Share to: share facebook share twitter share wa share telegram print page

 

Criteris comuns

Els criteris comuns per a l'avaluació de la seguretat de les tecnologies de la informació (conegut com a criteris comuns o CC) és una norma internacional (ISO / IEC 15408) per a la certificació de seguretat informàtica. Actualment es troba a la versió 3.1 revisió 5.[1]

Common Criteria és un marc en què els usuaris de sistemes informàtics poden especificar els seus requisits funcionals i de garantia de seguretat (SFR i SAR, respectivament) en un objectiu de seguretat (ST) i es poden extreure dels perfils de protecció (PP). Els venedors poden implementar o fer afirmacions sobre els atributs de seguretat dels seus productes, i els laboratoris de proves poden avaluar els productes per determinar si realment compleixen les afirmacions. En altres paraules, Common Criteria garanteix que el procés d'especificació, implementació i avaluació d'un producte de seguretat informàtica s'ha dut a terme d'una manera rigorosa, estàndard i repetible a un nivell proporcional a l'entorn objectiu per al seu ús.[2] Common Criteria manté una llista de productes certificats, inclosos sistemes operatius, sistemes de control d'accés, bases de dades i sistemes de gestió de claus.[3]

Conceptes clau

Les avaluacions de Common Criteria es realitzen en productes i sistemes de seguretat informàtica.[4]

  • Objectiu de l'avaluació (TOE): el producte o sistema objecte de l'avaluació. L'avaluació serveix per validar les afirmacions fetes sobre l'objectiu. Per ser útil, l'avaluació ha de verificar les característiques de seguretat de l'objectiu. Això es fa mitjançant el següent:
    • Perfil de protecció (PP): un document, creat normalment per un usuari o una comunitat d'usuaris, que identifica els requisits de seguretat per a una classe de dispositius de seguretat (per exemple, targetes intel·ligents utilitzades per proporcionar signatures digitals o tallafocs de xarxa) rellevants per a aquest usuari per a un finalitat particular. Els venedors de productes poden optar per implementar productes que compleixin amb un o més PP i avaluar els seus productes amb aquests PP. En aquest cas, un PP pot servir com a plantilla per a la ST del producte (Security Target, tal com es defineix a continuació), o els autors de l'ST almenys s'asseguraran que tots els requisits dels PP rellevants també apareguin al document ST de l'objectiu. Els clients que busquen determinats tipus de productes poden centrar-se en aquells certificats contra el PP que compleixen els seus requisits.
    • Objectiu de seguretat (ST): el document que identifica les propietats de seguretat de l'objectiu de l'avaluació. El ST pot reclamar la conformitat amb un o més PP. El TOE s'avalua amb els SFR (Security Functional Requirements. De nou, vegeu més avall) establerts en el seu ST, ni més ni menys. Això permet als venedors adaptar l'avaluació per adaptar-se amb precisió a les capacitats previstes del seu producte. Això vol dir que un tallafoc de xarxa no ha de complir els mateixos requisits funcionals que un sistema de gestió de bases de dades i que, de fet, es poden avaluar diferents tallafocs amb llistes de requisits completament diferents. El ST es publica normalment perquè els clients potencials puguin determinar les característiques de seguretat específiques que han estat certificades per l'avaluació.
    • Requisits funcionals de seguretat (SFR): especifiquen les funcions de seguretat individuals que pot proporcionar un producte. Common Criteria presenta un catàleg estàndard d'aquestes funcions. Per exemple, un SFR pot indicar com es pot autenticar un usuari que actua amb una funció determinada. La llista de SFR pot variar d'una avaluació a una altra, fins i tot si dos objectius són el mateix tipus de producte. Tot i que Common Criteria no prescriu que s'inclogui cap SFR en una ST, identifica dependències on el correcte funcionament d'una funció (com ara la capacitat de limitar l'accés segons els rols) depèn d'una altra (com la capacitat d'identificar rols individuals). ).

El procés d'avaluació també intenta establir el nivell de confiança que es pot dipositar en les característiques de seguretat del producte mitjançant processos de garantia de qualitat:

  • Requisits de garantia de seguretat (SAR): descripcions de les mesures preses durant el desenvolupament i l'avaluació del producte per assegurar el compliment de la funcionalitat de seguretat reclamada. Per exemple, una avaluació pot requerir que tot el codi font es mantingui en un sistema de gestió de canvis o que es realitzin proves funcionals completes. Els criteris comuns ofereixen un catàleg d'aquests, i els requisits poden variar d'una avaluació a una altra. Els requisits per a objectius concrets o tipus de productes estan documentats a l'ST i al PP, respectivament.
  • Nivell de garantia de l'avaluació (EAL): la qualificació numèrica que descriu la profunditat i el rigor d'una avaluació. Cada EAL correspon a un paquet de requisits de garantia de seguretat (SAR, vegeu més amunt) que cobreix el desenvolupament complet d'un producte, amb un nivell determinat d'estricte. Common Criteria enumera set nivells, amb EAL 1 sent el més bàsic (i, per tant, el més barat d'implementar i avaluar) i EAL 7 sent el més estricte (i el més car). Normalment, un autor ST o PP no seleccionarà els requisits de garantia individualment, sinó que triarà un d'aquests paquets, possiblement "augmentant" els requisits en algunes àrees amb requisits d'un nivell superior. Els EAL més alts no impliquen necessàriament "una millor seguretat", sinó que només volen dir que la garantia de seguretat reclamada del TOE s'ha verificat de manera més àmplia.

Fins ara, la majoria dels PP i els ST/productes certificats més avaluats han estat per a components informàtics (p. ex., tallafocs, sistemes operatius, targetes intel·ligents).

La certificació Common Criteria de vegades s'especifica per a la contractació de TI. Altres estàndards que contenen, per exemple, interoperació, gestió del sistema, formació d'usuaris, suplement CC i altres estàndards de producte. Alguns exemples inclouen la ISO/IEC 27002 i la protecció de referència alemanya de TI.

Els detalls de la implementació criptogràfica dins del TOE estan fora de l'àmbit del CC. En canvi, els estàndards nacionals, com el FIPS 140-2, donen les especificacions per als mòduls criptogràfics i diversos estàndards especifiquen els algorismes criptogràfics que s'utilitzen.

Més recentment, els autors de PP inclouen requisits criptogràfics per a avaluacions CC que normalment estarien coberts per avaluacions FIPS 140-2, ampliant els límits del CC mitjançant interpretacions específiques de l'esquema.

Alguns esquemes d'avaluació nacionals estan eliminant progressivament les avaluacions basades en EAL i només accepten productes per a l'avaluació que afirmen que compleixen estrictament amb un PP aprovat. Actualment, els Estats Units només permeten avaluacions basades en PP.

Història

CC es va originar a partir de tres estàndards:

  • ITSEC- L'estàndard europeu, desenvolupat a principis de la dècada de 1990 per França, Alemanya, els Països Baixos i el Regne Unit. També va ser una unificació de treballs anteriors, com els dos enfocaments del Regne Unit (l'esquema d'avaluació del CESG del Regne Unit destinat al mercat de defensa/intel·ligència i el Llibre Verd de DTI destinat a l'ús comercial), i va ser adoptat per alguns altres països, com ara Austràlia.
  • CTCPEC: l'estàndard canadenc va seguir l'estàndard del DoD dels EUA, però va evitar diversos problemes i va ser utilitzat conjuntament per avaluadors tant dels EUA com del Canadà. L'estàndard CTCPEC es va publicar per primera vegada el maig de 1993.
  • TCSEC- El Departament de Defensa dels Estats Units DoD 5200.28 Std, anomenat Orange Book i parts de la sèrie Rainbow. L'Orange Book es va originar a partir del treball de seguretat informàtica, inclòs l'Informe Anderson, realitzat per l'Agència de Seguretat Nacional i l'Oficina Nacional d'Estàndards (la NBS finalment es va convertir en NIST) a finals dels anys setanta i principis dels vuitanta. La tesi central del Llibre Taronja parteix del treball realitzat per Dave Bell i Len LaPadula per a un conjunt de mecanismes de protecció.

CC es va produir unificant aquests estàndards preexistents, principalment perquè les empreses que venen productes informàtics per al mercat governamental (principalment per a ús de Defensa o Intel·ligència) només els necessitarien avaluar-los en funció d'un conjunt d'estàndards. El CC va ser desenvolupat pels governs del Canadà, França, Alemanya, els Països Baixos, el Regne Unit i els EUA

Referències

  1. «Publications: CC Portal» (en anglès). [Consulta: 6 gener 2024].
  2. «Common Criteria - Communication Security Establishment» (en anglès). Arxivat de l'original el 2021-02-01. [Consulta: 2 març 2015].
  3. «Common Criteria Certified Products» (en anglès). [Consulta: 30 desembre 2023].
  4. «Common Criteria : CC Portal» (en anglès). [Consulta: 3 octubre 2024].
Kembali kehalaman sebelumnya


Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve 
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi