सूचना प्रौद्योगिकी सुरक्षा मूल्यांकन के लिए सामान्य मानदंड (सामान्य मानदंड या सीसी के रूप में संक्षिप्त) कंप्यूटर सुरक्षा प्रमाणन के लिए एक अंतरराष्ट्रीय मानक (आईएसओ/आईईसी 15408) है। यह वर्तमान में संस्करण 3.1 में है। इस ढांचे में, कंप्यूटर सिस्टम उपयोगकर्ता अपनी सुरक्षा कार्यात्मक और आश्वासन आवश्यकताओं को निर्दिष्ट (Specified) कर सकते हैं, विक्रेता तब लागू कर सकते हैं और/या अपने उत्पादों की सुरक्षा विशेषताओं के बारे में दावा कर सकते हैं, और परीक्षण प्रयोगशालाएं यह निर्धारित करने के लिए उत्पादों का मूल्यांकन कर सकती हैं कि क्या वे वास्तव में दावों को पूरा करते हैं। दूसरे शब्दों में, सामान्य मानदंड यह आश्वासन प्रदान करता है कि कंप्यूटर सुरक्षा उत्पाद के विनिर्देशन (Specification), कार्यान्वयन और मूल्यांकन की प्रक्रिया को कठोर और मानक तरीके से संचालित किया गया है।
सुरक्षा आवश्यकताओं के एक परिभाषित सेट को संतुष्ट करने वाले आईटी उत्पाद या सिस्टम के मूल्यांकन के लिए सामान्य मानदंड लागू किए जा सकते हैं।
TOE,मूल्यांकन के लक्ष्य के लिए खड़ा है। यह उत्पाद या प्रणाली है जो मूल्यांकन के अधीन है।
पीपी एक दस्तावेज है, जो आम तौर पर एक उपयोगकर्ता या उपयोगकर्ता समुदाय द्वारा बनाया जाता है, जो किसी विशेष उद्देश्य के लिए उस उपयोगकर्ता के लिए प्रासंगिक (Relevant) सुरक्षा उपकरणों के एक वर्ग के लिए सुरक्षा आवश्यकताओं की पहचान करता है। उत्पाद विक्रेता उन उत्पादों को लागू करना चुन सकते हैं जो एक या अधिक पीपी का अनुपालन (compliance) करते हैं, और उन पीपी के खिलाफ उनके उत्पादों का मूल्यांकन किया जाता है। ऐसे मामले में, पीपी उत्पाद के सुरक्षा लक्ष्य (एसटी) के लिए एक टेम्पलेट के रूप में काम कर सकता है, या एसटी के लेखक कम से कम यह सुनिश्चित करेंगे कि प्रासंगिक पीपी में सभी आवश्यकताएं लक्ष्य के एसटी दस्तावेज़ में भी दिखाई दें। विशेष प्रकार के उत्पादों की तलाश करने वाले ग्राहक पीपी के खिलाफ प्रमाणित उत्पादों पर ध्यान केंद्रित कर सकते हैं जो उनकी आवश्यकताओं को पूरा करते हैं।
सुरक्षा लक्ष्य (एसटी) एक दस्तावेज है जो मूल्यांकन के लक्ष्य (टीओई) के सुरक्षा गुणों की पहचान करता है। यह एक या अधिक पीपी को संदर्भित (referenced) कर सकता है। TOE का मूल्यांकन उसके ST में स्थापित सुरक्षा कार्यात्मक आवश्यकताओं (SFRs) के विरुद्ध किया जाता है, न अधिक और न ही कम। यह विक्रेताओं को अपने उत्पाद की इच्छित क्षमताओं से सटीक रूप से मेल खाने के लिए मूल्यांकन को तैयार करने की अनुमति देता है। इसका मतलब यह है कि एक नेटवर्क फ़ायरवॉल को ऑपरेटिंग सिस्टम के समान कार्यात्मक आवश्यकताओं को पूरा नहीं करना पड़ता है, और वास्तव में अलग-अलग फ़ायरवॉल का मूल्यांकन पूरी तरह से अलग-अलग आवश्यकताओं की सूची के विरुद्ध किया जा सकता है। एसटी आमतौर पर प्रकाशित किया जाता है ताकि संभावित ग्राहक मूल्यांकन द्वारा प्रमाणित विशिष्ट सुरक्षा सुविधाओं का निर्धारण कर सकें। सुरक्षा कार्यात्मक आवश्यकताएँ क्या हैं?
सुरक्षा कार्यात्मक आवश्यकताएं (एसएफआर) व्यक्तिगत सुरक्षा कार्यों को निर्दिष्ट करती हैं जो किसी उत्पाद द्वारा प्रदान की जा सकती हैं। सामान्य मानदंड ऐसे कार्यों की एक मानक सूची प्रस्तुत करता है। उदाहरण के लिए, एक एसएफआर बता सकता है कि किसी विशेष भूमिका निभाने वाले उपयोगकर्ता को कैसे प्रमाणित किया जा सकता है। एसएफआर की सूची एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती है, भले ही दो लक्ष्य एक ही प्रकार के उत्पाद हों। हालांकि सामान्य मानदंड एसटी में शामिल होने के लिए किसी भी एसएफआर को निर्धारित नहीं करता है, यह उन निर्भरताओं की पहचान करता है जहां एक फ़ंक्शन का सही संचालन (जैसे भूमिकाओं के अनुसार पहुंच को सीमित करने की क्षमता) दूसरे पर निर्भर है (जैसे व्यक्तिगत भूमिकाओं की पहचान करने की क्षमता )
सुरक्षा आश्वासन आवश्यकताएं दावा की गई सुरक्षा कार्यक्षमता के अनुपालन को सुनिश्चित करने के लिए उत्पाद के विकास और मूल्यांकन के दौरान किए गए उपायों का वर्णन करती हैं। उदाहरण के लिए, एक मूल्यांकन के लिए आवश्यक हो सकता है कि सभी स्रोत कोड को परिवर्तन प्रबंधन प्रणाली में रखा जाए, या कि पूर्ण कार्यात्मक परीक्षण किया जाए। सामान्य मानदंड इनकी एक सूची प्रदान करता है, और आवश्यकताएं एक मूल्यांकन से दूसरे मूल्यांकन में भिन्न हो सकती हैं। विशिष्ट लक्ष्यों या उत्पादों के प्रकार की आवश्यकताओं को सुरक्षा लक्ष्य (ST) और सुरक्षा प्रोफ़ाइल (PP) में प्रलेखित (documented) किया गया है।
मूल्यांकन आश्वासन स्तर (ईएएल) एक मूल्यांकन की गहराई और कठोरता का वर्णन करने वाली संख्यात्मक रेटिंग है। प्रत्येक ईएएल सुरक्षा आश्वासन आवश्यकताओं (एसएआर) के पैकेज से मेल खाता है जो किसी उत्पाद के पूर्ण विकास को सख्ती के दिए गए स्तर के साथ कवर करता है। सामान्य मानदंड सात स्तरों को सूचीबद्ध करता है, जिसमें ईएएल 1 सबसे बुनियादी (और इसलिए लागू करने और मूल्यांकन करने के लिए सबसे सस्ता) है और ईएएल 7 सबसे कठोर (और सबसे महंगा) है। आम तौर पर, एक सुरक्षा लक्ष्य (एसटी) या सुरक्षा प्रोफ़ाइल (पीपी) लेखक व्यक्तिगत रूप से आश्वासन आवश्यकताओं का चयन नहीं करेगा, लेकिन इनमें से किसी एक पैकेज का चयन करेगा, संभवतः कुछ क्षेत्रों में उच्च स्तर की आवश्यकताओं के साथ 'बढ़ाने' की आवश्यकताएं। उच्च ईएएल अनिवार्य रूप से "बेहतर सुरक्षा" का संकेत नहीं देते हैं, उनका मतलब केवल यह है कि टीओई का दावा किया गया सुरक्षा आश्वासन अधिक व्यापक रूप से सत्यापित (verified) किया गया है।
भाग लेने वाले देशों के बीच एक सामान्य मानदंड पारस्परिक मान्यता व्यवस्था (सीसीएमआरए) है, जिसके तहत प्रत्येक देश अन्य देशों द्वारा किए गए सामान्य मानदंड मानक के खिलाफ मूल्यांकन को मान्यता देता है। मूल रूप से 1998 में कनाडा, फ्रांस, जर्मनी, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका, ऑस्ट्रेलिया और न्यूजीलैंड द्वारा हस्ताक्षरित 1999 में शामिल हुए, इसके बाद 2000 में फिनलैंड, ग्रीस, इज़राइल, इटली, नीदरलैंड, नॉर्वे और स्पेन शामिल हुए। तब से यह व्यवस्था की गई है। सामान्य मानदंड मान्यता व्यवस्था (सीसीआरए) का नाम बदला और सदस्यता का विस्तार जारी है। सीसीआरए के भीतर केवल ईएएल 2 तक के मूल्यांकनों को परस्पर मान्यता दी जाती है (दोष निवारण के साथ वृद्धि सहित)। पूर्व ITSEC समझौते के भीतर यूरोपीय देश आमतौर पर उच्च EALs को भी पहचानते हैं। EAL3 और उससे ऊपर के मूल्यांकन में मेजबान देश की सरकार की सुरक्षा आवश्यकताओं को शामिल किया जाता है।
