सामान्य मानदंड: Difference between revisions

[[ कंप्यूटर सुरक्षा ]] सुरक्षा आकलन के लिए सामान्य मानदंड (सामान्य मानदंड या सीसी के रूप में संदर्भित) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक (मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन 15408) है। यह वर्तमान में संस्करण 3.1 संशोधन 5 पर है।<ref>{{cite web|url=https://www.commoncriteriaportal.org|title=सामान्य मानदंड}}</ref>

सामान्य मानदंड एक ढांचा है जिसमें कंप्यूटर सिस्टम उपयोगकर्ता सुरक्षा लक्ष्य (एसटी) में अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं (क्रमशः एसएफआर और एसएआर) निर्दिष्ट कर सकते हैं, और सुरक्षा प्रोफाइल (पीपी) से लिया जा सकता है। विक्रेता तब अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं या दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि वे वास्तव में दावों को पूरा करते हैं या नहीं। दूसरे शब्दों में, सामान्य मानदंड आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देश, कार्यान्वयन और मूल्यांकन की प्रक्रिया कठोर और मानक और दोहराए जाने वाले तरीके से एक स्तर पर आयोजित की गई है जो उपयोग के लिए लक्षित वातावरण के अनुरूप है।<ref>{{cite web|url=https://www.cse-cst.gc.ca/en/canadian-common-criteria-scheme/main|title=सामान्य मानदंड - संचार सुरक्षा प्रतिष्ठान}}</ref> सामान्य मानदंड प्रमाणित उत्पादों की एक सूची रखता है, जिसमें ऑपरेटिंग सिस्टम, एक्सेस कंट्रोल सिस्टम, डेटाबेस और प्रमुख प्रबंधन सिस्टम शामिल हैं।<ref>{{cite web|url=https://www.commoncriteriaportal.org/products/|title=सामान्य मानदंड प्रमाणित उत्पाद}}</ref>

* मूल्यांकन का लक्ष्य (TOE) - वह उत्पाद या सिस्टम जो मूल्यांकन का विषय है। मूल्यांकन लक्ष्य के बारे में किए गए दावों को मान्य करने का काम करता है। व्यावहारिक उपयोग के लिए, मूल्यांकन में लक्ष्य की सुरक्षा विशेषताओं को सत्यापित करना चाहिए। यह निम्नलिखित द्वारा किया जाता है:

** सुरक्षा प्रोफ़ाइल (पीपी) - एक दस्तावेज़, जो आमतौर पर एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो सुरक्षा उपकरणों की एक श्रेणी के लिए सुरक्षा आवश्यकताओं की पहचान करता है (उदाहरण के लिए, डिजिटल हस्ताक्षर प्रदान करने के लिए उपयोग किए जाने वाले स्मार्ट कार्ड, या नेटवर्क [[ फ़ायरवॉल (कंप्यूटिंग) | फ़ायरवॉल (कंप्यूटिंग)]]जो उस उपयोगकर्ता के लिए प्रासंगिक है। विशेष हेतू। उत्पाद विक्रेता उन उत्पादों को लागू करने का विकल्प चुन सकते हैं जो एक या अधिक पीपीज़ का अनुपालन करते हैं, और अपने उत्पादों का मूल्यांकन उन पीपीज़ के विरुद्ध करवाते हैं। ऐसे मामले में, एक पीपी उत्पाद के एसटी (सुरक्षा लक्ष्य, जैसा कि नीचे परिभाषित किया गया है) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या एसटी के लेखक कम से कम यह सुनिश्चित करेंगे कि संबंधित पीपी में सभी आवश्यकताएं लक्ष्य के एसटी दस्तावेज में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक पीपी के विरुद्ध प्रमाणित उन उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।

** सुरक्षा लक्ष्य (ST) - वह दस्तावेज़ जो मूल्यांकन के लक्ष्य की सुरक्षा विशेषताओं की पहचान करता है। ST एक या एक से अधिक पीपी के अनुरूप होने का दावा कर सकता है। TOE का मूल्यांकन इसके ST में स्थापित SFRs (सुरक्षा कार्यात्मक आवश्यकताएँ। फिर से, नीचे देखें) के विरुद्ध किया जाता है,न अधिक और न ही कम। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सही रूप से मिलान करने के लिए मूल्यांकन को अनुकूलित करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को [[ डेटाबेस ]] प्रबंधन प्रणाली के समान कार्यात्मक आवश्यकताओं को पूरा करने की आवश्यकता नहीं है, और यह कि अलग-अलग फायरवॉल वास्तव में आवश्यकताओं की पूरी तरह से अलग-अलग सूचियों के विरुद्ध मूल्यांकन किया जा सकता है। एसटी को व्यापक रूप से प्रकाशित किया जाता है ताकि संभावित ग्राहक उन विशिष्ट सुरक्षा विशेषताओं को निर्धारित कर सकें जिन्हें मूल्यांकन द्वारा प्रमाणित किया गया है।

** सुरक्षा कार्यात्मक आवश्यकताएँ (SFRs) - व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करें जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक SFR यह बता सकता है कि किसी विशेष [[ आरबीएसी ]] भूमिका को निभाने वाला उपयोगकर्ता कैसे [[ प्रमाणीकरण |प्रमाणीकरण]] हो सकता है। SFRs की सूची एक मूल्यांकन से अगले मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड किसी एसएफआर को एसटी में शामिल करने के लिए निर्धारित नहीं करता है, यह निर्भरताओं की पहचान करता है जहां एक फ़ंक्शन का सही संचालन (जैसे कि भूमिकाओं के अनुसार सीमित करने की क्षमता) दूसरे पर निर्भर है (जैसे कि व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता) ).

मूल्यांकन प्रक्रिया उस विश्वास के स्तर को स्थापित करने का भी प्रयास करती है जो [[ गुणवत्ता आश्वासन ]] प्रक्रियाओं के माध्यम से उत्पाद की सुरक्षा सुविधाओं में रखा जा सकता है:

* सुरक्षा आश्वासन आवश्यकताएँ (SARs) - दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का विवरण। उदाहरण के लिए, एक मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को एक परिवर्तन प्रबंधन प्रणाली में रखा जाए, या पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएँ एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशेष लक्ष्य या प्रकार के उत्पादों की आवश्यकताएं क्रमशः एसटी और पीपी में प्रलेखित हैं।

* [[ मूल्यांकन आश्वासन स्तर ]] (ईएएल) - एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग। प्रत्येक EAL सुरक्षा आश्वासन आवश्यकताओं (SARs, ऊपर देखें) के एक पैकेज से मेल खाता है, जो किसी उत्पाद के पूर्ण विकास को एक निश्चित स्तर की कठोरता के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें EAL 1 सबसे बुनियादी (और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और EAL 7 सबसे कठोर (और सबसे महंगा) है। व्यापक रूप से, एक एसटी या पीपी लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा,लेकिन इन पैकेजों में से एक का चयन करेगा, संभवत: कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'संवर्धन' आवश्यकताओं को। उच्च ईएएल जरूरी नहीं कि "बेहतर सुरक्षा" का संकेत देते हैं, उनका मतलब केवल यह है कि टीओई के दावा किए गए सुरक्षा आश्वासन को अधिक व्यापक रूप से सत्यापित किया गया है।

अब तक, अधिकांश पीपी और सबसे अधिक मूल्यांकन किए गए एसटी/प्रमाणित उत्पाद आईटी घटकों (जैसे, फायरवॉल, [[ ऑपरेटिंग सिस्टम ]], स्मार्ट कार्ड) के लिए हैं।

सामान्य मानदंड प्रमाणीकरण कभी-कभी आईटी खरीद के लिए निर्दिष्ट किया जाता है। अन्य मानकों से युक्त, जैसे, इंटरऑपरेशन, सिस्टम प्रबंधन, उपयोगकर्ता प्रशिक्षण, पूरक सीसी और अन्य उत्पाद मानक। उदाहरणों में ISO/IEC 27002 और जर्मन IT आधारभूत सुरक्षा शामिल हैं।

टीओई के भीतर [[ क्रिप्टोग्राफिक ]] कार्यान्वयन का विवरण सीसी के दायरे से बाहर है। इसके बजाय, राष्ट्रीय मानक, जैसे कि [[ FIPS 140-2 ]], क्रिप्टोग्राफ़िक मॉड्यूल के लिए विनिर्देश प्रदान करते हैं, और विभिन्न मानक क्रिप्टोग्राफ़िक एल्गोरिदम को उपयोग में निर्दिष्ट करते हैं।

हाल ही में, पीपी लेखक सीसी मूल्यांकन के लिए क्रिप्टोग्राफ़िक आवश्यकताओं को शामिल कर रहे हैं जो व्यापक रूप से योजना-विशिष्ट व्याख्याओं के माध्यम से सीसी की सीमा को विस्तृत करते हुए FIPS 140-2 मूल्यांकनों द्वारा कवर किए जाएंगे।

इन पहले से मौजूद मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार के लिए कंप्यूटर उत्पाद बेचने वाली कंपनियों (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

सीसी तीन मानकों से उत्पन्न हुआ:

* [[ ITSEC ]] –यूरोपीय मानक, फ्रांस, जर्मनी, नीदरलैंड और यूके द्वारा 1990 के दशक की शुरुआत में विकसित किया गया। यह भी पहले के काम का एक एकीकरण था, जैसे कि दो यूके दृष्टिकोण ([[ जीसीएचक्यू ]] यूके मूल्यांकन योजना जिसका उद्देश्य रक्षा/खुफिया बाजार और [[ व्यापार और उद्योग विभाग (यूनाइटेड किंगडम) ]] ग्रीन बुक वाणिज्यिक उपयोग के उद्देश्य से है), और कुछ अन्य देशों द्वारा अपनाया गया था, उदाहरण: ऑस्ट्रेलिया।

* [[ CTCPEC ]] – कनाडा मानक US DoD मानक का अनुसरण करता है, लेकिन कई समस्याओं से बचा जाता है और संयुक्त रूप से यू.एस. और कनाडा दोनों के मूल्यांकनकर्ताओं द्वारा उपयोग किया जाता है।CTCPEC मानक को पहली बार मई 1993 में प्रकाशित किया गया था।

* TCSEC – यूनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स DoD 5200.28 Std, जिसे ऑरेंज बुक और [[ इंद्रधनुष श्रृंखला ]]़  के कुछ हिस्से कहते हैं। ऑरेंज बुक की उत्पत्ति 1970 के दशक के अंत और 1980 के दशक के प्रारंभ में [[ राष्ट्रीय सुरक्षा एजेंसी ]] राष्ट्रीय मानक ब्यूरो (NBS अंततः NIST बन गई) द्वारा की गई एंडरसन रिपोर्ट सहित कंप्यूटर सुरक्षा कार्य से हुई। ऑरेंज बुक की केंद्रीय थीसिस सुरक्षा तंत्र के एक सेट के लिए डेव बेल और लेन लापादुला द्वारा किए गए कार्य से अनुसरण करती है।

इन पूर्व-मौजूदा मानकों को एकीकृत करके सीसी का उत्पादन किया गया था, मुख्य रूप से ताकि सरकारी बाजार (मुख्य रूप से रक्षा या खुफिया उपयोग के लिए) के लिए कंप्यूटर उत्पादों को बेचने वाली कंपनियों को केवल मानकों के एक सेट के खिलाफ उनका मूल्यांकन करने की आवश्यकता हो। CC को कनाडा, फ्रांस, जर्मनी, नीदरलैंड, यूके और यू.एस. की सरकारों द्वारा विकसित किया गया था।

सभी [[ सामान्य मानदंड परीक्षण प्रयोगशाला ]] को ISO/IEC 17025 का पालन करना चाहिए, और प्रमाणन निकायों को सामान्य रूप से ISO/IEC 17065 के अनुसार अनुमोदित किया जाएगा।

* कनाडा में, कनाडा की मानक परिषद (SCC) प्रयोगशालाओं के प्रत्यायन के लिए कार्यक्रम (PALCAN) के तहत सामान्य मानदंड मूल्यांकन सुविधाएं (CCEF) को मान्यता देती है।

* फ्रांस में {{ill|Comité français d'accréditation|fr}} (COFRAC) सामान्य मानदंड  मानदंड मूल्यांकन सुविधाओं को मान्यता देता है, जिसे व्यापक रूप से {{ill|Centre d'évaluation de la sécurité des technologies de l'information|fr}} (CESTI) कहा जाता है। मूल्यांकन Agence Nationale de la securité des Systemes d'सूचना (ANSSI) द्वारा निर्दिष्ट मानदंडों और मानकों के अनुसार किया जाता है।

* इटली में, [http://www.ocsi.isticom.it/ OCSI (Organismo di Certificazione della Sicurezza Informatica, सामान्य मानदंड मूल्यांकन प्रयोगशालाओं को मान्यता प्रदान करता है।

* भारत में, [[ इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ]] का STQC निदेशालय ईएएल4 के माध्यम से आश्वासन स्तर ईएएल 1 पर आईटी उत्पादों का मूल्यांकन और प्रमाणन करता है।<ref>{{Cite web |last=Indian Common Criteria Certification Scheme |title=इंडियन कॉमन क्राइटेरिया सर्टिफिकेशन स्कीम (IC3S) ओवरव्यू|url=https://www.commoncriteria-india.gov.in/node/2#:~:text=Common%20Criteria%20evaluation%20is%20an,they%20are%20intending%20to%20buy. |access-date=2022-06-01}}</ref>

* ब्रिटेन में युनाइटेड किंगडम प्रत्यायन सेवा (UKAS) [http://www.ukas.org/testing Commercial Evaluation Facility (CLEF)] मान्यता देने के लिए उपयोग की जाती है; 2019 से यूके सीसी इकोसिस्टम में केवल एक उपभोक्ता है।

* अमेरिका में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) [[ राष्ट्रीय स्वैच्छिक प्रयोगशाला प्रत्यायन कार्यक्रम ]] (NVLAP) सामान्य मानदंड परीक्षण प्रयोगशालाओं (CCTL) को मान्यता देता है।

* जर्मनी में बुंडेसम्ट फर सिचेरहाइट इन डेर इंफॉर्मेशनटेक्निक (बीएसआई)

* स्पेन में, [https://oc.ccn.cni.es/index.php?lang=en नेशनल क्रिप्टोलॉजिक सेंटर] (CCN) सामान्य मानदंड [http://oc.ccn.cni.es/index. php?option=com_content&view=article&id=82&Itemid=81&lang=en परीक्षण प्रयोगशालाएं] स्पेनिश योजना में काम कर रही हैं।

* नीदरलैंड में, [http://www.tuv-nederland.nl/nl/17/common_criteria.html नीदरलैंड स्कीम फॉर सर्टिफिकेशन इन द एरिया ऑफ आईटी सिक्योरिटी] (NSCIB) IT सिक्योरिटी इवैल्यूएशन फैसिलिटीज (ITSEF) को मान्यता देती है।

*स्वीडन में [https://fmv.se/en/Our-activities/CSEC---The-Swedish-Certification-Body-for-IT-Security/ स्वीडिश सर्टिफिकेशन बॉडी फॉर IT सिक्योरिटी] (CSEC) IT को सुरक्षा मूल्यांकन सुविधाएं (आईटीएसईएफ) का लाइसेंस दिया है।

साथ ही साथ सामान्य मानदंड मानक, एक उप-संधि स्तर सामान्य मानदंड एमआरए (पारस्परिक मान्यता व्यवस्था) भी है, जिससे प्रत्येक पक्ष अन्य पक्षों द्वारा किए गए सामान्य मानदंड मानक के विरुद्ध मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका द्वारा हस्ताक्षर किए गए, ऑस्ट्रेलिया और न्यूजीलैंड 1999 में शामिल हुए, उसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन शामिल हुए। कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) का नाम बदला गया और [https://web.archive.org/web/20080822030243/http://www.commoncriteriaportal.org/members.html सदस्यता का विस्तार जारी है]।CCRA के भीतर केवल EAL 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है (दोष निवारण के साथ वृद्धि सहित)। SOGIS-MRA के भीतर यूरोपीय देश आमतौर पर उच्च ईएएल को भी पहचानते हैं। EAL5 और इसके बाद के संस्करण के मूल्यांकन में मेजबान राष्ट्र की सरकार की सुरक्षा आवश्यकताओं को शामिल करने की प्रवृत्ति होती है।

सितंबर 2012 में, CCRA के अधिकांश सदस्यों ने एक विजन स्टेटमेंट तैयार किया, जिसके तहत CC मूल्यांकन किए गए उत्पादों की पारस्परिक मान्यता को EAL 2 (दोष निवारण के साथ वृद्धि सहित) तक कम किया जाएगा। इसके अलावा, यह दृष्टिकोण आश्वासन स्तर से पूरी तरह से दूर जाने का संकेत देता है और मूल्यांकन सुरक्षा प्रोफाइल के अनुरूप होने तक ही सीमित रहेगा, जिसका कोई आश्वासन स्तर नहीं है। यह दुनिया भर में पीपी विकसित करने वाले तकनीकी कार्य समूहों के माध्यम से हासिल किया जाएगा, और अभी तक संक्रमण अवधि पूरी तरह से निर्धारित नहीं की गई है।

2 जुलाई 2014 को एक [http://www.commoncriteriaportal.org/files/CCRA%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf new CCRA] की पुष्टि की गई लक्ष्य [http://www.commoncriteriaportal.org/files/ccfiles/2012-09-001_Vision_statement_of_the_CC_and_the_CCRAv2.pdf 2012 विजन स्टेटमेंट] में बताए गए हैं। व्यवस्था में प्रमुख परिवर्तनों में शामिल हैं:

* केवल एक सहयोगी सुरक्षा प्रोफ़ाइल (cPP) या मूल्यांकन आश्वासन स्तर 1 से 2 और ALC_FLR के खिलाफ मूल्यांकन की मान्यता।

* अंतर्राष्ट्रीय तकनीकी समुदायों (आईटीसी) का उद्भव, तकनीकी विशेषज्ञों के समूह को सीपीपी के निर्माण का प्रभार दिया गया।

* व्यवस्था के पिछले संस्करण के तहत जारी प्रमाणपत्रों की मान्यता सहित पिछले सीसीआरए से एक परिवर्तन योजना।

सामान्य मानदंड बहुत ही सामान्य है; यह विशिष्ट (श्रेणियों के) उत्पादों के लिए उत्पाद सुरक्षा आवश्यकताओं या सुविधाओं की एक सूची सीधे प्रदान नहीं करता है: यह ITSEC द्वारा अपनाए गए दृष्टिकोण का अनुसरण करता है, लेकिन उन लोगों के लिए बहस का एक स्रोत रहा है जो पहले के अन्य मानकों के अधिक निर्देशात्मक दृष्टिकोण के लिए उपयोग किए जाते हैं जैसे कि टीसीएसईसी और [[ एफआईपीएस 140 ]]-2।