Common Criteria

Common criteria adalah salah satu standarisasi internasional (ISO/IEC 15408) untuk sertifikasi komputer security. Saat ini yang berlaku adalah versi 3.1 revisi ke-5.

Common criteria adalah sebuah framework dimana para pengguna sistem komputer, dapat melakukan spesifikasi terhadap “security functional dan security requirements (SFRs dan SARs). Kedua hal ini ter cermin dalam istilah “Security Target (ST), dan merupakan bagian dari “Protection Profile (ST)”. Para vendor product kemudian bisa melakukan claim terhadap produknya melalui serangkain atribut security pada produknya, dan serangkain testing LAB dapat digunakan untuk melakukan evaluasi terhadap produknya, untuk menentukan bahwa produk tersebut benar-benar sesuai dengan claim yang dibuat tersebut.

Dengan kata lain “Common Criteria” menyediakan suatu “Assurance” dimana proses spesifikasi, implementasi, dan evaluasi dari suatu produk komputer security telah dilakukan dengan cara cermat dan standard serta dapat diulang pada level yang sepadan/ sesuai dengan lingkungan dimana produk komputer security tersebut akan digunakan.

Common criteria memastikan dan mempertahankan (maintain) daftar dari produk-produk yang tersertifikasi, termasuk sistem operasi (OS), access control system, databases, dan Key Management System.

Key Concept :

Proses evaluasi common criteria dilakukan pada produk komputer security dan sistem.

• Target of Evaluation (TOE) adalah produk atau sistem yang menjadi target dari evaluasi. Evaluasi ini digunakan untuk mem validasi claim yang dibuat oleh produk atau sistem tersebut. Evaluasi tersebut meliputi proses berikut :

1. Protection Profile (PP) : adalah sebuat dokumen, biasanya dibuat oleh pengguna atau komunitas pengguna, yang mana dokument tersebut digunakan untuk mengidentifikasi “security requirement” untuk suatu produk security (contohnya : smartcard, firewall, etc).
2. Security Target (ST) : adalah dokumen yang digunakan untuk mengidentifikasi “security properties” dari produk/ sistem yang dievaluasi. Security Target merupakan claim terhadap salah satu atau lebih dari Protection profile. Target of evaluation (TOE) dievaluasi apakah sesuai dengan SFR, dimana hal ini tercantum dalam Security Target.
3. Security Functional Requirement (SFRs) : Merupakan spesifikasi dari “individual security function”, dimana hal ini merupakan fungsi-fungsi yang diberikan oleh produk/ sistem. Common Criteria menyediakan katalog standard mengenai fungsi-fungsi tersebut.
4. Security Assurance Requirements (SARs) : merupakan deskripsi yang dilakukan untuk melakukan pengukuran dalam proses evaluasi terhadap produk/sistem dan memastikan comply dengan claim terhadap “security functionality”.
5. Evaluation Assurance Level (EAL) : Angka yang digunakan untuk melakukan rangking terhadap seberapa detil dan dalam prose evaluasi :

Demikian tulisan mengenai Common criteria, semoga membantu teman-teman semua untuk memahami nya.

Ref :

• https://en.wikipedia.org/wiki/Common_Criteria
• https://www.cm-alliance.com/cissp/trusted-computing-base/-tcec-itsec-and-common-criteria