ISO/IEC 15408

¿Qué es ISO 15408?

Define un criterio estándar a usar como base para la evaluación de las propiedades y características de seguridad de un determinado producto o sistema. Permite la equiparación entre los resultados de diferentes e independientes evaluaciones, al proporcionar un marco común con el que determinar los niveles de seguridad y confianza que implementa un determinado producto en base al conjunto de requisitos de seguridad y garantía que satisface.

Por tanto, la norma ISO/IEC 15408 proporciona una guía muy útil a diferentes perfiles relacionados con las tecnologías de la seguridad

• Por un lado, desarrolladores de productos o sistemas de tecnologías de la información, que pueden ajustar sus diseños.

• Por otro lado, consumidores que pueden conocer el nivel de confianza y seguridad que los productos de tecnologías de la información y sistemas le ofrecen.

• En último lugar, los evaluadores de seguridad, que juzgan y certifican en qué medida se ajusta una especificación de un producto o sistema IT a los requisitos de seguridad deseados.

Productos conocidos con certificación Common Criteria

* Blackberry OS

* Vmware

* Windows Server 2003 +

Certificate Server

* Windows XP SP2

Gracias a :

* Los usuarios pueden determinar si un producto proporciona el nivel de seguridad que necesita siguiendo unos criterios estándar y no simples percepciones personales.

* Exige a los fabricantes de los productos certificados publicar una documentación exhaustiva sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza en las evaluaciones de Common Criteria ya que son realizadas por laboratorios independientes.

En definitiva, la existencia de un estándar de este tipo proporciona un lenguaje común entre los fabricantes, los usuarios y las administraciones que todos pueden entender de la misma manera.

Los fabricantes utilizarán este lenguaje para definir las características de sus productos, los usuarios tendrán una manera única de especificar sus requerimientos, etc.

Respecto a los niveles de seguridad que se pueden lograr, describiremos cada uno de ellos:

¿Cómo se organiza ISO 15408?

Los Criterios Comunes (por no llamarla ISO 15408) establecen unos criterios de evaluación basados en un análisis riguroso del producto o sistema IT a evaluar y los requisitos que este satisface. Se establece una clasificación jerárquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones siendo sus principales tipos:

• Clase: Conjunto de familias comparten un mismo objetivo de seguridad.

• Familia: Grupo de componentes que comparten objetivos de seguridad

pero con diferente énfasis o rigor.

• Componente: Pequeño grupo de requisitos muy específicos y detallados.

Países miembros de COMMON CRITERIA

Países que han firmado

un acuerdo de

reconocimiento

mutuo.

16. Noruega

17. Nueva Zelanda

18. Países Bajos

19. Reino Unido

20. República Checa

21. Republica de Corea

22. Suecia

23. República de Singapur

24. Turquía.

INTRODUCCIÓN

Y MODELO GENERAL

1. Alemania

2. Australia

3. Austria

4. Canadá

5. Dinamarca

6. España

7. Estados Unidos

8. Finlandia

9. Francia

10. Grecia

11. Hungría

12. India

13. Israel

14. Italia

15. Japón

COMPONENTES DE GARANTÍA DE SEGURIDAD

COMPONENTES

FUNCIONALES DE

SEGURIDAD

Otros países han sido emplazados a firmar el acuerdo mutuo de reconocimiento. Además estos acuerdos también están ampliamente aceptados en países de la Unión Europea así como en Rusia y países del Este de Europa.

Define los conceptos y los principios generales de la evaluación de seguridad TI y proporciona un modelo de evaluación.

Los usuarios puedan especificar sus necesidades de seguridad, es decir, especificar qué funcionalidad deben tener los productos para cubrir esas necesidades, lo cual se concreta en los documentos denominados  Perfiles de Protección.

Establece el catálogo de requisitos de garantía de seguridad que debe cumplir la documentación, el producto a evaluar, el entorno de desarrollo y otras partes implicadas en la seguridad del producto.

La tercera parte de Common Criteria también define el criterio de evaluación de los Perfiles de Protección (PP), declaraciones de seguridad (ST) y otras evidencias de evaluación. Se presentan en esta tercera parte siete paquetes de garantía predefinidos, los cuales son llamados niveles de garantía de evaluación (EAL).

A medida que se aumenta el nivel de garantía de evaluación (EAL), la inversión por parte del laboratorio en tiempo, recursos y exigencia técnica, también aumentan.

Establece el catálogo de requisitos funcionales de seguridad que sirven de plantillas para definir las funcionalidades de seguridad de un producto.

Los fabricantes e integradores puedan implementar y declarar los atributos de seguridad de sus productos, es decir, indicar qué hace cada producto, lo que se concreta en un documento llamado Declaración de Seguridad. 

¿Qué se certifica con ISO 15408?

Proporciona niveles de garantía (EAL) como resultado final de la evaluación.

Consiste en agrupaciones de requisitos en un paquete, quiere decir que obtener cierto nivel de garantía equivale a satisfacer por parte del objeto de evaluación ciertos paquetes de requisitos.

Todo proceso de evaluación comienza con la definición del objeto a evaluar:

• Target of Security (TOE): Documento que realiza una descripción del producto o sistema que se va a evaluar, determinando los recursos y dispositivos que utiliza, la documentación que proporciona y el entorno en el que trabaja.

Esta norma nos proporciona dos tipos diferentes de evaluación.

¿Como funciona Common Criteria?

Se divide en 3 partes:

1. Introducción y modelo general

2. Componentes funcionales de seguridad

3. Componentes de garantía de seguridad

Conclusiones

Common Criteria establece un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad.

Common Criteria nos ayuda a responder 3 importantes aspectos importantes sobre la seguridad de un producto:

¿Que hace el Producto?

¿Como se ha validado el producto?

¿Quien ha validado el producto?

Evaluación de Perfiles de Protección (PP)

Evaluación de Objetivos de Evaluación (TOE)

El objetivo es demostrar que un PP es completo, consistente y técnicamente sólido. Podrá ser utilizado como base para establecer requisitos destinados a definir un objetivo de seguridad (ST).

Herramienta útil ya que permite definir especificaciones de seguridad independientes de implementación, que pueden ser utilizadas como base de especificaciones para productos o sistemas.

Utilizando un objetivo de seguridad (ST) previamente evaluado como base, el objetivo de la evaluación es demostrar que todos los requisitos establecidos en el ST se encuentran implementados en el producto o sistema IT.