miércoles, 6 de enero de 2010

ISO/IEC 15408 Common Criteria (II)

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Categoría: Seguridad de la Información

¿Cuales son sus bases?


CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue:
  • Un Perfil de Protección (en adelante PP) es un conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al consumidor. Un PP se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Un PP debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.
  • Un Objeto de Evaluación (En adelante TOE) es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Posibles ejemplos de TOEs pueden ser; una aplicación, una aplicación en conjunción con un sistema operativo, un sistema operativo en conjunción con una estación de trabajo, etc.
  • Un Objetivo de Seguridad (En adelante ST) es un conjunto de requisitos de seguridad instanciados para una implementación concreta que sirven como base para la evaluación de un determinado TOE. Un ST puede hacer referencia a un PP. Un ST es la base para el acuerdo entre todas las partes acerca de la seguridad que ofrece un TOE. Al igual que en el PP, los requisitos de seguridad en un ST deben incluir un EAL de la parte 3 de esta familia de normas.
  • Un Nivel de Evalaución de Seguridad (En adelante EAL) es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.
¿Cómo se Organiza?

Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las Common Criteria que podéis descargar desde aquí.

La primera parte de la norma es una introducción y modelo general donde se exponen los principales conceptos de esta familia así como las bases para la unificación de criterios en la evaluación de seguridad del software.

La segunda parte es un catálogo de componentes que contienen requisitos funcionales que se han mostrado eficaces en el cumplimiento de los objetivos de seguridad de un PP o un ST.

En la línea de la segunda parte, la tercera expone los componentes que conteinen requisitos de seguridad para los TOEs. A su vez, esta norma expone los niveles de evaluación de seguridad (EALs).

En ambos casos (para las partes 2 y 3), la organización de los requisitos se hace en base a tres estructuras de mayor a menor ámbito conocidas como Clases, Familias y Componentes, estos últimos albergan en su interior elementos, que son el mínimo nivel de expresión de requisitos.

Todo esto no tendría mucho sentido sin una metodología de evaluación, que es el cuarto documento en discordia y que expone el conjunto mínimo de acciones que debe desempeñar un tester durante una evaluación CC.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

No hay comentarios: