Common Criteria IT Security Standard in Product Development Process

Tietoturvallisuutta tarvitaan informaatioteknologian (IT) tuotteissa ja järjestelmissä. Yksi tapa varmistaa tuotteiden turvallisuus on käyttää IT -turvallisuusstandardeja. Tässä tutkielmassa tarkastellaan kansainvälistä IT -turvallisuusstandardia nimeltä Common Criteria (CC), jotta ymmärrettäisiin, kuinka sitä voidaan käyttää ja soveltaa tuote-kehitysprosessissa, sekä mitä hyötyjä standardi tuo prosessille. Tutkielman alussa tutkitaan IT -turvallisuuden ja sen standardien perusnäkökulmia. Tämän jälkeen syvennytään Common Criteria -standardiin. Tutkielma pohjautuu kirjallisuuskatsaukseen sekä esimerkkiin, jossa käytetään Common Criterian arviointiolettamustasoa 3. Common Criteria luo puitteet koko tuotteen elinkaarelle. Vaikkakin CC vaatimukset lisäävät työmäärää prosessissa, selviä hyötyjä turvallisuusasioihin on kuitenkin havaittavissa. Ilman "pakollista vaatimusta" nämä turvallisuusasiat voisivat jäädä huomioimatta. Common Criterialla on myös laaja kansainvälinen tuki, ja sitä pidetäänkin tämän päivän merkittävimpänä yleisenä kansainvälisenä turvallisuusstandardina. Kuitenkin CC-standardin joustamattomuus ajan ja kustannusten suhteen on aikaansaanut uusia vaatimuksia sen kehittämiseksi dynaamisempaan suuntaan.Information Technology Security is needed in both IT products and IT systems. One way to assure the secureness, is through the use of IT security standards. In this thesis an international IT security standard called Common Criteria (CC) is ex-amined in order to understand how it can be applied to a product development process, and what kind of benefits it brings to the process. This study begins by reviewing the basics of the IT security aspects, and by explaining the target of IT security standards. After that the content of the Common Criteria is examined in more details. The research was made based on a comprehensive literature research and a case using the Common Criteria evaluation assurance level 3. The Common Criteria sets the basis for the whole life-cycle process of the product. Although implementing the CC requirements adds extra workload to the process, there are visible advantages for security related matters that could be left unnoticed without a compulsory requirement. The Common Criteria also receives wide international support and is considered as "the" de facto international standard for IT Security. However, its inflexibility mainly in terms of time and expenses has brought up a demand for develop-ing it for a more dynamic IT standard