Criterios Generales

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 2 de mayo de 2015; las comprobaciones requieren 17 ediciones .

Criterios generales para la evaluación de la seguridad de la tecnología de la información , Criterios comunes para la evaluación de la seguridad de la tecnología de la información , Criterios comunes , CC ) es un estándar internacional de seguridad informática [ 3 ] adoptado en Rusia [  2 ] . A diferencia del estándar FIPS 140 [4] , Common Criteria no proporciona una lista de requisitos de seguridad o una lista de características que debe contener un producto. En su lugar, describe un marco ( framework  ) en el que los usuarios de un sistema informático pueden describir los requisitos, los desarrolladores pueden hacer afirmaciones sobre las propiedades de seguridad de los productos y los expertos en seguridad pueden determinar si un producto satisface las afirmaciones. Así, los Criterios Comunes le permiten proporcionar condiciones en las que el proceso de descripción, desarrollo y prueba de un producto se llevará a cabo con la escrupulosidad necesaria.

El prototipo de este documento fueron los " Criterios de Evaluación de la Seguridad TI , ECITS " , cuyo trabajo se inició en 1990 . 

Conceptos básicos

El estándar contiene dos tipos principales de requisitos de seguridad: funcionales , impuestos a las funciones de seguridad y los mecanismos que las implementan, y requisitos de aseguramiento , impuestos a la tecnología y al proceso de desarrollo y operación.

Para estructurar el espacio de requisitos, el estándar utiliza la jerarquía clase-familia-componente-elemento: las clases definen la agrupación de requisitos más general, "sujeto", las familias dentro de una clase difieren en severidad y otros matices de requisitos, un componente es un mínimo conjunto de requisitos que aparece como un todo, elemento es un requisito indivisible.

Requisitos funcionales

Los requisitos funcionales se agrupan según el rol que desempeñan o el objetivo de seguridad al que sirven, para un total de 11 clases funcionales (en tres grupos), 66 familias, 135 componentes.

  1. El primer grupo define los servicios elementales de seguridad:
    1. FAU - auditoría , seguridad (requisitos de servicio, registro y auditoría);
    2. FIA- Identificación y Autenticación ;
    3. FRU: uso de recursos (para tolerancia a fallas).
  2. El segundo grupo describe los servicios derivados implementados sobre la base de los elementales:
    1. FCO - comunicación (seguridad de las comunicaciones emisor-receptor);
    2. FPR - privacidad;
    3. FDP - protección de datos del usuario;
    4. FPT - protección de las funciones de seguridad del objeto de evaluación.
  3. El tercer grupo de clases está relacionado con la infraestructura del objeto de evaluación:
    1. FCS: soporte criptográfico (proporciona la gestión de claves criptográficas y operaciones criptográficas);
    2. FMT - gestión de la seguridad;
    3. FTA - acceso al objeto de evaluación (gestión de sesiones de usuario);
    4. FTP: ruta/canal de confianza;

Clases de requisitos funcionales para servicios elementales de seguridad

Los servicios de seguridad elementales incluyen las siguientes clases FAU, FIA y FRU.

La clase FAU incluye seis familias (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA y FAU_ARP), y cada familia puede contener una cantidad diferente de componentes.

El propósito de los componentes de esta clase es el siguiente.

FAU_GEN - Generación de datos de auditoría de seguridad. Contiene dos componentes FAU_GEN.1 (Generación de datos de auditoría) y FAU_GEN.2 (Asociación de ID de usuario).

Requisitos de confianza

Los requisitos de garantía de seguridad (confianza) son los requisitos para la tecnología y el proceso de desarrollo y operación del objeto de evaluación. Dividido en 10 clases, 44 familias, 93 componentes que cubren varias etapas del ciclo de vida.

  1. El primer grupo contiene clases de requisitos que preceden al desarrollo y evaluación de un objeto:
    1. APE - Evaluación del Perfil de Protección;
    2. ASE - Evaluación de Asignación de Valores.
  2. El segundo grupo está relacionado con las etapas del ciclo de vida del objeto de atestación:
    1. ADV - desarrollo, diseño de un objeto;
    2. ALC - soporte de ciclo de vida;
    3. ACM - gestión de configuración;
    4. AGD - guía del administrador y del usuario;
    5. ATE - prueba;
    6. AVA- Evaluación de Vulnerabilidad ;
    7. ADO - requisitos para la entrega y operación;
    8. AMA - soporte para reclamos de garantía, se aplica después de la certificación del objeto para el cumplimiento de los criterios generales.

Historial de desarrollo

El desarrollo de los "Criterios Comunes" fue precedido por el desarrollo del documento "Criterios de Evaluación para Seguridad TI" ( ing.  Criterios de Evaluación para Seguridad TI, ECITS ), lanzado en 1990 , y llevado a cabo por el grupo de trabajo 3 del subcomité 27 de el primer comité técnico conjunto (o JTC1/SC27/WG3) de la Organización Internacional de Normalización ( ISO ).

Este documento sirvió de base para comenzar a trabajar en el documento Criterios Comunes para la Evaluación de la Seguridad TI , que comenzó en 1993 .  Organizaciones gubernamentales de seis países ( EE.UU. , Canadá , Alemania , Gran Bretaña , Francia , Países Bajos ) participaron en este trabajo. Los siguientes institutos participaron en el trabajo del proyecto:

  1. Instituto Nacional de Estándares y Tecnología y Agencia de Seguridad Nacional ( EE.UU. );
  2. Establecimiento de Seguridad de las Comunicaciones ( Canadá );
  3. Agencia de Seguridad de la Información ( Alemania );
  4. Organismos de Ejecución de Programas de Seguridad y Certificación de TI ( Inglaterra );
  5. Centro de Seguridad de Sistemas ( Francia );
  6. Agencia de Comunicaciones de Seguridad Nacional ( Países Bajos ).

La norma fue adoptada en 2005 por el comité ISO y tiene el estatus de norma internacional, número de identificación ISO/IEC 15408 [2] [3] . En los círculos profesionales, este documento recibió posteriormente un nombre corto: inglés.  Criterios Comunes, CC ; ruso "Criterios Generales", OK .

Modelo de amenaza de certificación

La certificación de un producto bajo los Criterios Comunes puede o no confirmar un cierto nivel de seguridad del producto , según el modelo de amenaza y el entorno.

De acuerdo con la metodología de certificación, el propio fabricante determina el entorno y modelo de atacante en el que se encuentra el producto. Es bajo estos supuestos que se verifica el cumplimiento del producto con los parámetros declarados. Si se descubren nuevas vulnerabilidades previamente desconocidas en el producto después de la certificación , el fabricante debe publicar una actualización y volver a certificar. De lo contrario, el certificado debe ser revocado.

El sistema operativo Microsoft Windows XP (Professional SP2 y Embedded SP2), así como Windows Server 2003 [5] [6] [7] [8] fueron certificados con el nivel Common Criteria EAL4+ según el perfil CAPP [9] en 2005 -2007, después de que se lanzaran paquetes de servicio y se publicaran regularmente nuevas actualizaciones críticas de seguridad. Sin embargo, Windows XP en la versión probada aún tenía la certificación EAL4+, [5] [6] . Este hecho atestigua que las condiciones de certificación (entorno y modelo del atacante) se eligieron de forma muy conservadora, por lo que ninguna de las vulnerabilidades detectadas es aplicable a la configuración probada.

Por supuesto, para configuraciones reales, muchas de estas vulnerabilidades son peligrosas. Microsoft recomienda que los usuarios instalen todas las actualizaciones de seguridad críticas.

Criterios generales en Rusia

En 2002, por orden del presidente de la Comisión Técnica Estatal de Rusia, se pusieron en vigor las siguientes directrices [10] , desarrolladas sobre la base de documentos internacionales Common Criteria versión 2.3:

Desde ese momento, la certificación de productos de tecnología de la información de acuerdo con los requisitos de las tareas de seguridad se ha permitido formalmente en el sistema de certificación nacional. Dado que el alcance (clases de sistemas automatizados) de dichos certificados de conformidad no se definió explícitamente, dicha certificación en la mayoría de los casos era de carácter publicitario: los fabricantes preferían certificar sus productos de acuerdo con los requisitos de las directrices clásicas.

Desde 2012, el FSTEC de Rusia ha estado trabajando activamente para actualizar el marco normativo y metodológico para la certificación de herramientas de seguridad de la información. En particular, se pusieron en vigencia los requisitos para los siguientes tipos de herramientas de seguridad de la información:

Los requisitos para un tipo particular de herramientas de seguridad de la información están diseñados como un conjunto de documentos:

Los perfiles de protección están disponibles. Copia archivada el 20 de septiembre de 2017 en Wayback Machine en el sitio web oficial de la FSTEC de Rusia. Así, en la actualidad, la certificación de productos de este tipo la realiza la FSTEC de Rusia solo para el cumplimiento de los perfiles de protección homologados.

Notas

  1. Nombre más corto comúnmente conocido
  2. 1 2 GOST R ISO/IEC 15408-3-2013 introducido desde el 01-09-2014 . Fecha de acceso: 6 de enero de 2016. Archivado desde el original el 4 de marzo de 2016.
  3. 1 2 ISO / IEC 15408 - Criterios de evaluación de la seguridad informática
  4. FIPS 140  
  5. 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Archivado el 21 de septiembre de 2012 en Wayback Machine XP SP2 Certified, 2007
  6. 1 2 https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Archivado el 6 de octubre de 2012 en Wayback Machine XP SP2 Certified, 2005
  7. Microsoft Windows recibe la certificación EAL 4+ Archivado el 8 de septiembre de 2015 en Wayback Machine / Schneier, 2005, basado en "Windows XP obtiene la certificación de seguridad independiente" / eWeek,  2005-12-14
  8. Informe técnico de evaluación de criterios comunes de Windows XP/Server 2003 Archivado el 19 de junio de 2015 en Wayback Machine /Microsoft, 2005 (ZIP, DOC   )
  9. Perfil de protección de acceso controlado (CAPP), versión 1.d, 8 de octubre de 1999; – ISO/CEI 15408:1999.
  10. Documento de orientación. Orden del Presidente de la Comisión Técnica Estatal de Rusia del 19 de junio de 2002 N 187 - FSTEC de Rusia . fstec.ru. Consultado el 20 de septiembre de 2017. Archivado desde el original el 20 de septiembre de 2017.
  11. Carta informativa del FSTEC de Rusia (Requisitos para SOV) . Archivado desde el original el 6 de octubre de 2017. Consultado el 20 de septiembre de 2017.
  12. Carta informativa del FSTEC de Rusia (Requisitos para SAVZ) . Archivado desde el original el 23 de septiembre de 2017. Consultado el 20 de septiembre de 2017.
  13. Carta informativa del FSTEC de Rusia (Requisitos para SDZ) . Archivado desde el original el 14 de septiembre de 2017. Consultado el 20 de septiembre de 2017.
  14. Carta de información del FSTEC de Rusia (Requisitos para SKN) . Archivado desde el original el 14 de septiembre de 2017. Consultado el 20 de septiembre de 2017.
  15. Carta informativa del FSTEC de Rusia (Requisitos para el Ministerio de Energía) . Archivado desde el original el 16 de septiembre de 2017. Consultado el 20 de septiembre de 2017.
  16. Carta de información de la FSTEC de Rusia (Requisitos para OS) . Archivado desde el original el 6 de octubre de 2017. Consultado el 20 de septiembre de 2017.

Enlaces