La transition de Common Criteria (CC) 3.1 Release 5 (R5) vers CC:2022 marque un tournant dans le paysage de la certification de sécurité informatique. Nous présentons ici les 10 principales choses que vous devez savoir sur ce changement important :
1. Introduction d'un nouveau cadre (partie 4)
CC:2022 introduit la partie 4, un nouvel ajout qui se concentre sur les méthodes et activités d'évaluation. Cette section innovante garantit une approche structurée de l'évaluation des technologies émergentes, offrant une réponse robuste aux menaces de sécurité en constante évolution.
2. Paquets d'assurance améliorés (partie 5)
La partie 5 inclut désormais les niveaux d’assurance d’évaluation (EAL) et les packages d’assurance des composants (CAP) de CCV3.1R5, ainsi que de nouveaux packages d’assurance, offrant des options plus personnalisées pour des technologies ou des contextes de sécurité spécifiques.
3. Adoption d'une conformité exacte et stricte
La norme CC:2022 adopte des types de conformité exacts et stricts. La conformité exacte impose le respect strict de toutes les exigences décrites dans un profil de protection (PP), tandis que la conformité stricte permet une certaine flexibilité pour des éléments supplémentaires dans une cible de sécurité (ST), garantissant ainsi une couverture complète.
4. Justification directe PP/ST remplaçant PP/ST à faible assurance
L'émergence de PP/ST à justification directe remplace le PP/ST obsolète à faible niveau de garantie, simplifiant ainsi le processus de certification. Ce changement garantit que la définition du problème de sécurité (SPD) dans la ST s'aligne directement sur les exigences fonctionnelles de sécurité (SFR), améliorant ainsi la clarté et la cohérence.
5. Évaluations d'assurance simples ou multiples
La norme CC:2022 introduit des évaluations multi-assurances en plus de l'assurance simple. Cette innovation permet d'évaluer différents composants de produits sous différents niveaux d'assurance, répondant ainsi aux divers besoins de sécurité des produits modernes.
6. Méthodes d'évaluation des produits distingués
La norme distingue désormais les évaluations de produits composées et composites. Les évaluations composées évaluent les composants individuels de manière indépendante, tandis que les évaluations composites se concentrent sur l'intégration et la fonctionnalité collective de divers composants, garantissant ainsi une évaluation complète.
7. Introduction de nouvelles exigences fonctionnelles et d'assurance
De nouvelles exigences fonctionnelles de sécurité (SFR) et exigences d’assurance de sécurité (SAR) sont ajoutées pour mieux répondre aux besoins de sécurité actuels et aux avancées technologiques.
8. Méthodes et activités d'évaluation standardisées
La partie 4 fournit des lignes directrices pour les méthodes et activités d’évaluation standardisées, garantissant une évaluation cohérente et complète de types ou de technologies spécifiques de technologie en cours d’évaluation (TOE) .
9. Mises à jour de la méthodologie commune d'évaluation (CEM)
Le CEM a été mis à jour pour s'aligner sur les normes CC:2022, y compris de nouvelles directives pour les évaluations jusqu'à EAL6, tenant compte des exigences révisées.
10. Accent accru sur l'assurance des produits composites
La norme CC:2022 accorde une plus grande importance à l'assurance des produits composites, en introduisant de nouvelles familles de SAR pour les évaluations de produits composites. Cela comprend des exigences pour l'évaluation de la cohérence, de la conformité de la conception, de l'intégration, des tests fonctionnels et de l'évaluation de la vulnérabilité des produits composites.
