ACME 生产的产品用于一些对安全敏感的应用程序。本产品领域没有特定的安全法规或行业标准。ACME 的业务部门声称“我们比我们的竞争对手安全 150%”。如果索赔得到某种独立评估的支持,ACME 的客户会更倾向于相信这一点。如果这样的独立评估确实验证了 ACME 产品的安全性,ACME 的道德部门将不胜感激。
似乎答案是让 ACME 的产品通过某种形式的认证,最明显的候选者是通用标准认证。这看起来是一个令人生畏的过程。甚至没有现有的保护配置文件可供使用,而且 CC 认证在产品版本最终确定和可以发布的时间之间引入了很大的延迟。CC 似乎也验证了方法而不是安全性。这些对CC的一些不知情的意见是成立的吗?CC有替代品吗?
法国政府最近推出了“一级安全认证”(CSPN),它基于比 CC 更轻的方法:粗略地说,政府批准的评估者花费预定数量的人工天数进行灰盒攻击就PP而言。这似乎是一个理想的解决方案,除了 CSPN 在法国以外完全未知。有没有更国际认可的类似于CSPN的认证?
我是 CGI Canada 的 CC 评估员。希望我能回答你的一些问题。
我不完全确定 CC 是最明显的选择。通用标准——至少对于加拿大计划而言——不能简单地购买(这在其他司法管辖区可能有所不同,但我认为法国是相似的)。该产品必须支持 Cdn gov't 的安全态势。这意味着,如果类似的产品没有在 Cdn 政府、关键基础设施和相关服务中使用,并且不被视为将要实施的少数新兴技术之一,那么您不太可能甚至启动一个CC程序。
话虽如此,让我们假设您有一个可以进入 CC 程序的产品。没有规定必须在 CC 程序开始之前完成产品的最终确定。仅规定产品在评估过程中不改变规格。开发人员在进行评估时积极构建产品是完全常见的。这种即时评估方法非常有效且受欢迎。
至于 CC 更多地关注方法而不是实际的“安全性”,请记住,信息安全不仅仅是渗透测试。这是对作为产品生命周期一部分的所有租户的全面检查。这包括开发环境的物理和逻辑安全、供应链安全、人力资源招聘实践、开发方法,以及对产品本身的明显安全评估,包括对设计、架构、功能规范的深刻理解,以及 - 在某些情况下-- 源代码审查。
在这方面,CC 与其他评价类似。看看 PCI-DSS(信用卡处理):他们也有物理安全、开发流程、人力资源招聘等。
我了解您想脱颖而出,并且您可能更感兴趣某些其他评估,例如基于行业的认证(几乎每个行业都有),公认的渗透测试(如果您认为这是您的弱点) ),甚至是独立的源代码审查。