jueves, 7 de enero de 2010

ISO/IEC 15408 Common Criteria (III)

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Categoría: Seguridad de la Información

¿Cómo se dividen los niveles de seguridad?, ¿cuántos son y cómo se pasa de uno a otro?

Nos vamos a centrar en la tercera norma de la familia que define, como antes comentamos, los requisitos de seguridad del TOE. Estos requisitos se definen a partir de conjuntos de requisitos del mismo catálogo agrupados en Niveles de Evaluación de Seguridad (Evaluation Assurance Level o EAL). Éstos EALs representan una escala creciente que balancea el nivel de seguridad obtenido con el coste y viabilidad de adquisición de ese nivel de seguridad. El nivel de esfuerzo necesario para pasar de un nivel a otro se basa en un incremento de:
  • Alcance: El esfuerzo es mayor porque son más los componentes del producto a analizar.
  • Profundidad: el esfuerzo es mayor porque aumenta el nivel de detalle de la implementación y el diseño.
  • Rigor: el esfuerzo es mayor porque se aplica una forma más estructurada y formal
Lon niveles definidos en ISO 15408-3 son los siguientes:
  • EAL1: Proporciona un nivel básico de seguridad mediante el análisis de la especificación funcional y de interfaces así como de las guías de documentación con el objetivo de entender el comportamiento en materia de seguridad. El análisis se apoya en un testeo independiente de las funciones de seguridad del TOE. Este nivel de seguridad proporciona un significativo avance con respecto a un producto no evaluado.
  • EAL2: Este nivel proporciona un aumento significativo en seguridad con respeto al nivel anterior requiriendo el testeo por parte del desarrollador, un análisis de vulnerabilidad y unas pruebas independientes basadas en especificaciones del TOE más detalladas.
  • EAL3: En este nivel se aumentan las capacidades de seguridad solicitando una cobertura de pruebas más completa sobre las funciones de seguridad y mecanismos y/o procedimientos que propocionen confianza de que el TOE no ha sido manipulado durante su desarrollo.
  • EAL4: Con respecto al nivel anterior, en éste se requiere más descripción del diseño, un subconjunto de la implementación, y mecanismos o procedimientos mejorados que provean confianza de que el producto no ha sido alterado durante su desarrollo o entrega.
  • EAL5: En este nivel se requieren descripciones semi-formales, la implementación completa y una arquitectura más estructurada y análisis de comunicaciones cifradas.
  • EAL6: Se requiere un análisis más exhaustivo una representación estructurada de la implementación, una arquitectura más estructurada, un análisis de vulnerabilidades independiente más exhaustivo, identificación cifrada, gestión de la configuración mejorada y más controles en el entorno de desarrollo.
  • EAL7: Se incrementa aún más la exhaustividad del análisis usando una representación o correspondencia formal y un testing más exhaustivo.
¿Donde encaja todo esto con ISO 27001?

Como alguno ya estaréis pensando CC e ISO 27001 no están ni mucho menos desconectados. Podemos enmarcar a CC dentro del bloque 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Dentro de ISO 15408-1 se detalla el proceso que se sigue desde que se identifica la necesidad de desarrollo / adquisición de software hasta que se obtiene un conjunto de requisitos tanto funcionales, como de seguridad y finalmente del entorno, que se deben cumplir para la puesta en marcha del sistema de información en cuestión.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

No hay comentarios: