Варианты общих критериев - PullRequest
Новая
       4

Варианты общих критериев

2 голосов
/ 17 июня 2009

Есть несколько критиков в отношении международных Общих критериев, таких как [Под атаками]. 1

Каковы, на ваш взгляд, плюсы и минусы разработки ИТ-продуктов с помощью CC?

1 Ответ

2 голосов
/ 28 июля 2009

Я - оценщик Common Criteria для схем BSI (Германия) и NIAPP (США). У меня был небольшой опыт, но я думаю, что достаточно квалифицирован, чтобы ответить на этот вопрос.

Плюсы:

  1. Первый и главный плюс для развития с CC - возможность иметь дело с правительством США. Я умираю внутри каждый раз, когда говорю это кому-то, потому что я действительно хотел бы, чтобы главной причиной была безопасность. Но увы ...
  2. Во-вторых, это чрезвычайно повышает качество вашей проектной документации, потому что большая часть CC вращается вокруг анализа документации, и требуются хорошие документы. Найдите хорошую лабораторию, и они могут сделать все это для вас.
  3. Он сообщит вам о вопросах безопасности, о которых вы никогда не задумывались, например, как клиент узнает, что продукт, который я отправил ему, действительно от меня, а не от кого-то, кто меня выдает?
  4. Наконец, к сожалению, это улучшит техническую безопасность продукта. Получите хорошую лабораторию, и вы получите очень надежный защищенный продукт и сертификацию. Получите плохой, и вы просто уйдете с сертификацией.

Минусы:

  1. Чрезвычайно дорого. Если у вас нет достаточно глубоких сундуков, чтобы поглотить удар в сотни тысяч долларов, вы не готовы к CC. Однако, если у вас есть намерение работать с федеральным правительством, вы можете заставить их заплатить, если им действительно нравится ваш продукт.
  2. Чрезвычайно много времени. Наши оценки длятся 9-16 месяцев, в зависимости от сложности продукта и уровня гарантии оценки. Чтобы дать вам представление, общий дистрибутив Linux на EAL 4 может занять целый год.
  3. Сертификат распространяется только на точный номер версии вашего продукта. Сделайте обновление и сертификат недействителен. (Тем не менее, ответственный за реквизицию в Министерстве обороны должен принять исправленный продукт, поэтому не вся надежда потеряна.
  4. Это ценность почти ничего не стоит за пределами федерального рынка.
  5. В зависимости от выбранной схемы вы будете сталкиваться с определенными видами политики, нехваткой ресурсов и дополнительными требованиями. Лучше всего найти хорошую лабораторию, которая поможет вам во всем.

Обратите внимание, что я даю вам плюсы и минусы с точки зрения разработчика. Существуют разные аргументы за и против, когда речь идет о технически, как критерии установлены и какова их эффективность.

...