Saturday, April 21, 2012

Criterios comunes para probar y evaluar la Seguridad en las Tecnologías de la Información

Tambien conocida como "Common Criteria" o CC, es una norma de certificación reconocida internacionalmente para certificar los procesos de implementación, especificación, desarrollo y evaluación en productos de seguridad informática.

Los fabricantes y vendedores de productos de seguridad IT como Controladores de seguridad, tarjetas inteligentes(Smart Cards), etc, afirman reunir ciertas características de seguridad, sin embargo la seguridad y la confianza van de la mano, por lo tanto deben medirse de manera rigurosa y estandarizada para garantizar la funcionalidad ofrecida.

Versión 3.1R3 (2007): Vigente actualmente (Febrero 2012), al unificar las Norma internacionales ISO/IEC 15408, ITSEC (Europa), TCSEC, FC (EE.UU) y CTCPEC (Canadá), está reconocida oficialmente por 26 naciones.

Beneficios 

  • Los usuarios de sistemas IT pueden especificar sus requisitos funcionales de seguridad, disponibilidad  y garantía.
  • Los proveedores pueden garantizar asegurar el cumplimiento de los atributos de seguridad que ofrecen sus productos.
  • Los investigadores y desarrolladores pueden evaluar los productos IT para determinar si, efectivamente, cumplen los beneficios ofrecidos.  

 

Contenido

Parte 1: Introducción y modelo general
Parte 2: Componentes de seguridad funcionales
Parte 3: Componentes de Aseguramiento de seguridad

 

Objeto de Evaluación (TOE Target of Evaluation) 

Es el producto o sistema de información que requiere una evaluación para validar sus  características de seguridad y su funcionamiento.

 
 

Perfiles de Protección (PP)


Son Documentos creados por un usuario o comunidad de usuarios que identifican los requisitos y especificaciones de seguridad que debe cumplir una familia de productos IT o sistemas de información, así Los clientes que buscan cierto producto pueden centrarse en los certificados PP que cumplan sus necesidades.

Un PP especifica los criterios generales de evaluación de seguridad para que los clientes puedan justificar con motivos tangibles la reclamación a los vendedores el producto. Los desarrolladores pueden optar por diseñar productos que cumplan con uno o más PP que han sido parte de los procesos de evaluación.


Ejemplos de PP


Tarjeta Inteligente usada como dispositivo de creación de Firma digital con los Perfiles de protección de acuerdo con los Criterios Comunes certificados por BSI

Tipo 1
: Generación de claves seguras de firmas digitales>EAL 4 + BSI-PP-0004-2002T

Tipo 2: Almacenamiento de la clave y producción de firmas> EAL 4 + BSI-PP-0005-2002T

Tipo 3: Combinación de 1 y 2 en un dispositivo> EAL 4 + BSI-PP-0006-2002T


 

Objetivo de Seguridad (ST - Security Target) 


Documento proporcionado por el desarrollador del producto, que especifica los criterios de seguridad que se pueden evaluar en el TOE y utiliza uno o más PPs como puntos de referencia.

Esto permite a los proveedores adaptar  con precisión su producto para que coincida con los campos de aplicación. Por ejemplo un firewall de red no tiene que cumplir los mismos requisitos funcionales que un sistema de gestión de bases de datos (DBMS). El ST se suele publicar para que los clientes potenciales pueden determinar las características específicas de seguridad que han sido certificadas por los entes de evaluación.

Los autores del ST pueden aseguran el cumplimiento de uno o mas requisitos de seguridad delineados por la plantilla del PP, Así reúnen una descripción completa y rigurosa de los posibles problemas de seguridad de un TOE, incluyendo  las amenazas, los supuestos, los requisitos funcionales de seguridad (SFR) y requisitos de aseguramiento de seguridad (SARs). 




Requisitos funcionales de seguridad (SFR)

CC posee un catálogo estándar de funciones que definen las características individuales de seguridad que posee un producto. Por ejemplo: El control de acceso y autenticación de un usuario que posee un determinado rol, tecnologías adicionales como encripción, protocolos de comunicaciones, auditoría, etc.

La lista de SFR puede variar de una evaluación a la siguiente, incluso si dos objetivos son el mismo tipo de producto. A pesar de que el Common Criteria no requiere que algún SFR sea  incluidos en el ST, identifica las dependencias de la correcta operación de una función, como Limitar el acceso de usuarios de acuerdo a roles, sea dependiente de otra función como la capacidad de identificar roles individualmente.

Evaluación

El proceso de evaluación trata de establecer el nivel de confianza que puede ser asignado a las características de seguridad del producto mediante de procesos de garantía de calidad. Las instituciones evaluadoras hacen tres posibles tipos de Pruebas y evaluación para comprobar que los productos de seguridad informática y sistemas de Información realmente reúnen las características que afirman.

  • Criterios para probar y evaluar los perfiles de protección (PP).
  • Requisitos de seguridad basados en los criterios para probar y evaluar los objetivos de seguridad(ST) por medio de los objetos de seguridad (TOE)
  • Pruebas y evaluación de un TOE basados en los criterios ya evaluados de los ST o PP

Requisitos de Aseguramiento de seguridad (SAR)


Los requisitos para un objetivo particular o tipos de productos están documentados en el ST y el PP, respectivamente, Sin embargo SAR describe las medidas para asegurar la calidad y el cumplimiento de las funciones de seguridad adoptadas durante el desarrollo, las pruebas y evaluación del producto.

Una evaluación puede requerir que todo el código fuente se mantenga en un sistema de gestión de cambios, que se realice una prueba funcional completa, el uso de métodos formales o semiformales para analizar el código fuente y garantizar la calidad de las herramientas de desarrollo (compilador, lenguaje de programación, plataformas, infraestructura, etc...)


Niveles de Integridad o Nivel de Aseguramiento de evaluación ( EAL- Evaluation Assurance Level)

PP también especifica el EAL en el rango de 1 al 7, lo que indica la profundidad y el rigor de la evaluación de la seguridad, por lo general en forma de documentación de apoyo y pruebas, que un producto cumple con los requisitos de seguridad especificados en el PP. 

EAL1: Pruebas funcionales, sin la cooperación de los desarrolladores, el TOC trabaja de acuerdo con la documentación
EAL2: Pruebas estructurales, los sistemas existentes, donde no hay documentación completa disponible para el Desarrollo
EAL3: Metódicamente probado y comprobado, seguridad media
EAL4: Metódicamente desarrollado, probados y revisados, Seguridad media y alta, es el nivel mínimo mas aceptado.
EAL5: Semi-formalmente diseñado y probado, lenguaje con sintaxis restringido, Seguridad alta.
EAL6: Diseño semi-formal, verificado y probado, Se usa en tecnologías de alta seguridad en un entorno de desarrollo con controles estrictos
EAL7: Diseño formalmente verificada y probada. TOG adecuado para su uso en situaciones con riesgos extremadamente alto; un análisis formal y amplio de las funcionalidades de seguridad requerida.

Niveles de jerarquía de los requerimientos de seguridad 

1. Clases de seguridad: Objetivos generales de seguridad contra diferentes amenazas

Certificación


Esquema del Sistema de certificación: Son documentados públicamente accesibles, los cuales resumen todos los principios, normas y procedimientos que se llevan a cabo para evaluar y emitir certificados.

Principio de separación de poderes :
  • Cliente:  (patrocinador): responsable de la TOE
  • Auditor: (Entidad de valoración) responsable de las pruebas, Requisitos EN 45001
  • Certificación: (Entidad certificadora): Hace seguimiento de la evaluación y las pruebas de las certificados, Requisito EN 45011
  • Acreditación: vigila el cumplimiento de las normas, acreditando la certificación y la auditoría.

Acuerdo de Reconocimiento según los Criterios comunes (CCRA)

Acuerdo CC firmado en el 2000 por los países como Australia, Alemania, Finlandia, Francia, Grecia, Reino Unido Italia Canadá Países Bajos Nueva Zelanda Noruega Gran Bretaña, Italia, Canadá, Nueva Zelanda, Países Bajos, Noruega, España, Estados Unidos.

Más tarde en el 2002 se unieron países como: Dinamarca, India, Israel, Japón, Corea del Sur, Malasia, Austria, Pakistán, Singapur, Suecia, República Checa, Turquía y Hungría.

Los  certificados de seguridad TI deben tener reconocimiento global y se basan en CC incluyendo el nivel de aseguramiento EAL4.


SOGIS-MRA

Acuerdo de Reconocimiento Mutuo de Evaluación en Certificación de la seguridad en tecnologías de la Información. (SOGIS Mutual Recognition Agreement of Information Technology Security Evaluation Certificates)

Es el grupo oficial Senior para certificar en temas de Seguridad de la Información con reconocimiento europeo de los certificados ITSEC/CC, Reconoce los certificados bajo las condiciones  EAL7.

Firmado en 1998 por países como Alemania, Finlandia, Francia, Grecia, Gran Bretaña, Italia, Países Bajos, Noruega, Portugal, Suecia, Suiza y España, por ejemplo, Alemania: recibió el reconocimiento de su certificación por Francia y  Gran Bretaña.


Fuente CC:http://www.commoncriteriaportal.org/cc/


Si tienes información adicional sobre este tema, tus comentarios o links de referencia serán bienvenidos.

No comments: