Common Criteria es un estándar internacional para evaluar la seguridad de un artefacto de software. Dependiendo del nivel exacto ( EAL ) de CC que se está utilizando, esto puede incluir información sobre los procesos utilizados durante el desarrollo de software como además de probar algunos de los aspectos de seguridad del software.
Debido a que los sistemas de software son tan complejos, no siempre es posible validarlo en su totalidad. Como tal, solo una parte de un sistema puede ser objeto de evaluación. Esta parte se llama el objetivo de la evaluación o TOE.
CC solo proporciona pautas generales sobre lo que es importante monitorear durante el desarrollo y las pruebas. Cada tipo de producto de software puede tener requisitos específicos. Protection Profiles (PPs) es un conjunto de requisitos acordado para un tipo específico de software y EAL. Por ejemplo, podría haber un PP para un servidor web para EAL 1, 2, 3, etc. Para cada EAL, especificará las características, la documentación y las pruebas requeridas que debe cumplir el TOE para lograr ese EAL.
Un objetivo de seguridad (ST) especifica la funcionalidad esperada de la aplicación. Por ejemplo, si tiene una aplicación web, puede esperarse que cumpla con algunos o todos los requisitos para un servidor web PP, una base de datos PP y también algunos requisitos específicos del producto.