Common Criteria (CC)

Common Criteria (CC) adalah standar internasional (ISO/IEC 15408) untuk mengevaluasi produk keamanan teknologi informasi. Standar ini menyediakan pedoman dan spesifikasi untuk memastikan bahwa produk-produk tersebut memenuhi standar keamanan yang diakui, terutama untuk lingkungan pemerintahan dan keamanan tinggi lainnya.

Dikembangkan pada akhir 1990-an, Common Criteria secara resmi diberi nama Common Criteria for Information Technology Security Evaluation.

Komponen utama Common Criteria

Standar Common Criteria terdiri dari dua komponen utama:

  • Protection Profiles. Protection Profile mendefinisikan serangkaian persyaratan keamanan yang disesuaikan untuk kategori produk tertentu, seperti firewall, modul enkripsi, atau sistem autentikasi. Protection Profile memastikan bahwa produk yang dievaluasi untuk tujuan yang sama memenuhi ekspektasi keamanan yang konsisten serta sesuai dengan standar industri dan pemerintah.
  • Evaluation Assurance Levels. EAL mengukur kedalaman dan ketelitian evaluasi produk. EAL berkisar dari EAL1 hingga EAL7. EAL1 mewakili tingkat keamanan dasar, sedangkan EAL7 menunjukkan evaluasi yang sangat mendalam tetapi tidak menjamin bahwa produk tersebut lebih aman secara inheren.

Proses sertifikasi Common Criteria

Untuk mengajukan produk agar mendapatkan sertifikasi Common Criteria, vendor harus mengikuti beberapa langkah:

  1. Penyusunan Security Target. Vendor menyiapkan Security Target, sebuah dokumen yang merinci fungsi keamanan, kemampuan, dan lingkungan operasional produk. ST juga menetapkan Protection Profile dan tingkat EAL yang ditargetkan.
  2. Evaluasi laboratorium. Setelah Security Target selesai, laboratorium pengujian independen yang terakreditasi oleh Common Criteria Recognition Arrangement (CCRA) mengevaluasi produk. Laboratorium ini meninjau produk sesuai standar dalam Protection Profile yang dipilih dan tingkat EAL, serta menguji produk terhadap ancaman keamanan potensial.
  3. Penerbitan sertifikasi. Setelah evaluasi berhasil, produk mendapatkan sertifikasi Common Criteria, yang memberikan kepastian kepada pelanggan bahwa klaim keamanan produk telah diverifikasi secara independen.

Perjanjian Pengakuan Common Criteria (CCRA)

CCRA adalah perjanjian internasional yang memfasilitasi pengakuan global terhadap produk bersertifikat Common Criteria. Negara anggota menyepakati pengakuan sertifikasi hingga EAL2, yang memungkinkan vendor produk mendapatkan sertifikasi yang diterima secara internasional tanpa harus menjalani evaluasi terpisah di setiap negara.

Saat ini, lebih dari 30 negara, termasuk Amerika Serikat, Kanada, Inggris, dan Jerman, berpartisipasi dalam CCRA, menjadikannya standar global untuk sertifikasi produk keamanan.

Kelebihan dan keterbatasan Common Criteria

Meskipun kerangka kerja Common Criteria memiliki banyak kelebihan, terdapat pula beberapa keterbatasan.

Kelebihan

  • Pengakuan internasional. Sertifikasi Common Criteria diakui oleh pemerintah dan organisasi di seluruh dunia, mengurangi kebutuhan akan sertifikasi ganda di berbagai negara.
  • Konsistensi dalam standar keamanan. Dengan menggunakan Protection Profiles, Common Criteria menstandarisasi ekspektasi keamanan, memastikan keseragaman keamanan produk dalam kategori yang sama.
  • Validasi independen. Sertifikasi memberikan penilaian yang netral dari vendor, menawarkan pelanggan validasi yang tidak bias terhadap fitur keamanan produk.

Keterbatasan

  • Biaya dan waktu yang tinggi. Memperoleh sertifikasi, terutama di tingkat EAL yang lebih tinggi, adalah proses yang mahal dan memakan waktu, sehingga sulit diakses oleh perusahaan kecil.
  • Kesalahpahaman tentang tingkat EAL. Menganggap bahwa tingkat EAL yang lebih tinggi menjamin keamanan lebih baik adalah keliru, karena EAL hanya menunjukkan tingkat ketelitian evaluasi, bukan tingkat keamanan produk.
  • Tantangan dalam pembaruan. Sertifikasi didasarkan pada produk saat dievaluasi. Oleh karena itu, pembaruan atau patch di masa mendatang mungkin tidak secara otomatis mempertahankan sertifikasi asli dan memerlukan evaluasi ulang dalam beberapa kasus.

Pentingnya Common Criteria dalam keamanan siber

Di era ancaman keamanan siber yang semakin kompleks, Common Criteria tetap menjadi komponen penting dalam membangun kepercayaan terhadap produk keamanan TI. Seiring berkembangnya ancaman keamanan, pendekatan yang distandarisasi dalam evaluasi produk keamanan menjadi sangat penting bagi sektor pemerintahan dan komersial.

Dengan dukungan berkelanjutan dari negara anggota dan pembaruan terhadap standar yang ada, Common Criteria terus berkembang untuk menghadapi tantangan keamanan baru, menjadikannya relevan bagi produk keamanan generasi berikutnya, termasuk dalam keamanan cloud, AI, dan teknologi IoT.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *