कॉमन क्राइटेरिया डेवलपमेंट बोर्ड

कॉमन क्राइटेरिया डेवलपमेंट बोर्ड

संदर्भ:

हाल ही में भारत को अप्रैल 2026 से अप्रैल 2028 तक दो वर्षों की अवधि के लिए वैश्विक आईटी सुरक्षा मानक निकाय, कॉमन क्राइटेरिया डेवलपमेंट बोर्ड (CCDB) का अध्यक्ष नामित किया गया है। यह ऐतिहासिक घोषणा टोक्यो, जापान में आयोजित कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) की बैठक में की गई।

कॉमन क्राइटेरिया डेवलपमेंट बोर्ड क्या हैं?

कॉमन क्राइटेरिया डेवलपमेंट बोर्ड (CCDB) वैश्विक सूचना प्रौद्योगिकी (IT) सुरक्षा मूल्यांकन के क्षेत्र में तकनीकी रीढ़ की हड्डी माना जाता है। यह कॉमन क्राइटेरिया रिकॉग्निशन अरेंजमेंट (CCRA) का मुख्य तकनीकी अंग है। 

• वैश्विक मानक: CCDB मुख्य रूप से ISO/IEC 15408 मानक (जिसे कॉमन क्राइटेरिया कहा जाता है) के निरंतर विकास और रखरखाव के लिए जिम्मेदार है।
• उद्देश्य: इसका प्राथमिक लक्ष्य विभिन्न देशों द्वारा उत्पादित आईटी सुरक्षा प्रमाणपत्रों में एकरूपता लाना और वैश्विक मानकों को आधुनिक साइबर खतरों के अनुकूल बनाए रखना है। 

CCDB की मुख्य भूमिका:

• तकनीकी कार्य कार्यक्रम (Technical Work Program): यह बोर्ड ‘कॉमन क्राइटेरिया’ (CC) और ‘कॉमन मेथोडोलॉजी फॉर इंफॉर्मेशन टेक्नोलॉजी सिक्योरिटी इवैल्यूएशन’ (CEM) के तकनीकी विकास का प्रबंधन करता है।
• प्रोटेक्शन प्रोफाइल्स (Protection Profiles – PP) का विकास: CCDB विभिन्न तकनीकी श्रेणियों (जैसे फायरवॉल, ऑपरेटिंग सिस्टम, बायोमेट्रिक्स) के लिए सुरक्षा आवश्यकताओं का खाका तैयार करता है।
• इंटरनेशनल टेक्निकल कम्युनिटीज (iTC) का गठन: यह विशिष्ट तकनीकों (जैसे USB पोर्टेबल स्टोरेज डिवाइस) के लिए सुरक्षा मानक बनाने के लिए दुनिया भर के विशेषज्ञों के कार्य समूहों को मंजूरी देता है और उनकी निगरानी करता है।

संगठनात्मक संरचना और सदस्यता: 

• CCRA के तहत स्थान: CCRA के भीतर दो मुख्य बोर्ड काम करते हैं—मैनेजमेंट कमेटी (जो प्रशासनिक फैसले लेती है) और CCDB (जो पूरी तरह तकनीकी काम संभालती है)। इसके अतिरिक्त एक कॉमन क्राइटेरिया मेंटेनेंस बोर्ड (CCMB) भी होता है जो बदलाव के प्रस्तावों को लागू करता है।
• सदस्य देश: वर्तमान में CCRA में 38 सदस्य देश शामिल हैं। इनमें से भारत सहित 20 देश ‘प्रमाणपत्र-प्राधिकरण’ (Certificate Authorizing Nations) का दर्जा रखते हैं, जो स्वयं आईटी उत्पादों का परीक्षण और सर्टिफिकेशन कर सकते हैं। CCDB में मुख्य रूप से इन्हीं प्राधिकरण देशों के वरिष्ठ साइबर सुरक्षा वैज्ञानिक और तकनीकी विशेषज्ञ शामिल होते हैं। 

तकनीकी मूल्यांकन प्रक्रिया:

• सुरक्षा लक्ष्य (Security Targets – ST): किसी उत्पाद की सुरक्षा क्षमताओं को परिभाषित करने वाला दस्तावेज।
• मूल्यांकन आश्वासन स्तर (EAL): यह स्तर EAL1 से EAL7 तक होते हैं, जो यह दर्शाते हैं कि किसी उत्पाद की सुरक्षा जांच कितनी कड़ाई से की गई है। 
  • CCRA सदस्य देश आमतौर पर EAL2 या सहयोगी सुरक्षा प्रोफाइल (cPP) तक के प्रमाणपत्रों को वैश्विक स्तर पर सीधे मान्यता देते हैं। 

महत्व:

• डुप्लिकेशन का खात्मा: CCDB के मानकों के कारण किसी भी आईटी सुरक्षा निर्माता कंपनी को अपने उत्पाद को अलग-अलग देशों में बेचने के लिए बार-बार महंगे साइबर सुरक्षा टेस्ट नहीं कराने पड़ते (Evaluated Once, Accepted Everywhere)।
• वैश्विक आपूर्ति श्रृंखला की सुरक्षा: बैंकिंग, वित्तीय सेवाओं, रक्षा और दूरसंचार में उपयोग होने वाले सॉफ्टवेयर और हार्डवेयर घटक CCDB द्वारा अनुमोदित मानकों के तहत ही प्रमाणित किए जाते हैं, जिससे वैश्विक स्तर पर साइबर जासूसी का खतरा कम होता है।