Ortak Kriterler, Kanada, Fransa, Hollanda, İngiltere, Almanya ve Amerika Birleşik Devletleri´ nin ulusal güvenlik organizasyonları ve standartlar enstitüleri ile birlikte ortak bir çalışma sonucunda hazırlanmıştır ve bu ülkelerde kullanılan güvenlik değerlendirme kriterlerinin yerine kullanılması amaçlanmıştır.
Ulusal organizasyonlar, Uluslararası Standartlar Örgütü (ISO) ile birlikte çalışarak Ortak Kriterlerin biçimsel bir standart haline getirilmesini sağlamıştır. Sonuç olarak Ortak Kriterlerin 2.1 sürümü ISO tarafından ISO 15408 olarak kabul edilmiştir. ISO´nun Ortak Kriterleri kabul etmesiyle bu standart dünyada güvenlik spesifikasyonları ve değerlendirmelerinde yaygın olarak kullanılmaya başlanmıştır.
Ortak Kriterler standardının bütün dünyada kabul görmesi ve değerlendirme sonuçlarının birçok ülkede geçerli olması birçok ilgili tarafa yarar sağlamaktadır;
§ Müşteriler daha fazla değerlendirilmiş ürün arasından tercih yapabilmektedir,
§ Müşteri ihtiyaçları daha iyi anlaşılabilmektedir,
§ Geliştiriciler daha geniş pazarlara ulaşabilmektedir.
Sertifikalı/değerlendirilmiş ürünler hakkında bilgi ülkelerin değerlendirme yapılarının web sayfalarından veya bu yapıların çıkartmış olduğu yayınlardan alınabilir.
Bu ürünler arasından seçim yapılırken dikkat edilmesi gereken nokta değerlendirilmiş ürün sürümü ile kullanılan sürümün aynı olmasıdır. Bir diğer önemli nokta ise ürünün kullanılacağı ortamın, değerlendirildiği ortam ile tutarlı olduğunun kontrol edilmesidir.
Değerlendirme sonuçlarının sertifikasyonu, belirlenen tehditler için güvenlik ölçütlerinin yeterli olduğu ve bu ölçütlerin doğru olarak üründe uygulandığı konusunda temel bir garanti sağlamaktadır. Fakat bu sonuçların sertifikasyonunun ürünün güvenlik alanında kesin bir garanti sağladığı anlamına gelmediği unutulmamalıdır. Çünkü güvenlik her zaman bulunulan ortam için bir tehdit kümesi ve kabullenmelerle birlikte ele alınmalıdır. Ortak Kriterler bir ürünün veya sistemin sağlamış olduğu güvenliği ölçekleyerek müşterinin kullandığı ürünün garanti seviyesini bilmesini sağlamaktadır.
Ortak Kriterler Değerlendirme Garanti Seviyeleri aracılığıyla ürünlerin güvenlik garantilerinin farklı seviyelerde değerlendirilmesini sağlamaktadır. Ne seviyede güvenliğe ihtiyaç duyulduğuna kullanıcılar korumaları gereken varlıkların değerini, tehdit ortamını ve kullanacakları bütçeyi dikkate alarak karar vermek durumundadırlar.
Uluslararası tanınan sertifikalar veren bir değerlendirme yapısı altında gerçekleştirilen bir değerlendirme, akredite olmuş bir kalite sisteminde, bağımsız ve tecrübeli değerlendiriciler tarafından gerçekleştirilmiş demektir.
Ortak Kriterler modeli değerlendirme ve sertifikasyon işlerini ve bu işleri yapacak kişilerin rollerini ve sorumluluklarını birbirinden ayırmaktadır. Sertifikalar ulusal yapılar tarafından, bağımsız test laboratuarlarının sonuçları temel alınarak verilir. Test laboratuarları genelde ISO 17025 akreditasyonu almış bağımsız kuruluşlardır ve ortak kriter testleri yapabilmek için ulusal yapının sertifikasyon kurumundan lisans almışlardır.
Çoğu zaman ortak kriter değerlendirmelerine ihtiyaç, yetkili bir otoritenin isteği doğrultusunda ortaya çıkmaktadır. Bu yetkili otoriteye akreditor veya akreditasyon otoritesi adı verilmektedir. Akreditorler bazı durumlarda bir sistemin fonksiyonel ve garanti gereksinimlerinin belirlenmesinde de etkili olabilmektedirler.
Akreditorler, farklı Değerlendirme Garanti Seviyelerinin veya garanti paketlerinin, bir BT sisteminin kritik güvenlikli fonksiyonlarına uygulandığında, riskin azaltılması için hedef ölçütleri olarak nasıl kullanılabileceğini bilmelidirler. Bu durumda akreditörler Ortak Kriterlerin üçüncü bölümü konusunda bilgi sahibi olmalıdırlar.
Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır.
Bölüm 1, Giriş ve Genel Model, Ortak kriterlere giriş niteliğindedir. Bu bölüm BT güvenlik değerlendirmelerinin temel konsept ve prensiplerini tanımlar niteliktedir ve genel bir değerlendirme modeli sunmaktadır. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT güvenlik gereksinimlerinin seçilmesi ve tanımlanması, ve ürünlerin veya sistemlerin üst düzey spesifikasyonlarının yazılması konusunda bilgiler içermektedir. Ayrıca standardın bütün bölümlerinin bütün potansiyel kullanıcılar için nasıl kullanılacağı bu bölümde tanımlanmaktadır.
Bölüm 2, Güvenlik Fonksiyonel Gereksinimleri, değerlendirme hedefinin güvenlik fonksiyonel gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik fonksiyonel bileşenleri kümesi bu bölümde listelenmektedir. Standardın ikinci bölümü fonksiyonel bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır.
Bölüm 3, Güvenlik Garanti Gereksinimleri, değerlendirme hedefinin güvenlik garanti gereksinimlerinin standart bir dille anlatılabilmesini sağlamak için tanımlanmış olan güvenlik garanti bileşenleri kümesi bu bölümde listelenmektedir. Standardın üçüncü bölümü garanti bileşenlerini, ailelerini ve sınıflarını kataloglar halinde tanımlamaktadır. Bu bölüm aynı zamanda Koruma Profillerinin ve Güvenlik Hedeflerinin değerlendirme kriterlerini ve değerlendirme garanti seviyelerini oluşturan garanti bileşenlerini de içermektedir.
Ortak kriterlerin bu üç bölümünün desteklenmesi açısından teknik gerekçeleri ve kılavuz dokümanlarını da içeren birçok doküman yayınlanmıştır.
Ortak Kriterler genelde aşağıdaki durumlarda kullanılır ve uygulanır.
- Bir ürünün veya sistemin güvenlik özelliklerinin tespit ederken,
- Bir ürün veya sistem için güvenlik özellikleri eklerken,
- Bir ürünün veya sistemin güvenlik özelliklerini değerlendirirken,
- Güvenlik özellikleri olan bir ürün veya sistem satın alınırken.