Posteos etiquetados Common Criteria

ISO/IEC 15408 Common Criteria (III)

Ene 7

Posteado por Miguel Ángel Hernández Ruiz en Seguridad de la Información

No hay comentarios

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Categoría: Seguridad de la Información

¿Cómo se dividen los niveles de seguridad?, ¿cuántos son y cómo se pasa de uno a otro?

Nos vamos a centrar en la tercera norma de la familia que define, como antes comentamos, los requisitos de seguridad del TOE. Estos requisitos se definen a partir de conjuntos de requisitos del mismo catálogo agrupados en Niveles de Evaluación de Seguridad (Evaluation Assurance Level o EAL). Éstos EALs representan una escala creciente que balancea el nivel de seguridad obtenido con el coste y viabilidad de adquisición de ese nivel de seguridad. El nivel de esfuerzo necesario para pasar de un nivel a otro se basa en un incremento de:

  • Alcance: El esfuerzo es mayor porque son más los componentes del producto a analizar.
  • Profundidad: el esfuerzo es mayor porque aumenta el nivel de detalle de la implementación y el diseño.
  • Rigor: el esfuerzo es mayor porque se aplica una forma más estructurada y formal
Lon niveles definidos en ISO 15408-3 son los siguientes:
  • EAL1: Proporciona un nivel básico de seguridad mediante el análisis de la especificación funcional y de interfaces así como de las guías de documentación con el objetivo de entender el comportamiento en materia de seguridad. El análisis se apoya en un testeo independiente de las funciones de seguridad del TOE. Este nivel de seguridad proporciona un significativo avance con respecto a un producto no evaluado.
  • EAL2: Este nivel proporciona un aumento significativo en seguridad con respeto al nivel anterior requiriendo el testeo por parte del desarrollador, un análisis de vulnerabilidad y unas pruebas independientes basadas en especificaciones del TOE más detalladas.
  • EAL3: En este nivel se aumentan las capacidades de seguridad solicitando una cobertura de pruebas más completa sobre las funciones de seguridad y mecanismos y/o procedimientos que propocionen confianza de que el TOE no ha sido manipulado durante su desarrollo.
  • EAL4: Con respecto al nivel anterior, en éste se requiere más descripción del diseño, un subconjunto de la implementación, y mecanismos o procedimientos mejorados que provean confianza de que el producto no ha sido alterado durante su desarrollo o entrega.
  • EAL5: En este nivel se requieren descripciones semi-formales, la implementación completa y una arquitectura más estructurada y análisis de comunicaciones cifradas.
  • EAL6: Se requiere un análisis más exhaustivo una representación estructurada de la implementación, una arquitectura más estructurada, un análisis de vulnerabilidades independiente más exhaustivo, identificación cifrada, gestión de la configuración mejorada y más controles en el entorno de desarrollo.
  • EAL7: Se incrementa aún más la exhaustividad del análisis usando una representación o correspondencia formal y un testing más exhaustivo.
¿Donde encaja todo esto con ISO 27001?

Como alguno ya estaréis pensando CC e ISO 27001 no están ni mucho menos desconectados. Podemos enmarcar a CC dentro del bloque 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Dentro de ISO 15408-1 se detalla el proceso que se sigue desde que se identifica la necesidad de desarrollo / adquisición de software hasta que se obtiene un conjunto de requisitos tanto funcionales, como de seguridad y finalmente del entorno, que se deben cumplir para la puesta en marcha del sistema de información en cuestión.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

,

ISO/IEC 15408 Common Criteria (II)

Ene 6

Posteado por Miguel Ángel Hernández Ruiz en Seguridad de la Información

No hay comentarios

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Categoría: Seguridad de la Información

¿Cuales son sus bases?

CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue:

  • Un Perfil de Protección (en adelante PP) es un conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al consumidor. Un PP se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Un PP debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.
  • Un Objeto de Evaluación (En adelante TOE) es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Posibles ejemplos de TOEs pueden ser; una aplicación, una aplicación en conjunción con un sistema operativo, un sistema operativo en conjunción con una estación de trabajo, etc.
  • Un Objetivo de Seguridad (En adelante ST) es un conjunto de requisitos de seguridad instanciados para una implementación concreta que sirven como base para la evaluación de un determinado TOE. Un ST puede hacer referencia a un PP. Un ST es la base para el acuerdo entre todas las partes acerca de la seguridad que ofrece un TOE. Al igual que en el PP, los requisitos de seguridad en un ST deben incluir un EAL de la parte 3 de esta familia de normas.
  • Un Nivel de Evalaución de Seguridad (En adelante EAL) es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.
¿Cómo se Organiza?

Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las Common Criteria que podéis descargar desde aquí.

La primera parte de la norma es una introducción y modelo general donde se exponen los principales conceptos de esta familia así como las bases para la unificación de criterios en la evaluación de seguridad del software.

La segunda parte es un catálogo de componentes que contienen requisitos funcionales que se han mostrado eficaces en el cumplimiento de los objetivos de seguridad de un PP o un ST.

En la línea de la segunda parte, la tercera expone los componentes que conteinen requisitos de seguridad para los TOEs. A su vez, esta norma expone los niveles de evaluación de seguridad (EALs).

En ambos casos (para las partes 2 y 3), la organización de los requisitos se hace en base a tres estructuras de mayor a menor ámbito conocidas como Clases, Familias y Componentes, estos últimos albergan en su interior elementos, que son el mínimo nivel de expresión de requisitos.

Todo esto no tendría mucho sentido sin una metodología de evaluación, que es el cuarto documento en discordia y que expone el conjunto mínimo de acciones que debe desempeñar un tester durante una evaluación CC.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

,

ISO/IEC 15408 Common Criteria (I)

Ene 5

Posteado por Miguel Ángel Hernández Ruiz en Seguridad de la Información

No hay comentarios

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
o-o-o-o-o-o-o-o-Espacio para felicitaciones :) -o-o-o-o-o-o-o
Me he querido reservar este espacio para felicitaos el año nuevo y desearos lo mejor a todos para este, esperemos que próspero y seguro, 2010 ya empezado.
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o

Categoría: Seguridad de la Información

Introducción

Common Criteria (en adelante CC) con un total de más de 600 páginas entre las 3 normas nos plantea una magnitud de información en estudio bastante grande, sobre todo para aquellos que, como yo, somos profanos en la evaluación de aplicaciones.

Este post no tiene como objetivo ser exhaustivo en cuanto a todo lo expuesto por las 3 normas que conforman la familia ISO/IEC 15408 sino dar unas pinceladas de lo que se pretende para que nos pueda servir como base de conocimiento suficiente para saber de qué va esto de los criterios comunes (y para posibles post posteriores).

¿Por qué nacen?

Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.

El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.


*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

,