सामान्य मानदंड

कंप्यूटर सुरक्षा प्रमाणन के लिए सूचना प्रौद्योगिकी सुरक्षा मूल्यांकन के लिए सामान्य मानदंड (सामान्य मानदंड या सीसी के रूप में संदर्भित) एक अंतरराष्ट्रीय मानक (मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 में है। सामान्य मानदंड एक ढांचा है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य (एसटी) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं (क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल (पीपी) से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं या दावा कर सकते हैं, और परीक्षण प्रयोगशालाएँ यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि क्या वे वास्तव में दावों को पूरा करते हैं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक और दोहराने योग्य तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है। सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम शामिल हैं।

मुख्य अवधारणाएँ
कंप्यूटर सुरक्षा उत्पादों और प्रणालियों पर सामान्य मानदंड मूल्यांकन किए जाते हैं।


 * मूल्यांकन का लक्ष्य (TOE) - उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने के लिए कार्य करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन को लक्ष्य की सुरक्षा सुविधाओं को सत्यापित करना चाहिए। यह निम्नलिखित के माध्यम से किया जाता है:
 * सुरक्षा प्रोफ़ाइल (पीपी) – एक दस्तावेज़, जो आमतौर पर एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों के एक वर्ग के लिए सुरक्षा आवश्यकताओं की पहचान करता है (उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क फ़ायरवॉल (कंप्यूटिंग) ) उस उपयोगकर्ता को किसी विशेष उद्देश्य के लिए। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक पीपीज़ का अनुपालन करते हैं, और उन पीपीज़ के विरुद्ध अपने उत्पादों का मूल्यांकन करवाते हैं। ऐसे मामले में, एक पीपी उत्पाद के एसटी (सुरक्षा लक्ष्य, जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या एसटी के लेखक कम से कम यह सुनिश्चित करेंगे कि प्रासंगिक पीपी में सभी आवश्यकताएं लक्ष्य के एसटी दस्तावेज़ में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक पीपी के खिलाफ प्रमाणित उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
 * सुरक्षा लक्ष्य (ST) – वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा गुणों की पहचान करता है। एसटी एक या एक से अधिक पीपी के साथ अनुरूपता का दावा कर सकता है। TOE का मूल्यांकन इसके ST में स्थापित SFRs (सिक्योरिटी फंक्शनल रिक्वायरमेंट्स। फिर से, नीचे देखें) के विरुद्ध किया जाता है, न अधिक और न ही कम। यह विक्रेताओं को मूल्यांकन को उनके उत्पाद की इच्छित क्षमताओं से सटीक रूप से मिलान करने की अनुमति देता है। इसका मतलब है कि एक नेटवर्क फ़ायरवॉल को डेटाबेस  प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और वास्तव में अलग-अलग फायरवॉल का मूल्यांकन आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के खिलाफ किया जा सकता है। एसटी आमतौर पर प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा सुविधाओं का निर्धारण कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।
 * सुरक्षा कार्यात्मक आवश्यकताएँ (SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो एक उत्पाद द्वारा प्रदान किया जा सकता है। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक एसएफआर यह बता सकता है कि एक विशेष आरबीएसी  का कार्य करने वाला उपयोगकर्ता  प्रमाणीकरण  कैसे हो सकता है। एसएफआर की सूची एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को एसटी में शामिल करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फ़ंक्शन का सही संचालन (जैसे भूमिकाओं के अनुसार पहुंच को सीमित करने की क्षमता) दूसरे पर निर्भर है (जैसे व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता) ).

मूल्यांकन प्रक्रिया गुणवत्ता आश्वासन  प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखे जा सकने वाले विश्वास के स्तर को स्थापित करने का भी प्रयास करती है:


 * सुरक्षा आश्वासन आवश्यकताएँ (SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण। उदाहरण के लिए, एक मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को परिवर्तन प्रबंधन प्रणाली में रखा जाए, या यह कि पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताओं को क्रमशः एसटी और पीपी में प्रलेखित किया गया है।
 * मूल्यांकन आश्वासन स्तर (ईएएल) - मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं (SARs, ऊपर देखें) के एक पैकेज से मेल खाता है, जो एक निश्चित स्तर की सख्ती के साथ उत्पाद के पूर्ण विकास को कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी (और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर (और सबसे महंगा) है। आम तौर पर, एक एसटी या पीपी लेखक आश्वासन आवश्यकता का चयन नहीं करेगाव्यक्तिगत रूप से, लेकिन इन पैकेजों में से किसी एक को चुनें, संभवतः कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'बढ़ती' आवश्यकताएं। उच्च ईएएल नहीं आवश्यक रूप से बेहतर सुरक्षा का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई का दावा किया गया सुरक्षा आश्वासन अधिक व्यापक सत्यापन और सत्यापन है।

अब तक, अधिकांश पीपी और अधिकांश मूल्यांकित एसटी/प्रमाणित उत्पाद आईटी घटकों (जैसे, फायरवॉल, ऑपरेटिंग सिस्टम, स्मार्ट कार्ड) के लिए हैं। आईटी खरीद के लिए कभी-कभी सामान्य मानदंड प्रमाणन निर्दिष्ट किया जाता है। अन्य मानकों में शामिल हैं, उदाहरण के लिए, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सीसी और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा शामिल हैं।

टीओई के भीतर क्रिप्टोग्राफिक  कार्यान्वयन का विवरण सीसी के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे  FIPS 140-2, क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक उपयोग में क्रिप्टोग्राफ़िक एल्गोरिदम निर्दिष्ट करते हैं।

हाल ही में, पीपी लेखकों ने सीसी मूल्यांकनों के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को शामिल किया है जो आमतौर पर योजना-विशिष्ट व्याख्याओं के माध्यम से सीसी की सीमाओं को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किया जाएगा।

कुछ राष्ट्रीय मूल्यांकन योजनाएँ ईएएल-आधारित मूल्यांकनों को समाप्त कर रही हैं और केवल मूल्यांकन के लिए ऐसे उत्पादों को स्वीकार करती हैं जो अनुमोदित पीपी के साथ सख्त अनुरूपता का दावा करते हैं। संयुक्त राज्य अमेरिका वर्तमान में केवल पीपी-आधारित मूल्यांकन की अनुमति देता है। कनाडा EAL-आधारित मूल्यांकनों को चरणबद्ध तरीके से समाप्त करने की प्रक्रिया में है।

इतिहास
सीसी की उत्पत्ति तीन मानकों से हुई:


 * ITSEC  – यूरोपीय मानक, जिसे 1990 के दशक की शुरुआत में फ़्रांस, जर्मनी, नीदरलैंड और यूके द्वारा विकसित किया गया था। यह भी पहले के काम का एकीकरण था, जैसे कि दो यूके दृष्टिकोण ( जीसीएचक्यू यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और  व्यापार और उद्योग विभाग (यूनाइटेड किंगडम)  ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और इसे अपनाया गया था कुछ अन्य देशों द्वारा, उदा। ऑस्ट्रेलिया।
 * CTCPEC  – कनाडा के मानक ने US DoD मानक का पालन किया, लेकिन कई समस्याओं से बचा और अमेरिका और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा संयुक्त रूप से उपयोग किया गया। CTCPEC मानक पहली बार मई 1993 में प्रकाशित हुआ था।
 * TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 Std, जिसे TCSEC और इंद्रधनुष श्रृंखला ़ के हिस्से कहा जाता है। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक की शुरुआत में  राष्ट्रीय सुरक्षा एजेंसी  और राष्ट्रीय मानक ब्यूरो (NBS अंततः राष्ट्रीय मानक और प्रौद्योगिकी संस्थान बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई थी। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।

इन पूर्व-मौजूदा मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

परीक्षण संगठन
सभी सामान्य मानदंड परीक्षण प्रयोगशाला  को ISO 17025|ISO/IEC 17025 का अनुपालन करना चाहिए, और प्रमाणीकरण निकायों को सामान्य रूप से ISO/IEC 17065 के विरुद्ध अनुमोदित किया जाएगा।

ISO 17025|ISO/IEC 17025 का अनुपालन आम तौर पर एक राष्ट्रीय अनुमोदन प्राधिकरण को प्रदर्शित किया जाता है:
 * कनाडा में, कनाडा की मानक परिषद (SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम (PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाओं (CCEF) को मान्यता देती है।
 * फ्रांस में Comité français d'accréditation (COFRAC) सामान्य मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे आमतौर पर कहा जाता है Centre d'évaluation de la sécurité des technologies de l'information (सीईएसटीआई)। मूल्यांकन Agence Nationale de la securité des Systemes d'सूचना (ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।
 * इटली में, [http://www.ocsi.isticom.it/ OCSI (Organismo di Certificazione della Sicurezza Informatica) सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता देता है
 * भारत में, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय  का STQC निदेशालय EAL4 के माध्यम से आश्वासन स्तर EAL 1 पर IT उत्पादों का मूल्यांकन और प्रमाणन करता है।
 * ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा (UKAS) Commercial Evaluation Facility (CLEF) को मान्यता देती थी; यूके 2019 से सीसी पारिस्थितिकी तंत्र में केवल एक उपभोक्ता है
 * अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम  (NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं (CCTL) को मान्यता देता है।
 * जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक (बीएसआई)
 * स्पेन में, नेशनल क्रिप्टोलॉजिक सेंटर (CCN) सामान्य मानदंड php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं स्पेनिश योजना में काम कर रही हैं।
 * नीदरलैंड में, नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी (NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज (ITSEF) को मान्यता देती है।
 * स्वीडन में स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी (CSEC) IT को लाइसेंस देता है सुरक्षा मूल्यांकन सुविधाएं (ITSEF)।

ICCC 10 में इन संगठनों की विशेषताओं की जांच की गई और उन्हें प्रस्तुत किया गया।

पारस्परिक मान्यता व्यवस्था
साथ ही सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए (पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के खिलाफ मूल्यांकन को मान्यता देता है। मूल रूप से कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा 1998 में हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में शामिल हुए, इसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन शामिल हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) का नाम बदलकर सदस्यता का विस्तार जारी है। CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को पारस्परिक रूप से मान्यता प्राप्त है (त्रुटि निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश आमतौर पर उच्च EALs को भी पहचानते हैं। EAL5 और ऊपर के मूल्यांकन में मेजबान देश की सरकार की सुरक्षा आवश्यकताओं को शामिल करने की प्रवृत्ति होती है।

सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक विजन स्टेटमेंट तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2 (दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में पीपी विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से प्राप्त किया जाएगा, और अभी तक एक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।

2 जुलाई 2014 को एक new CCRA की पुष्टि की गई लक्ष्य 2012 विजन स्टेटमेंट में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में शामिल हैं:
 * केवल एक सहयोगी सुरक्षा प्रोफ़ाइल (cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।
 * अंतर्राष्ट्रीय तकनीकी समुदायों (आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीपीपी के निर्माण का प्रभार दिया गया।
 * व्यवस्था के पिछले संस्करण के तहत जारी किए गए प्रमाणपत्रों की मान्यता सहित पिछले सीसीआरए से एक संक्रमण योजना।

आवश्यकताएँ
सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट (श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे टीसीएसईसी और एफआईपीएस 140 -2।

प्रमाणीकरण का मूल्य
सामान्य मानदंड प्रमाणीकरण सुरक्षा की गारंटी नहीं दे सकता है, लेकिन यह सुनिश्चित कर सकता है कि मूल्यांकित उत्पाद की सुरक्षा विशेषताओं के बारे में दावों को स्वतंत्र रूप से सत्यापित किया गया था। दूसरे शब्दों में, एक सामान्य मानदंड मानक के विरुद्ध मूल्यांकन किए गए उत्पाद साक्ष्य की एक स्पष्ट श्रृंखला प्रदर्शित करते हैं कि विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक तरीके से आयोजित की गई है।

विंडोज सर्वर 2003 और विंडोज एक्सपी सहित विभिन्न माइक्रोसॉफ्ट  विंडोज संस्करण, प्रमाणित किए गए हैं, लेकिन सुरक्षा कमजोरियों को दूर करने के लिए सुरक्षा पैच अभी भी माइक्रोसॉफ्ट द्वारा प्रकाशित किए जा रहे हैं ये विंडोज सिस्टम। यह संभव है क्योंकि एक सामान्य मानदंड प्रमाणीकरण प्राप्त करने की प्रक्रिया एक विक्रेता को विश्लेषण को कुछ सुरक्षा सुविधाओं तक सीमित करने और ऑपरेटिंग वातावरण और उस वातावरण में उत्पाद द्वारा सामना किए जाने वाले खतरों की ताकत के बारे में कुछ धारणाएं बनाने की अनुमति देती है। इसके अतिरिक्त, सीसी लागत प्रभावी और उपयोगी सुरक्षा प्रमाणन प्रदान करने के लिए मूल्यांकन के दायरे को सीमित करने की आवश्यकता को पहचानता है, जैसे मूल्यांकन किए गए उत्पादों की जांच आश्वासन स्तर या पीपी द्वारा निर्दिष्ट विवरण के स्तर तक की जाती है। मूल्यांकन गतिविधियाँ इसलिए केवल एक निश्चित गहराई, समय और संसाधनों के उपयोग के लिए की जाती हैं और इच्छित वातावरण के लिए उचित आश्वासन प्रदान करती हैं।

Microsoft मामले में, मान्यताओं में A.PEER शामिल है:  कोई भी अन्य सिस्टम जिसके साथ TOE संचार करता है, उसी प्रबंधन नियंत्रण के तहत माना जाता है और उसी सुरक्षा नीति बाधाओं के तहत काम करता है। TOE नेटवर्क या वितरित वातावरण पर तभी लागू होता है जब पूरा नेटवर्क एक ही बाधा के तहत संचालित होता है और एक ही प्रबंधन डोमेन के भीतर रहता है। ऐसी कोई सुरक्षा आवश्यकता नहीं है जो बाहरी सिस्टम या ऐसे सिस्टम के संचार लिंक पर भरोसा करने की आवश्यकता को पूरा करती हो। 

यह धारणा नियंत्रित पहुँच सुरक्षा प्रोफ़ाइल  (CAPP) में निहित है जिसका उनके उत्पाद पालन करते हैं। इसके और अन्य मान्यताओं के आधार पर, जो सामान्य-उद्देश्य वाले ऑपरेटिंग सिस्टम के सामान्य उपयोग के लिए यथार्थवादी नहीं हो सकते हैं, Windows उत्पादों के दावा किए गए सुरक्षा कार्यों का मूल्यांकन किया जाता है। इस प्रकार उन्हें केवल अनुमानित, निर्दिष्ट परिस्थितियों में ही सुरक्षित माना जाना चाहिए, जिसे मूल्यांकित कॉन्फ़िगरेशन के रूप में भी जाना जाता है।

चाहे आप माइक्रोसॉफ्ट विंडोज को सटीक मूल्यांकित कॉन्फ़िगरेशन में चलाते हैं या नहीं, आपको विंडोज़ में कमजोरियों के लिए माइक्रोसॉफ्ट के सुरक्षा पैच लागू करना चाहिए क्योंकि वे लगातार दिखाई दे रहे हैं। यदि इनमें से कोई भी सुरक्षा भेद्यता उत्पाद के मूल्यांकन विन्यास में शोषण योग्य है, तो उत्पाद के सामान्य मानदंड प्रमाणन को विक्रेता द्वारा स्वेच्छा से वापस ले लिया जाना चाहिए। वैकल्पिक रूप से, विक्रेता को मूल्यांकित कॉन्फ़िगरेशन के भीतर सुरक्षा कमजोरियों को ठीक करने के लिए पैच के अनुप्रयोग को शामिल करने के लिए उत्पाद का पुनर्मूल्यांकन करना चाहिए। विक्रेता द्वारा इनमें से कोई भी कदम उठाने में विफलता के परिणामस्वरूप उस देश के प्रमाणन निकाय द्वारा उत्पाद के प्रमाणीकरण को अनैच्छिक रूप से वापस ले लिया जाएगा जिसमें उत्पाद का मूल्यांकन किया गया था।

प्रमाणित Microsoft Windows संस्करण अपने मूल्यांकित कॉन्फ़िगरेशन में किसी भी Microsoft सुरक्षा भेद्यता पैच के अनुप्रयोग को शामिल किए बिना मूल्यांकन आश्वासन स्तर|EAL4+ पर बने रहते हैं। यह मूल्यांकित कॉन्फ़िगरेशन की सीमा और शक्ति दोनों को दर्शाता है।

आलोचना
अगस्त 2007 में, Government Computing News|Government Computing News (GCN) स्तंभकार विलियम जैक्सन ने सामान्य मानदंड मूल्यांकन और सत्यापन योजना (CCEVS) द्वारा सामान्य मानदंड पद्धति और इसके अमेरिकी कार्यान्वयन की गंभीर रूप से जांच की। कॉलम में सुरक्षा उद्योग के अधिकारियों, शोधकर्ताओं और राष्ट्रीय सूचना आश्वासन भागीदारी (एनआईएपी) के प्रतिनिधियों का साक्षात्कार लिया गया। लेख में उल्लिखित आपत्तियों में शामिल हैं:


 * मूल्यांकन एक महंगी प्रक्रिया है (अक्सर सैकड़ों हजारों अमेरिकी डॉलर में मापा जाता है) - और उस निवेश पर विक्रेता की वापसी जरूरी नहीं कि एक अधिक सुरक्षित उत्पाद हो।
 * मूल्यांकन मुख्य रूप से मूल्यांकन दस्तावेजों के मूल्यांकन पर केंद्रित होता है, न कि वास्तविक सुरक्षा, तकनीकी शुद्धता या उत्पाद की खूबियों पर। यू.एस. मूल्यांकनों के लिए, केवल EAL5 और उच्चतर में ही राष्ट्रीय सुरक्षा एजेंसी के विशेषज्ञ विश्लेषण में भाग लेते हैं; और केवल EAL7 पर पूर्ण स्रोत कोड विश्लेषण आवश्यक है।
 * मूल्यांकन साक्ष्य और मूल्यांकन से संबंधित अन्य दस्तावेज तैयार करने के लिए आवश्यक प्रयास और समय इतना बोझिल है कि जब तक काम पूरा हो जाता है, तब तक मूल्यांकन में उत्पाद आम तौर पर अप्रचलित हो जाता है।
 * उद्योग इनपुट, जिसमें कॉमन क्राइटेरिया वेंडर्स फोरम जैसे संगठनों से प्राप्त इनपुट शामिल हैं, का आम तौर पर पूरी प्रक्रिया पर बहुत कम प्रभाव पड़ता है।

2006 के एक शोध पत्र में, कंप्यूटर विशेषज्ञ डेविड ए. व्हीलर ने सुझाव दिया कि सामान्य मानदंड प्रक्रिया मुक्त मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर FOSS)-केंद्रित संगठनों और विकास मॉडल के साथ भेदभाव करती है। सामान्य मानदंड आश्वासन आवश्यकताएं पारंपरिक जलप्रपात मॉडल सॉफ्टवेयर विकास पद्धति से प्रेरित होती हैं। इसके विपरीत, आधुनिक फुर्तीले सॉफ्टवेयर विकास प्रतिमानों का उपयोग करके बहुत से FOSS सॉफ्टवेयर का उत्पादन किया जाता है। हालांकि कुछ ने तर्क दिया है कि दोनों प्रतिमान अच्छी तरह से संरेखित नहीं हैं, दूसरों ने दोनों प्रतिमानों में सामंजस्य स्थापित करने का प्रयास किया है। राजनीतिक विज्ञानी  जान कल्बर्ग  ने प्रमाणित होने के बाद उत्पादों के वास्तविक उत्पादन पर नियंत्रण की कमी, अनुपालन की निगरानी करने वाले स्थायी कर्मचारी वाले संगठनात्मक निकाय की अनुपस्थिति, और यह विचार कि आम मानदंड आईटी-सुरक्षा प्रमाणन में विश्वास होगा, पर चिंता जताई। भू-राजनीतिक सीमाओं के पार बनाए रखा जाना चाहिए। 2017 में, सामान्य मानदंड प्रमाणित स्मार्ट कार्ड उत्पादों की सूची में ROCA भेद्यता पाई गई थी। भेद्यता ने सामान्य मानदंड प्रमाणन योजना की कई कमियों को उजागर किया:
 * भेद्यता एक स्वदेशी आरएसए कुंजी पीढ़ी एल्गोरिदम में रहती है जिसे क्रिप्टैनालिसिस समुदाय द्वारा प्रकाशित और विश्लेषण नहीं किया गया है। हालाँकि, जर्मनी में कॉमन क्राइटेरिया टेस्टिंग लेबोरेटरी TÜV Informationstechnik GmbH (TÜViT) ने इसके उपयोग को मंजूरी दे दी है और जर्मनी में सर्टिफिकेशन बॉडी फेडरल ऑफिस फॉर इंफॉर्मेशन सिक्योरिटी ने कमजोर उत्पादों के लिए कॉमन क्राइटेरिया सर्टिफिकेट जारी किए हैं। मूल्यांकित उत्पाद के सुरक्षा लक्ष्य ने दावा किया कि RSA कुंजियाँ मानक एल्गोरिथम के अनुसार उत्पन्न होती हैं। इस भेद्यता के जवाब में, सूचना सुरक्षा के लिए संघीय कार्यालय  अब यह अपेक्षा करके पारदर्शिता में सुधार करने की योजना बना रहा है कि प्रमाणन रिपोर्ट कम से कम यह निर्दिष्ट करे कि क्या कार्यान्वित मालिकाना क्रिप्टोग्राफी अनुशंसित मानक के बिल्कुल अनुरूप नहीं है। सूचना सुरक्षा के लिए संघीय कार्यालय किसी भी तरह से मालिकाना एल्गोरिथम को प्रकाशित करने की आवश्यकता पर योजना नहीं बनाता है।
 * भले ही प्रमाणन निकाय अब जानते हैं कि सामान्य मानदंड प्रमाणपत्रों में निर्दिष्ट सुरक्षा दावे अब मान्य नहीं हैं, न तो Agence Nationale de la securité des systeme d'सूचना और न ही संघीय कार्यालय सूचना सुरक्षा ने संबंधित प्रमाणपत्रों को रद्द कर दिया है। सूचना सुरक्षा के संघीय कार्यालय के अनुसार, एक प्रमाण पत्र केवल तभी वापस लिया जा सकता है जब यह गलत धारणा के तहत जारी किया गया हो, उदाहरण के लिए, जब यह पता चला कि गलत साक्ष्य प्रस्तुत किया गया था। प्रमाण पत्र जारी होने के बाद, यह माना जाना चाहिए कि समय के साथ प्रमाण पत्र की वैधता में सुधार और नए हमलों की खोज की जा रही है। प्रमाणन निकाय रखरखाव रिपोर्ट जारी कर सकते हैं और यहां तक ​​कि उत्पाद का पुन: प्रमाणन भी कर सकते हैं। हालाँकि, इन गतिविधियों को विक्रेता द्वारा शुरू और प्रायोजित किया जाना है।
 * जबकि कई सामान्य मानदंड प्रमाणित उत्पाद ROCA दोष से प्रभावित हुए हैं, प्रमाणन के संदर्भ में विक्रेताओं की प्रतिक्रियाएँ भिन्न रही हैं। कुछ उत्पादों के लिए एक रखरखाव रिपोर्ट जारी की गई थी, जिसमें कहा गया है कि केवल 3072 और 3584 बिट्स की लंबाई वाली RSA कुंजियों में कम से कम 100 बिट्स का सुरक्षा स्तर है, जबकि कुछ उत्पादों के लिए रखरखाव रिपोर्ट में यह उल्लेख नहीं है कि TOE में परिवर्तन प्रभावित करता है। प्रमाणित क्रिप्टोग्राफिक सुरक्षा कार्यक्षमता, लेकिन निष्कर्ष निकाला है कि परिवर्तन मार्गदर्शन प्रलेखन के स्तर पर है और इसका आश्वासन पर कोई प्रभाव नहीं है।
 * सूचना सुरक्षा के लिए संघीय कार्यालय के अनुसार, प्रमाणित अंत उत्पादों के उपयोगकर्ताओं को विक्रेताओं द्वारा आरओसीए भेद्यता के बारे में सूचित किया जाना चाहिए। हालांकि, यह जानकारी एस्टोनियाई अधिकारियों तक समय पर नहीं पहुंच पाई, जिन्होंने 750,000 से अधिक एस्टोनियाई पहचान पत्र  पर कमजोर उत्पाद को तैनात किया था।

वैकल्पिक दृष्टिकोण
CC के जीवनकाल के दौरान, इसे निर्माता राष्ट्रों द्वारा भी सार्वभौमिक रूप से नहीं अपनाया गया है, विशेष रूप से, क्रिप्टोग्राफ़िक अनुमोदन को अलग से संभाला जा रहा है, जैसे कि FIPS-140  के कनाडाई / यूएस कार्यान्वयन और GCHQ सहायक उत्पाद योजना (CAPS) ) उक में।

यूके ने कई वैकल्पिक योजनाओं का भी निर्माण किया है जब पारस्परिक मान्यता के समय, लागत और ऊपरी भाग बाजार के संचालन को बाधित कर रहे हैं:
 * जीसीएचक्यू सिस्टम इवैल्यूएशन (एसवाईएसएन) और फास्ट ट्रैक एप्रोच (एफटीए) योजनाएं जेनेरिक उत्पादों और सेवाओं के बजाय सरकारी सिस्टम के आश्वासन के लिए हैं, जिन्हें अब सीईएसजी टेलर्ड एश्योरेंस सर्विस (सीटीएएस) में विलय कर दिया गया है।
 * सीसीटी मार्क (सीसीटी मार्क), जिसका उद्देश्य लागत और समय कुशल तरीके से उत्पादों और सेवाओं के लिए कम विस्तृत आश्वासन आवश्यकताओं को पूरा करना है।

2011 की शुरुआत में, NSA/CSS ने क्रिस साल्टर द्वारा एक पेपर प्रकाशित किया, जिसमें मूल्यांकन के प्रति एक सुरक्षा प्रोफ़ाइल उन्मुख दृष्टिकोण प्रस्तावित किया गया था। इस दृष्टिकोण में, रुचि के समुदाय प्रौद्योगिकी प्रकारों के आसपास बनते हैं जो बदले में सुरक्षा प्रोफाइल विकसित करते हैं जो प्रौद्योगिकी प्रकार के लिए मूल्यांकन पद्धति को परिभाषित करते हैं। उद्देश्य एक अधिक मजबूत मूल्यांकन है। कुछ चिंता है कि इससे #पारस्परिक मान्यता व्यवस्था पर नकारात्मक प्रभाव पड़ सकता है। 2012 के सितंबर में, कॉमन क्राइटेरिया ने एक विजन स्टेटमेंट प्रकाशित किया, जो काफी हद तक क्रिस साल्टर के पिछले साल के विचारों को लागू करता है। विजन के प्रमुख तत्वों में शामिल हैं:
 * तकनीकी समुदायों को संरक्षण प्रोफाइल (पीपी) लिखने पर ध्यान केंद्रित किया जाएगा जो उचित, तुलनीय, प्रतिलिपि प्रस्तुत करने योग्य और लागत प्रभावी मूल्यांकन परिणामों के उनके लक्ष्य का समर्थन करते हैं।
 * यदि संभव हो तो इन पीपी के विरुद्ध मूल्यांकन किया जाना चाहिए; यदि सुरक्षा लक्ष्य मूल्यांकन की पारस्परिक मान्यता EAL2 तक सीमित नहीं होगी।

यह भी देखें

 * बेल-लापादुला मॉडल
 * चीन अनिवार्य प्रमाणपत्र
 * मूल्यांकन आश्वासन स्तर
 * FIPS 140-2
 * सूचना आश्वासन
 * आईएसओ 9241
 * आईएसओ/आईईसी 27001
 * उपयोगिता परीक्षण
 * जाँच और वैधता

इस पेज में लापता आंतरिक लिंक की सूची

 * इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
 * अंतर्राष्ट्रीय मानक
 * अंतरराष्ट्रीय मानकीकरण संगठन
 * संरक्षण प्रोफ़ाइल
 * आईटी आधारभूत सुरक्षा
 * अंगुली का हस्ताक्षर
 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * चुस्त सॉफ्टवेयर विकास
 * आरओसीए भेद्यता

बाहरी संबंध

 * The official website of the Common Criteria Project
 * The Common Criteria standard documents
 * List of Common Criteria evaluated products
 * List of Licensed Common Criteria Laboratories
 * Towards Agile Security Assurance
 * Important Common Criteria Acronyms
 * Common Criteria Users Forum
 * Additional Common Criteria Information on Google Knol
 * OpenCC Project – free Apache license CC docs, templates and tools
 * Common Criteria Quick Reference Card
 * Common Criteria process cheatsheet
 * Common Criteria process timeline