common criteria
Páginas: 5 (1136 palabras)
Publicado: 21 de julio de 2014
COMMON CRITERIA
EQUIPO 4
SGTO. 2/o. INFTCA. CECILIO ANTONIO BANDALA SANCHEZ.
SGTO. 2/o. INFTCA. ENRIQUE GOMEZ VERA.
SGTO. 2/o. INFTCA. JOSUE EMMANUEL NIÑO EK.
SGTO. 2/o. INFTCA. CARLOS ALBERTO JUAREZ SALAZAR.
SGTO. 2/o. INFTCA. ISRAEL RAMIREZ GUZMAN.
SGTO. 2/o. INFTCA. JOSE ALBERTO OROZCO MENDEZ.
COMMON CRITERIA
(Los Criterios Comunes o norma ISO/IEC 15408 )
HISTORIA
Es un estándarinternacional de seguridad
Tienen su origen en 1990.
Permiten comparar los resultados entre evaluaciones de
productos independientes.
Los CC son útiles como guía para el desarrollo, evaluación
o adquisición de productos TI (tecnologías de la
información) que incluyan alguna función de seguridad
En 1999 los Criterios Comunes en su versión 2.0 fueron adoptados por la
InternationalOrganization for Standardization (ISO) como estándar
internacional. En la actualidad los CC se encuentran estandarizados bajo la
serie de normas ISO/IEC 15408 (ISO 15408-1,2005), (ISO 15408-2,2008) y (ISO
15408-3,2008).
Los Criterios Comunes establecen entonces un conjunto de requisitos
para definir las funciones de seguridad de los productos y sistemas de
Tecnologías de la Información y delos criterios para evaluar su
seguridad.
El proceso de evaluación, realizado según lo prescrito en los Criterios
Comunes, garantiza que las funciones de seguridad de tales
productos y sistemas reúnen los requisitos declarados en estos..
los clientes pueden especificar la funcionalidad de seguridad de un
producto en términos de perfiles de protección estándares y de forma
independienteseleccionar el nivel de confianza en la evaluación de
un conjunto definido desde el EAL1 al EAL7 (nivel de garantía de la
evaluación).
NIVELES DE CONFIANZA.
Los niveles de confianza en la evaluación definidos en el ISO/IEC 154083 [ISO 15408-3 2005] van desde EAL1 (el menor) a EAL 7 (el mayor) y
se definen de forma acumulativa (verificaciones de nivel n+1
implican realizar las de nivel n, 1 ≤ n ≤7):
EAL-1 (funcionalidad probada):
Es aplicable donde se requiere tener cierta confianza de la
operación correcta, y donde además, las amenazas a la
seguridad no son vistas como serias. Una evaluación en este
nivel debe proporcionar evidencia de que las funciones del
objeto de evaluación son consistentes con su documentación.
EAL-2 (estructuralmente probado):
Requiere la cooperacióndel desarrollador en términos de la
distribución de la información del diseño, y los resultados de las
pruebas a través de un análisis de las funciones de seguridad,
usando una especificación funcional y de interfaz, manuales y
diseño de alto nivel del producto.
EAL-3 (probado y verificado metódicamente):
Permite a un desarrollador alcanzar una máxima garantía de
ingeniería de seguridadpositiva en el estado de diseño sin la
alteración substancial de prácticas de desarrollo válidas
existentes. El análisis en este nivel se apoya en las pruebas de
caja gris (grey box), la confirmación selectiva independiente
de los resultados de las pruebas del desarrollador, y la
evidencia de búsqueda de vulnerabilidades obvias del
desarrollador.
EAL-4 (diseñado, probado y revisadometódicamente):
Este nivel le permite a un desarrollador alcanzar máxima
garantía de ingeniería de seguridad positiva basada en buenas
prácticas de desarrollo comercial, las cuales, aunque rigurosas,
no requieren del conocimiento especializado substancial,
destreza, ni otros recursos. En este caso, el análisis se apoya en
el diseño de bajo nivel de los módulos del producto y se realiza
búsqueda devulnerabilidades independiente de las pruebas
realizadas por el desarrollador.
EAL-5 (diseñado y probado semi-formalmente):
Permite a un desarrollador alcanzar máxima garantía de
ingeniería de seguridad positiva mediante la aplicación
moderada de técnicas de ingeniería de seguridad. La
confianza se apoya, en este caso, en un modelo formal y una
presentación semi-formal de la especificación...
EQUIPO 4
SGTO. 2/o. INFTCA. CECILIO ANTONIO BANDALA SANCHEZ.
SGTO. 2/o. INFTCA. ENRIQUE GOMEZ VERA.
SGTO. 2/o. INFTCA. JOSUE EMMANUEL NIÑO EK.
SGTO. 2/o. INFTCA. CARLOS ALBERTO JUAREZ SALAZAR.
SGTO. 2/o. INFTCA. ISRAEL RAMIREZ GUZMAN.
SGTO. 2/o. INFTCA. JOSE ALBERTO OROZCO MENDEZ.
COMMON CRITERIA
(Los Criterios Comunes o norma ISO/IEC 15408 )
HISTORIA
Es un estándarinternacional de seguridad
Tienen su origen en 1990.
Permiten comparar los resultados entre evaluaciones de
productos independientes.
Los CC son útiles como guía para el desarrollo, evaluación
o adquisición de productos TI (tecnologías de la
información) que incluyan alguna función de seguridad
En 1999 los Criterios Comunes en su versión 2.0 fueron adoptados por la
InternationalOrganization for Standardization (ISO) como estándar
internacional. En la actualidad los CC se encuentran estandarizados bajo la
serie de normas ISO/IEC 15408 (ISO 15408-1,2005), (ISO 15408-2,2008) y (ISO
15408-3,2008).
Los Criterios Comunes establecen entonces un conjunto de requisitos
para definir las funciones de seguridad de los productos y sistemas de
Tecnologías de la Información y delos criterios para evaluar su
seguridad.
El proceso de evaluación, realizado según lo prescrito en los Criterios
Comunes, garantiza que las funciones de seguridad de tales
productos y sistemas reúnen los requisitos declarados en estos..
los clientes pueden especificar la funcionalidad de seguridad de un
producto en términos de perfiles de protección estándares y de forma
independienteseleccionar el nivel de confianza en la evaluación de
un conjunto definido desde el EAL1 al EAL7 (nivel de garantía de la
evaluación).
NIVELES DE CONFIANZA.
Los niveles de confianza en la evaluación definidos en el ISO/IEC 154083 [ISO 15408-3 2005] van desde EAL1 (el menor) a EAL 7 (el mayor) y
se definen de forma acumulativa (verificaciones de nivel n+1
implican realizar las de nivel n, 1 ≤ n ≤7):
EAL-1 (funcionalidad probada):
Es aplicable donde se requiere tener cierta confianza de la
operación correcta, y donde además, las amenazas a la
seguridad no son vistas como serias. Una evaluación en este
nivel debe proporcionar evidencia de que las funciones del
objeto de evaluación son consistentes con su documentación.
EAL-2 (estructuralmente probado):
Requiere la cooperacióndel desarrollador en términos de la
distribución de la información del diseño, y los resultados de las
pruebas a través de un análisis de las funciones de seguridad,
usando una especificación funcional y de interfaz, manuales y
diseño de alto nivel del producto.
EAL-3 (probado y verificado metódicamente):
Permite a un desarrollador alcanzar una máxima garantía de
ingeniería de seguridadpositiva en el estado de diseño sin la
alteración substancial de prácticas de desarrollo válidas
existentes. El análisis en este nivel se apoya en las pruebas de
caja gris (grey box), la confirmación selectiva independiente
de los resultados de las pruebas del desarrollador, y la
evidencia de búsqueda de vulnerabilidades obvias del
desarrollador.
EAL-4 (diseñado, probado y revisadometódicamente):
Este nivel le permite a un desarrollador alcanzar máxima
garantía de ingeniería de seguridad positiva basada en buenas
prácticas de desarrollo comercial, las cuales, aunque rigurosas,
no requieren del conocimiento especializado substancial,
destreza, ni otros recursos. En este caso, el análisis se apoya en
el diseño de bajo nivel de los módulos del producto y se realiza
búsqueda devulnerabilidades independiente de las pruebas
realizadas por el desarrollador.
EAL-5 (diseñado y probado semi-formalmente):
Permite a un desarrollador alcanzar máxima garantía de
ingeniería de seguridad positiva mediante la aplicación
moderada de técnicas de ingeniería de seguridad. La
confianza se apoya, en este caso, en un modelo formal y una
presentación semi-formal de la especificación...
Leer documento completo
Regístrate para leer el documento completo.