Critères communs pour l’évaluation de la sécurité des technologies de l’information (cc)



par

Définition - Que signifient les Critères communs pour l'évaluation de la sécurité des technologies de l'information (CC)?

Les Critères communs pour l'évaluation de la sécurité des technologies de l'information (CC) sont une norme internationale basée sur les évaluations de produits et de systèmes de sécurité informatique. CC fournit des conseils sur la fonctionnalité et l'assurance requises pour les produits liés à la sécurité et d'autres éléments dans un environnement spécifique. Les évaluations CC sont menées pour les consommateurs de produits, les utilisateurs, les développeurs de technologies et les évaluateurs.

CC est également appelé ISO / CEI 15408.

Definir Tech explique les critères communs pour l'évaluation de la sécurité des technologies de l'information (CC)

Une évaluation CC est effectuée sur une cible d'évaluation (TOE), comprenant du matériel, un micrologiciel et un logiciel séparés ou combinés. Pas toujours un produit informatique complet, une TOE peut être un élément nouvellement développé ou un package consolidé et configuré comme suit:

  • Application logicielle uniquement
  • OS uniquement
  • Application logicielle et OS
  • Application logicielle, OS et poste de travail
  • OS et poste de travail
  • Circuit intégré de carte à puce uniquement
  • Coprocesseur cryptographique uniquement (composant de circuit intégré de carte à puce)
  • Réseau local (LAN), y compris les terminaux, l'équipement réseau, les logiciels et les serveurs
  • Application de base de données uniquement (sans logiciel client distant)

Une TOE peut prendre la forme d'une liste de fichiers du système de gestion de configuration, d'une copie principale, d'un CD-ROM / manuel utilisateur client ou d'un état précédemment installé et opérationnel.

Un CC comporte trois composants:

  • Modèle général CC / TOE et introduction: fournit un schéma d'évaluation de base de la TOE
  • Section des composants de la fonction de sécurité: concerne les exigences de sécurité des produits informatiques et des technologies courantes
  • Section des composants d'assurance de la sécurité: concerne les exigences communes d'assurance des produits et des technologies informatiques