Evaluación de criterios comunes
Las evaluaciones de Criterios Comunes se han realizado tradicionalmente con base en un conjunto de Niveles de Garantía Evaluados (EAL). Los niveles de garantía reflejan requisitos adicionales que deben cumplirse para obtener la certificación de Criterios Comunes. Cabe destacar que los niveles de EAL indican con qué paquete de garantía se probó el producto, y no que el producto en sí sea más seguro.
Las evaluaciones basadas en EAL han sido criticadas por su gran complejidad, mientras que los sistemas de software modernos progresan rápidamente, lo que puede provocar que una versión de software quede obsoleta cuando finalmente se emite el certificado Common Criteria. En respuesta, Common Criteria ha introducido el enfoque basado en el Perfil de Protección Colaborativo (cPP) para proporcionar resultados de evaluación alcanzables, repetibles y comprobables, y facilitar la comparación entre productos certificados.
La reestructuración del enfoque de certificación implica que, al certificar un producto según la mayoría de los cPP, no se definen EAL. Tenga en cuenta que, al revisar la especificación de una evaluación de cPP en curso, el paquete de garantía suele especificarse en el formato " EAL 1 ASE_SPD.1 ". Si está acostumbrado a los Perfiles de Protección tradicionales, este formato puede malinterpretarse fácilmente como un nivel bajo, cuando en realidad es el nivel exacto especificado en el Perfil de Protección colaborativo. Actualmente, se realizan evaluaciones basadas en EAL y no basadas en EAL, lo que genera confusión en el mercado.
Los niveles de EAL se especifican mediante el perfil de protección, y todos los perfiles de protección certificados y sus niveles de EAL aparecen enumerados en el Portal de Criterios Comunes .
La distinción relevante es que los requisitos funcionales de seguridad (SFR) de un PP describen las funcionalidades de seguridad de un producto, mientras que los requisitos de garantía de seguridad (SAR) definen el nivel de esfuerzo (CC Parte 3, §6.3) requerido durante el proceso de evaluación. Por lo tanto, la adecuación de un producto a un campo determinado está contenida en los SFR del PP, no en los SAR (opcionales). El Perfil de protección colaborativo para las autoridades de certificación tiene por objeto proporcionar un conjunto mínimo de requisitos de referencia destinados a mitigar amenazas bien definidas y descritas . Contiene 78 SFR y utiliza abundantemente los denominados "componentes extendidos" que se especializan en los SFR CC estándar para el dominio de la PKI. En estos componentes extendidos, las actividades de garantía añadidas aumentan los requisitos de garantía más allá de los de EAL1 y garantizan que estos SFR extendidos sean evaluables con actividades que pueden considerarse versiones centradas en los SAR con pruebas independientes .
Para obtener más información, consulte Criterios comunes para la evaluación de la seguridad de la tecnología de la información .
Criterios comunes para productos PKI
Para los productos PKI, la certificación Common Criteria puede ser útil en ciertas auditorías, pero rara vez es un requisito formal por ley y pueden aplicarse requisitos locales.
Estados Unidos promueve actualmente las evaluaciones basadas en el cPP y no en el EAL. La certificación con un cPP aprobado por el NIAP es un requisito para que un producto esté incluido en la lista de Soluciones Comerciales para el Programa Clasificado (CSfC), necesaria para ciertos usos gubernamentales.
Otros esquemas de evaluación nacionales han eliminado gradualmente las evaluaciones genéricas basadas en EAL y solo aceptan productos para evaluación que afirman una estricta conformidad con un PP aprobado.
En la UE, la Ley de Ciberseguridad definirá los futuros requisitos de certificación, que servirán de base para los requisitos de ciertos usos gubernamentales. La UE planea trabajar con certificaciones basadas tanto en EAL como en otras (PP clásicas y cPP), pero actualmente no hay planes para considerar certificaciones de productos PKI. A diferencia de los niveles EAL anteriores, la Ley de Ciberseguridad definirá los niveles de garantía como Básico, Sustancial y/o Alto. El nivel corresponde al nivel de riesgo asociado con el uso previsto del producto, servicio o proceso.
Bajo (al menos) el esquema sueco, desde mayo de 2020, solo está disponible un Perfil de Protección para la certificación de software de Autoridad de Certificación: el Perfil de Protección para Autoridades de Certificación . Para más información, consulte la Nota 29 del Esquema del Organismo Sueco de Certificación de Seguridad de TI (CSEC), que desestima el antiguo perfil de protección.
Recursos relacionados
Para obtener más información sobre los perfiles de protección colaborativa (cPP) y los EAL, consulte la nota y presentación de SEALWeb en PrimeKey Tech Days 2020.
Nota de SEALWeb sobre la evaluación de EJBCA Enterprise CC de Primekey:
PrimeKey Tech Days 2020: Servicios de confianza: un nuevo enfoque de cumplimiento normativo