Commun Criteria
Páginas: 11 (2558 palabras)
Publicado: 21 de noviembre de 2012
COMMON CRITERIA
Los criterios comunes para la evaluación de la seguridad de Tecnología de Información (abreviado como Common Criteria o CC) es un estándar internacional (ISO / IEC 15408) para la certificación de la seguridad informática. Es actualmente en la versión 3,1. [1]
Common Criteria es un marco en el que los usuarios de computadoras del sistema pueden especificar los requisitosfuncionales de seguridad y garantía, los vendedores pueden entonces aplicar y / o hacer afirmaciones sobre los atributos de seguridad de sus productos, y los laboratorios de ensayo puede evaluar los productos para determinar si, efectivamente, cumplen la reclamaciones. En otras palabras, Common Criteria ofrece la garantía de que el proceso de especificación, implementación y evaluación de un producto deseguridad informática se ha realizado de manera rigurosa y estándar.
Evaluaciones de Common Criteria se realizan en productos de seguridad informática y sistemas.
Objeto de Evaluación (TOE) - el producto o sistema que es el objeto de la evaluación.
La evaluación sirve para validar las afirmaciones hechas sobre el objetivo. Para ser de uso práctico, la evaluación debe verificar lascaracterísticas del objetivo de seguridad. Esto se realiza a través de los siguientes:
Perfil de Protección (PP) - un documento, normalmente creado por una comunidad de usuarios o usuario, que identifica los requisitos de seguridad para una clase de dispositivos de seguridad (por ejemplo, las tarjetas inteligentes para proporcionar firmas digitales, o cortafuegos de red) correspondiente a dicho usuario parauna propósito particular. Proveedores de productos pueden optar por aplicar productos que cumplan con uno o más PP, y que sus productos sean evaluados en relación con los PP. En tal caso, un PP puede servir como una plantilla para ST del producto (objetivo de seguridad, tal como se define a continuación), o los autores de la ST será al menos asegurar que todos los requisitos en EPA pertinentestambién aparecen en el documento ST del objetivo. Los clientes en busca de determinados tipos de productos se centran en los certificados contra el PP que se ajuste a sus necesidades.
Seguridad Target (ST) - el documento que identifica las propiedades de seguridad del objetivo de la evaluación. Puede referirse a uno o más PPs. El TOE se evalúa contra el reposapiés (véase más adelante) establecidos ensu ST, ni más ni menos. Esto permite a los fabricantes para adaptar la evaluación para que coincida con precisión los campos de aplicación de su producto. Esto significa que un cortafuegos de red no tiene que cumplir los mismos requisitos funcionales como un sistema de gestión de base de datos, y que los cortafuegos diferentes pueden de hecho ser evaluados contra listas completamente diferentesde requisitos. El ST suele publicarse para que los clientes potenciales pueden determinar las características específicas de seguridad que han sido certificados por la evaluación.
Requisitos funcionales de seguridad (SFR) - especificar las funciones de seguridad individuales que pueden ser proporcionados por un producto. Los Criterios Comunes presenta un catálogo estándar de dichas funciones. Porejemplo, un SFR puede indicar cómo un usuario que actúa un papel particular puede ser autenticado. La lista de los SFR puede variar de una evaluación a la siguiente, incluso si dos objetivos son el mismo tipo de producto. Aunque los Criterios Comunes no establece ningún SFRs de ser incluidas en un ST, que identifica las dependencias donde la operación correcta de una función (tal como la capacidadde limitar el acceso de acuerdo con los roles) es dependiente de otro (tal como la capacidad de identificar funciones individuales ).
El proceso de evaluación también trata de establecer el nivel de confianza que se puede colocar en las características de seguridad del producto a través de los procesos de garantía de calidad:
Requisitos Security Assurance (SAR) - una descripción de las...
Los criterios comunes para la evaluación de la seguridad de Tecnología de Información (abreviado como Common Criteria o CC) es un estándar internacional (ISO / IEC 15408) para la certificación de la seguridad informática. Es actualmente en la versión 3,1. [1]
Common Criteria es un marco en el que los usuarios de computadoras del sistema pueden especificar los requisitosfuncionales de seguridad y garantía, los vendedores pueden entonces aplicar y / o hacer afirmaciones sobre los atributos de seguridad de sus productos, y los laboratorios de ensayo puede evaluar los productos para determinar si, efectivamente, cumplen la reclamaciones. En otras palabras, Common Criteria ofrece la garantía de que el proceso de especificación, implementación y evaluación de un producto deseguridad informática se ha realizado de manera rigurosa y estándar.
Evaluaciones de Common Criteria se realizan en productos de seguridad informática y sistemas.
Objeto de Evaluación (TOE) - el producto o sistema que es el objeto de la evaluación.
La evaluación sirve para validar las afirmaciones hechas sobre el objetivo. Para ser de uso práctico, la evaluación debe verificar lascaracterísticas del objetivo de seguridad. Esto se realiza a través de los siguientes:
Perfil de Protección (PP) - un documento, normalmente creado por una comunidad de usuarios o usuario, que identifica los requisitos de seguridad para una clase de dispositivos de seguridad (por ejemplo, las tarjetas inteligentes para proporcionar firmas digitales, o cortafuegos de red) correspondiente a dicho usuario parauna propósito particular. Proveedores de productos pueden optar por aplicar productos que cumplan con uno o más PP, y que sus productos sean evaluados en relación con los PP. En tal caso, un PP puede servir como una plantilla para ST del producto (objetivo de seguridad, tal como se define a continuación), o los autores de la ST será al menos asegurar que todos los requisitos en EPA pertinentestambién aparecen en el documento ST del objetivo. Los clientes en busca de determinados tipos de productos se centran en los certificados contra el PP que se ajuste a sus necesidades.
Seguridad Target (ST) - el documento que identifica las propiedades de seguridad del objetivo de la evaluación. Puede referirse a uno o más PPs. El TOE se evalúa contra el reposapiés (véase más adelante) establecidos ensu ST, ni más ni menos. Esto permite a los fabricantes para adaptar la evaluación para que coincida con precisión los campos de aplicación de su producto. Esto significa que un cortafuegos de red no tiene que cumplir los mismos requisitos funcionales como un sistema de gestión de base de datos, y que los cortafuegos diferentes pueden de hecho ser evaluados contra listas completamente diferentesde requisitos. El ST suele publicarse para que los clientes potenciales pueden determinar las características específicas de seguridad que han sido certificados por la evaluación.
Requisitos funcionales de seguridad (SFR) - especificar las funciones de seguridad individuales que pueden ser proporcionados por un producto. Los Criterios Comunes presenta un catálogo estándar de dichas funciones. Porejemplo, un SFR puede indicar cómo un usuario que actúa un papel particular puede ser autenticado. La lista de los SFR puede variar de una evaluación a la siguiente, incluso si dos objetivos son el mismo tipo de producto. Aunque los Criterios Comunes no establece ningún SFRs de ser incluidas en un ST, que identifica las dependencias donde la operación correcta de una función (tal como la capacidadde limitar el acceso de acuerdo con los roles) es dependiente de otro (tal como la capacidad de identificar funciones individuales ).
El proceso de evaluación también trata de establecer el nivel de confianza que se puede colocar en las características de seguridad del producto a través de los procesos de garantía de calidad:
Requisitos Security Assurance (SAR) - una descripción de las...
Leer documento completo
Regístrate para leer el documento completo.