"Common Criteria for Information Technology Security Evaluation" ( CC) ist die Weiterentwicklung von Information Technology Security Evaluation Criteria ( ITSEC), der Trusted Computer Security Evaluation Criteria ( TCSEC) der USA und der kanadischen Canadian Trusted Computer Product Evaluation Criteria ( CTCPEC). Es handelt sich um weltweit anerkannte Sicherheitsstandards für die Bewertung und Zertifizierung informationstechnischer Systeme.
Die Common-Criteria-Zertifizierung wurde 1998 von den Regierungsstellen in den USA, Kanada, Deutschland, Großbritannien und Frankreich begründet und bereits von mehreren anderen Ländern übernommen. Dabei hat das Bundesamt für Sicherheit in der Informationstechnik ( BSI) bei der Entwicklung der Common Criteria eine aktive Rolle übernommen. Die Common Criteria wurden von der NIST veröffentlicht und sind international von der internationalen Standardisierungs-Organisation ( ISO) standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen von IT-Produkten.
.png)
In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit.
.png)
Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben sogenannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und Test des IT-Equipments.