning ishonchlilik darajalariga baholarni tan olish.
Xalqaro Texnik Hamjamiyatlarning (iTC) paydo bo'lishi, CPlarni yaratish uchun mas'ul bo'lgan texnik mutaxassislar guruhlari.
Oldingi CCRA-dan o'tish rejasi, shu jumladan Arrangementning oldingi versiyasi bo'yicha berilgan sertifikatlarni tan olish.

Muammolar

Talablar

Umumiy mezonlar juda umumiy; u to'g'ridan-to'g'ri mahsulot xavfsizligi talablari yoki aniq (sinflar) mahsulotlar uchun xususiyatlar ro'yxatini taqdim etmaydi: bu qabul qilingan yondashuvga amal qiladi ITSEC, ammo boshqa oldingi standartlarga nisbatan aniqroq yondashishga odatlanganlar uchun munozara manbai bo'ldi TSSEC va FIPS 140 -2.

Sertifikatlashtirish qiymati

Umumiy mezonlarni sertifikatlash xavfsizlikni kafolatlay olmaydi, lekin baholanadigan mahsulotning xavfsizlik atributlari to'g'risidagi da'volar mustaqil ravishda tekshirilishini ta'minlaydi. Boshqacha qilib aytganda, Umumiy Kriteriyalar standarti bo'yicha baholangan mahsulotlar spetsifikatsiya, amalga oshirish va baholash jarayoni qat'iy va standart tarzda amalga oshirilganligi to'g'risida aniq dalillar zanjirini namoyish etadi.

Turli xil Microsoft Windows versiyalari, shu jumladan Windows Server 2003 va Windows XP, sertifikatlangan, ammo xavfsizlik nuqsonlarini hal qilish uchun xavfsizlik yamoqlari hali ham ushbu Windows tizimlari uchun Microsoft tomonidan nashr etilmoqda. Buning iloji bor, chunki Umumiy Kriteriyalar sertifikatini olish jarayoni sotuvchiga tahlilni ma'lum xavfsizlik xususiyatlari bilan cheklash va ish muhiti va ushbu muhitda mahsulot duch keladigan tahdidlarning kuchliligi to'g'risida ba'zi taxminlarni amalga oshirishga imkon beradi. Bundan tashqari, XK iqtisodiy jihatdan foydali va foydali xavfsizlik sertifikatlarini taqdim etish uchun baholash doirasini cheklash zarurligini tan oladi, masalan, baholangan mahsulotlar ishonch darajasi yoki PP tomonidan belgilangan tafsilotlar darajasiga qadar tekshiriladi. Shuning uchun baholash faoliyati faqat ma'lum bir chuqurlikda, vaqt va resurslardan foydalangan holda amalga oshiriladi va mo'ljallangan muhit uchun oqilona ishonchni ta'minlaydi.

Microsoft misolida, taxminlarga A.PEER kiradi:

"BO bilan aloqa qiladigan boshqa har qanday tizimlar bir xil boshqaruv nazorati ostida va bir xil xavfsizlik siyosati cheklovlari ostida ishlaydi deb taxmin qilinadi. BO butun tarmoq bir xil cheklovlar ostida ishlasa va taqsimlangan muhitga taalluqlidir. tashqi boshqaruv tizimlariga yoki bunday tizimlarga ulanish havolalariga bo'lgan ishonchni qondiradigan xavfsizlik talablari mavjud emas. "

Ushbu taxmin Boshqariladigan kirishni himoya qilish to'g'risidagi profil (CAPP), ularning mahsulotlari yopishtirilgan. Umumiy maqsadli operatsion tizimlardan keng foydalanish uchun real bo'lmasligi mumkin bo'lgan ushbu va boshqa taxminlarga asoslanib, Windows mahsulotlarining da'vo qilingan xavfsizlik funktsiyalari baholanadi. Shunday qilib, ular faqat taxmin qilingan, belgilangan holatlarda xavfsiz deb hisoblanishi kerak, shuningdek konfiguratsiyani baholadi.

Siz Microsoft Windows-ni aniq baholangan konfiguratsiyada ishlatasizmi yoki yo'qmi, Windows-ning zaif tomonlari uchun Microsoft-ning xavfsizlik tuzatmalarini paydo bo'lishini davom ettirishingiz kerak. Agar ushbu xavfsizlik zaifliklari mahsulotning baholangan konfiguratsiyasida ishlatilishi mumkin bo'lsa, mahsulotning umumiy mezonlari sertifikati sotuvchi tomonidan ixtiyoriy ravishda olib qo'yilishi kerak. Shu bilan bir qatorda, sotuvchi baholangan konfiguratsiyadagi xavfsizlik zaifliklarini tuzatish uchun yamaqlar qo'llanilishini kiritish uchun mahsulotni qayta baholashi kerak. Sotuvchi tomonidan ushbu qadamlardan birini bajarmaslik mahsulot baholangan mamlakat sertifikatlashtirish idorasi tomonidan majburiy ravishda mahsulot sertifikatining bekor qilinishiga olib keladi.

Sertifikatlangan Microsoft Windows versiyalari saqlanib qoladi EAL4 + har qanday Microsoft xavfsizlik zaifligi tuzatishlarini baholangan konfiguratsiyasiga kiritmasdan. Bu baholangan konfiguratsiyaning cheklanganligi va kuchliligini ko'rsatadi.

Tanqidlar

2007 yil avgustda, Hukumatning kompyuter yangiliklari (GCN) sharhlovchi Uilyam Jekson Umumiy Kriteriyalar metodologiyasini va AQShda Umumiy Kriteriyalarni baholash va tasdiqlash sxemasi (CCEVS) tomonidan amalga oshirilishini tanqidiy ko'rib chiqdi.^[5] Ustunda xavfsizlik sohasi rahbarlari, tadqiqotchilar va Milliy Axborotni Ta'minlash Hamkorligi (NIAP) vakillari bilan suhbatlashildi. Maqolada keltirilgan e'tirozlarga quyidagilar kiradi:

Baholash qimmatga tushadigan jarayondir (ko'pincha yuz minglab AQSh dollari bilan o'lchanadi) va sotuvchining ushbu sarmoyadan qaytarishi yanada xavfsiz mahsulot bo'lishi shart emas.
Baholash asosan mahsulotning o'ziga xos xavfsizligi, texnik jihatdan to'g'riligi yoki xizmatiga emas, balki baholash hujjatlarini baholashga qaratilgan. AQSh baholash uchun faqat EAL5 va undan yuqori versiyalarda Milliy Xavfsizlik Agentligining mutaxassislari tahlilda qatnashadilar; va faqat EAL7 da to'liq manba kodini tahlil qilish talab qilinadi.
Baholash to'g'risidagi dalillarni va bahoga oid boshqa hujjatlarni tayyorlash uchun zarur bo'lgan kuch va vaqt shu qadar mash'umki, ish tugaguncha baholashdagi mahsulot odatda eskiradi.
Kabi tashkilotlar tomonidan kiritilgan, shu jumladan sanoat Umumiy mezonlarni etkazib beruvchilar forumi, umuman olganda jarayonga umuman ta'sir qilmaydi.

2006 yilgi tadqiqot ishida kompyuter mutaxassisi Devid A. Viler Umumiy mezonlar jarayoni kamsitilishini tavsiya qildi bepul va ochiq manbali dasturiy ta'minot (FOSS) markazlashgan tashkilotlar va rivojlanish modellari.^[6] Umumiy mezonlarni kafolatlash talablari an'anaviy ravishda ilhomlantiradi sharshara dasturiy ta'minotni ishlab chiqish metodologiyasi. Aksincha, ko'pgina FOSS dasturlari zamonaviylardan foydalangan holda ishlab chiqariladi epchil paradigmalar. Ba'zilar ikkala paradigma ham yaxshi mos kelmaydi, deb ta'kidlashsa ham,^[7] boshqalar ikkala paradigmani ham yarashtirishga urinishgan.^[8] Siyosatshunos Yan Kallberg sertifikatlangandan so'ng mahsulotlarning haqiqiy ishlab chiqarilishi ustidan nazorat yo'qligi, muvofiqlikni nazorat qiluvchi doimiy ishlaydigan tashkiliy organ yo'qligi va geosiyosiy jihatdan Umumiy Kriteriyali IT-xavfsizlik sertifikatlariga bo'lgan ishonch saqlanib qoladi degan fikrdan tashvish bildirdi. chegaralar.^[9]

Muqobil yondashuvlar

CC butun umri davomida u hatto ijodkor davlatlar tomonidan ham universal tarzda qabul qilinmagan, xususan kriptografik tasdiqlar alohida ko'rib chiqilgan, masalan, Kanada / AQSh tomonidan amalga oshirilgan. FIPS-140, va CESG Yordamchi mahsulotlar sxemasi (CAPS)^[10] Buyuk Britaniyada.

Bozor faoliyatiga to'sqinlik qiladigan vaqt jadvallari, xarajatlar va o'zaro tan olishning ortiqcha xarajatlari aniqlanganda Buyuk Britaniya bir qator muqobil sxemalarni ishlab chiqdi:

The CESG Umumiy mahsulot va xizmatlarni emas, balki hukumat tizimlarini kafolatlash uchun tizimni baholash (SYSn) va tezkor yondashuv (FTA) sxemalari, ular endi CESG maxsus xavfsizlik xizmati (CTAS) ga birlashtirilgan. ^[11]
The CESG da'volari sinovdan o'tgan belgi (CCT Mark), bu mahsulot va xizmatlarga nisbatan kam to'liq ishonchlilik talablarini iqtisodiy va vaqt tejamkorligi bilan ishlashga qaratilgan.

2011 yil boshida NSA / CSS Kris Salterning "a" ni taklif qilgan maqolasini nashr etdi Himoya profili baholashga yo'naltirilgan yondashuv. Ushbu yondashuvda qiziqadigan jamoalar texnologiya turlari atrofida shakllanadi va bu o'z navbatida texnologiya turini baholash metodologiyasini belgilaydigan himoya profillarini ishlab chiqadi.^[12] Maqsad yanada mustahkamroq baholashdir. Bu salbiy ta'sir ko'rsatishi mumkin degan xavotir bor o'zaro tan olish.^[13]

2012 yil sentyabr oyida Umumiy mezonlar a Vizyon bayonoti Kris Salterning o'tgan yilgi fikrlarini katta darajada amalga oshirdi. Vizyonning asosiy elementlari quyidagilardan iborat:

Texnik jamoalar o'zlarining maqsadlarini oqilona, taqqoslanadigan, takrorlanadigan va tejamkor baholash natijalarini qo'llab-quvvatlaydigan himoya profillarini (PP) yaratishga qaratilgan.
Agar iloji bo'lsa, ushbu PPga qarshi baholash kerak; agar bo'lmasa, xavfsizlik maqsadlarini baholashning o'zaro tan olinishi EAL2 bilan cheklangan bo'lar edi

Shuningdek qarang

Adabiyotlar

^ "Umumiy mezonlar".
^ "Umumiy mezonlar - aloqa xavfsizligini o'rnatish".
^ "Umumiy mezonlar bo'yicha sertifikatlangan mahsulotlar".
^ "Dunyo bo'ylab umumiy mezonlar sxemalari" (PDF).
^ Hujum ostida: Umumiy kriteriyalar juda ko'p tanqidchilarga ega, ammo bum rapni oladimi? Hukumat kompyuter yangiliklari, olingan 2007-12-14
^ Free-Libre / Open Source Software (FLOSS) va dasturiy ta'minotni ta'minlash
^ Vayrynen, J., Boden, M. va Bostrom, G., Xavfsizlik muhandisligi va eXtreme dasturlash: mumkin bo'lmagan nikoh?
^ Beznosov, Konstantin; Kruchten, Filipp. "Tezkor xavfsizlik kafolati tomon". Arxivlandi asl nusxasi 2011-08-19. Olingan 2007-12-14.
^ Umumiy mezonlar Realpolitik - ishonch, alyanslar va potentsial xiyonat bilan javob beradi
^ "CAPS: CESG ko'maklashadigan mahsulotlar sxemasi". Arxivlandi asl nusxasi 2008 yil 1 avgustda.
^ Infosecni tasdiqlash va sertifikatlashtirish xizmatlari (IACS) Arxivlandi 2008 yil 20 fevral, soat Orqaga qaytish mashinasi
^ "Umumiy mezonlarni isloh qilish: sanoat bilan hamkorlikni kengaytirish orqali xavfsizlikni ta'minlash bo'yicha mahsulotlar" (PDF). Arxivlandi asl nusxasi (PDF) 2012 yil 17 aprelda.
^ "Umumiy mezon" islohotlari "- cho'kish yoki suzish - sanoat inqilob pivosini umumiy mezon bilan qanday boshqarishi kerak?". Arxivlandi asl nusxasi 2012-05-29.

Tashqi havolalar

[1] "Umumiy mezonlar".

[2] "Umumiy mezonlar - aloqa xavfsizligini o'rnatish".

[3] "Umumiy mezonlar bo'yicha sertifikatlangan mahsulotlar".

[4] "Dunyo bo'ylab umumiy mezonlar sxemalari" (PDF).

[5] Hujum ostida: Umumiy kriteriyalar juda ko'p tanqidchilarga ega, ammo bum rapni oladimi? Hukumat kompyuter yangiliklari, olingan 2007-12-14

[6] Free-Libre / Open Source Software (FLOSS) va dasturiy ta'minotni ta'minlash

[7] Vayrynen, J., Boden, M. va Bostrom, G., Xavfsizlik muhandisligi va eXtreme dasturlash: mumkin bo'lmagan nikoh?

[8] Beznosov, Konstantin; Kruchten, Filipp. "Tezkor xavfsizlik kafolati tomon". Arxivlandi asl nusxasi 2011-08-19. Olingan 2007-12-14.

[9] Umumiy mezonlar Realpolitik - ishonch, alyanslar va potentsial xiyonat bilan javob beradi

[10] "CAPS: CESG ko'maklashadigan mahsulotlar sxemasi". Arxivlandi asl nusxasi 2008 yil 1 avgustda.

[11] Infosecni tasdiqlash va sertifikatlashtirish xizmatlari (IACS) Arxivlandi 2008 yil 20 fevral, soat Orqaga qaytish mashinasi

[12] "Umumiy mezonlarni isloh qilish: sanoat bilan hamkorlikni kengaytirish orqali xavfsizlikni ta'minlash bo'yicha mahsulotlar" (PDF). Arxivlandi asl nusxasi (PDF) 2012 yil 17 aprelda.

[13] "Umumiy mezon" islohotlari "- cho'kish yoki suzish - sanoat inqilob pivosini umumiy mezon bilan qanday boshqarishi kerak?". Arxivlandi asl nusxasi 2012-05-29.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

ISO standartlar standart raqam bo'yicha
Ro'yxati ISO standartlari / ISO romanizatsiyalari / IEC standartlari
1–9999	1 2 3 4 5 6 7 9 16 17 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 128 216 217 226 228 233 259 269 302 306 361 428 500 518 519 639 -1 -2 -3 -5 -6 646 657 668 690 704 732 764 838 843 860 898 965 999 1000 1004 1007 1073-1 1155 1413 1538 1629 1745 1989 2014 2015 2022 2033 2047 2108 2145 2146 2240 2281 2533 2709 2711 2720 2788 2848 2852 3029 3103 3166 -1 -2 -3 3297 3307 3601 3602 3864 3901 3950 3977 4031 4157 4165 4217 4909 5218 5426 5427 5428 5725 5775 5776 5800 5807 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 6943 7001 7002 7010 7027 7064 7098 7185 7200 7498 -1 7637 7736 7810 7811 7812 7813 7816 7942 8000 8093 8178 8217 8373 8501-1 8571 8583 8601 8613 8632 8651 8652 8691 8805/8806 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-I -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9036 9075 9126 9141 9227 9241 9293 9314 9362 9407 9506 9529 9564 9592/9593 9594 9660 9797-1 9897 9899 9945 9984 9985 9995
10000–19999	10005 10006 10007 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11889 11898 11940 (-2 ) 11941 11941 (TR) 11992 12006 12182 12207 12234-2 13211 -1 -2 13216 13250 13399 13406-2 13450 13485 13490 13567 13568 13584 13616 14000 14031 14224 14289 14396 14443 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14644 14649 14651 14698 14750 14764 14882 14971 15022 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15504 15511 15686 15693 15706 -2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16355-1 16612-2 16750 16949 (TS) 17024 17025 17100 17203 17369 17442 17799 18000 18004 18014 18245 18629 18916 19005 19011 19092 -1 -2 19114 19115 19125 19136 19407 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 19770 19775-1 19794-5 19831
20000+	20000 20022 20121 20400 21000 21047 21500 21827 22000 22300 22395 23270 23271 23360 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 27000 seriyali 27000 27001 27002 27005 27006 27729 28000 29110 29148 29199-2 29500 30170 31000 32000 37001 38500 40500 42010 45001 50001 55000 80000 -1
Turkum

Xalqaro elektrotexnika komissiyasi standartlari ro'yxati
IEC standartlari	IEC 60027 IEC 60034 IEC 60038 IEC 60062 IEC 60063 IEC 60068 IEC 60112 IEC 60228 IEC 60269 IEC 60297 IEC 60309 IEC 60320 IEC 60364 IEC 60446 IEC 60559 IEC 60601 IEC 60870 IEC 60870-5 IEC 60870-6 IEC 60906-1 IEC 60908 IEC 60929 IEC 60958 AES3 S / PDIF IEC 61030 IEC 61131 IEC 61131-3 IEC 61131-9 IEC 61158 IEC 61162 IEC 61334 IEC 61346 IEC 61355 IEC 61360 IEC 61400 IEC 61499 IEC 61508 IEC 61511 IEC 61784 IEC 61850 IEC 61851 IEC 61883 IEC 61960 IEC 61968 IEC 61970 IEC 62014-4 IEC 62026 IEC 62056 IEC 62061 IEC 62196 IEC 62262 IEC 62264 IEC 62304 IEC 62325 IEC 62351 IEC 62365 IEC 62366 IEC 62379 IEC 62386 IEC 62455 IEC 62680 IEC 62682 IEC 62700 IEC 63110 IEC 63119
ISO / IEC standartlari	ISO / IEC 646 ISO / IEC 2022 ISO / IEC 4909 ISO / IEC 5218 ISO / IEC 6429 ISO / IEC 6523 ISO / IEC 7810 ISO / IEC 7811 ISO / IEC 7812 ISO / IEC 7813 ISO / IEC 7816 ISO / IEC 7942 ISO / IEC 8613 ISO / IEC 8632 ISO / IEC 8652 ISO / IEC 8859 ISO / IEC 9126 ISO / IEC 9293 ISO / IEC 9592 ISO / IEC 9593 ISO / IEC 9899 ISO / IEC 9945 ISO / IEC 9995 ISO / IEC 10021 ISO / IEC 10116 ISO / IEC 10165 ISO / IEC 10179 ISO / IEC 10646 ISO / IEC 10967 ISO / IEC 11172 ISO / IEC 11179 ISO / IEC 11404 ISO / IEC 11544 ISO / IEC 11801 ISO / IEC 12207 ISO / IEC 13250 ISO / IEC 13346 ISO / IEC 13522-5 ISO / IEC 13568 ISO / IEC 13818 ISO / IEC 14443 ISO / IEC 14496 ISO / IEC 14882 ISO / IEC 15288 ISO / IEC 15291 ISO / IEC 15408 ISO / IEC 15444 ISO / IEC 15445 ISO / IEC 15504 ISO / IEC 15511 ISO / IEC 15693 ISO / IEC 15897 ISO / IEC 15938 ISO / IEC 16262 ISO / IEC 17024 ISO / IEC 17025 ISO / IEC 18000 ISO / IEC 18004 ISO / IEC 18014 ISO / IEC 19752 ISO / IEC 19757 ISO / IEC 19770 ISO / IEC 19788 ISO / IEC 20000 ISO / IEC 21000 ISO / IEC 21827 ISO / IEC 23000 ISO / IEC 23003 ISO / IEC 23008 ISO / IEC 23270 ISO / IEC 23360 ISO / IEC 24707 ISO / IEC 24727 ISO / IEC 24744 ISO / IEC 24752 ISO / IEC 26300 ISO / IEC 27000 ISO / IEC 27000 seriyali ISO / IEC 27002 ISO / IEC 27040 ISO / IEC 29119 ISO / IEC 33001 ISO / IEC 38500 ISO / IEC 42010 ISO / IEC 80000
Bog'liq	Xalqaro elektrotexnika komissiyasi