Criterios generales para la evaluación de la seguridad de la tecnología de la información , Criterios comunes para la evaluación de la seguridad de la tecnología de la información , Criterios comunes , CC ) es un estándar internacional de seguridad informática [ 3 ] adoptado en Rusia [ 2 ] . A diferencia del estándar FIPS 140 [4] , Common Criteria no proporciona una lista de requisitos de seguridad o una lista de características que debe contener un producto. En su lugar, describe un marco ( framework ) en el que los usuarios de un sistema informático pueden describir los requisitos, los desarrolladores pueden hacer afirmaciones sobre las propiedades de seguridad de los productos y los expertos en seguridad pueden determinar si un producto satisface las afirmaciones. Así, los Criterios Comunes le permiten proporcionar condiciones en las que el proceso de descripción, desarrollo y prueba de un producto se llevará a cabo con la escrupulosidad necesaria.
El prototipo de este documento fueron los " Criterios de Evaluación de la Seguridad TI , ECITS " , cuyo trabajo se inició en 1990 .
El estándar contiene dos tipos principales de requisitos de seguridad: funcionales , impuestos a las funciones de seguridad y los mecanismos que las implementan, y requisitos de aseguramiento , impuestos a la tecnología y al proceso de desarrollo y operación.
Para estructurar el espacio de requisitos, el estándar utiliza la jerarquía clase-familia-componente-elemento: las clases definen la agrupación de requisitos más general, "sujeto", las familias dentro de una clase difieren en severidad y otros matices de requisitos, un componente es un mínimo conjunto de requisitos que aparece como un todo, elemento es un requisito indivisible.
Los requisitos funcionales se agrupan según el rol que desempeñan o el objetivo de seguridad al que sirven, para un total de 11 clases funcionales (en tres grupos), 66 familias, 135 componentes.
Los servicios de seguridad elementales incluyen las siguientes clases FAU, FIA y FRU.
La clase FAU incluye seis familias (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA y FAU_ARP), y cada familia puede contener una cantidad diferente de componentes.
El propósito de los componentes de esta clase es el siguiente.
FAU_GEN - Generación de datos de auditoría de seguridad. Contiene dos componentes FAU_GEN.1 (Generación de datos de auditoría) y FAU_GEN.2 (Asociación de ID de usuario).
Los requisitos de garantía de seguridad (confianza) son los requisitos para la tecnología y el proceso de desarrollo y operación del objeto de evaluación. Dividido en 10 clases, 44 familias, 93 componentes que cubren varias etapas del ciclo de vida.
El desarrollo de los "Criterios Comunes" fue precedido por el desarrollo del documento "Criterios de Evaluación para Seguridad TI" ( ing. Criterios de Evaluación para Seguridad TI, ECITS ), lanzado en 1990 , y llevado a cabo por el grupo de trabajo 3 del subcomité 27 de el primer comité técnico conjunto (o JTC1/SC27/WG3) de la Organización Internacional de Normalización ( ISO ).
Este documento sirvió de base para comenzar a trabajar en el documento Criterios Comunes para la Evaluación de la Seguridad TI , que comenzó en 1993 . Organizaciones gubernamentales de seis países ( EE.UU. , Canadá , Alemania , Gran Bretaña , Francia , Países Bajos ) participaron en este trabajo. Los siguientes institutos participaron en el trabajo del proyecto:
La norma fue adoptada en 2005 por el comité ISO y tiene el estatus de norma internacional, número de identificación ISO/IEC 15408 [2] [3] . En los círculos profesionales, este documento recibió posteriormente un nombre corto: inglés. Criterios Comunes, CC ; ruso "Criterios Generales", OK .
La certificación de un producto bajo los Criterios Comunes puede o no confirmar un cierto nivel de seguridad del producto , según el modelo de amenaza y el entorno.
De acuerdo con la metodología de certificación, el propio fabricante determina el entorno y modelo de atacante en el que se encuentra el producto. Es bajo estos supuestos que se verifica el cumplimiento del producto con los parámetros declarados. Si se descubren nuevas vulnerabilidades previamente desconocidas en el producto después de la certificación , el fabricante debe publicar una actualización y volver a certificar. De lo contrario, el certificado debe ser revocado.
El sistema operativo Microsoft Windows XP (Professional SP2 y Embedded SP2), así como Windows Server 2003 [5] [6] [7] [8] fueron certificados con el nivel Common Criteria EAL4+ según el perfil CAPP [9] en 2005 -2007, después de que se lanzaran paquetes de servicio y se publicaran regularmente nuevas actualizaciones críticas de seguridad. Sin embargo, Windows XP en la versión probada aún tenía la certificación EAL4+, [5] [6] . Este hecho atestigua que las condiciones de certificación (entorno y modelo del atacante) se eligieron de forma muy conservadora, por lo que ninguna de las vulnerabilidades detectadas es aplicable a la configuración probada.
Por supuesto, para configuraciones reales, muchas de estas vulnerabilidades son peligrosas. Microsoft recomienda que los usuarios instalen todas las actualizaciones de seguridad críticas.
En 2002, por orden del presidente de la Comisión Técnica Estatal de Rusia, se pusieron en vigor las siguientes directrices [10] , desarrolladas sobre la base de documentos internacionales Common Criteria versión 2.3:
Desde ese momento, la certificación de productos de tecnología de la información de acuerdo con los requisitos de las tareas de seguridad se ha permitido formalmente en el sistema de certificación nacional. Dado que el alcance (clases de sistemas automatizados) de dichos certificados de conformidad no se definió explícitamente, dicha certificación en la mayoría de los casos era de carácter publicitario: los fabricantes preferían certificar sus productos de acuerdo con los requisitos de las directrices clásicas.
Desde 2012, el FSTEC de Rusia ha estado trabajando activamente para actualizar el marco normativo y metodológico para la certificación de herramientas de seguridad de la información. En particular, se pusieron en vigencia los requisitos para los siguientes tipos de herramientas de seguridad de la información:
Los requisitos para un tipo particular de herramientas de seguridad de la información están diseñados como un conjunto de documentos:
Los perfiles de protección están disponibles. Copia archivada el 20 de septiembre de 2017 en Wayback Machine en el sitio web oficial de la FSTEC de Rusia. Así, en la actualidad, la certificación de productos de este tipo la realiza la FSTEC de Rusia solo para el cumplimiento de los perfiles de protección homologados.
ISO | Normas|
---|---|
| |
1 a 9999 |
|
10000 a 19999 |
|
20000+ | |
Ver también: Lista de artículos cuyos títulos comienzan con "ISO" |