Acrónimos: CC (es), CC
Ver:
·
ITSEC -
Information Technology Security Evaluation Criteria
·
TCSEC -
Trusted Computer System Evaluation Criteria
·
http://en.wikipedia.org/wiki/Common_Criteria
·
Nivel de
garantía de evaluación
·
Activo
·
Garantía
·
Ataque
·
Información
de autenticación
·
Bypass
·
Prueba
·
Rol
·
Formal
·
Informal
Este estándar, los Criterios Comunes (CC), tiene
como finalidad el ser usado como base para la evaluación de las propiedades de
seguridad de los productos y sistemas de Tecnologías de la Información (TI).
Estableciendo esta base de criterios comunes, los resultados de una evaluación
de seguridad de TI será significativa para una mayor audiencia.
Los CC permitirán la comparación entre los
resultados de evaluaciones de seguridad independientes, al proporcionar un
conjunto común de requisitos para las funciones de seguridad de los productos y
sistemas de TI y para las medidas de garantía aplicadas a éstos durante la
evaluación de seguridad. El proceso de evaluación establece un nivel de
confianza del grado en que las funciones de seguridad de tales productos y
sistemas y las medidas de garantía aplicadas coinciden con aquellos requisitos.
Los resultados de la evaluación pueden ayudar a los consumidores a determinar
si el producto o sistema de TI es suficientemente seguro para la aplicación
pretendida y si los riesgos de seguridad implícitos en su uso son aceptables.
Los CC son útiles como guía para el desarrollo de
productos o sistemas con funciones de seguridad de TI y para la adquisición de
productos y sistemas comerciales con dichas funciones. Durante la evaluación,
el producto o sistema de TI es conocido como el objeto de evaluación o TOE
(Target Of Evaluation). Este TOE incluye, por ejemplo, sistemas operativos,
redes de ordenadores, sistemas distribuidos y aplicaciones.
Los CC tratan la protección de la información contra
la revelación no autorizada, modificación o pérdida de uso. Las categorías de
protección relacionadas con estos tres tipos de fallos de seguridad son
llamadas normalmente confidencialidad, integridad y disponibilidad respectivamente.
Los CC pueden ser también aplicables en aspectos de seguridad de TI distintos a
estos tres. Los CC se concentran en aquellas amenazas que provienen de una
actividad humana, ya sea maliciosa o de otro tipo, pero también pueden ser
aplicables a otras amenazas no humanas. Además, los CC pueden ser aplicados en
otras áreas distintas de TI pero no se hace ninguna declaración de competencia
fuera del estricto ámbito de la seguridad de TI.
Los CC son aplicables a las medidas de seguridad de
TI implementadas en hardware, firmware o software. Cuando se pretenda tratar
aspectos particulares de evaluación a aplicar sólo en determinados métodos de
implementación, se indicará expresamente en las declaraciones de los criterios
correspondientes.
Algunos temas, porque involucran técnicas
especializadas o porque son, de alguna manera, adyacentes a la seguridad de TI,
son considerados ajenos a la finalidad de los CC. Entre estos cabe destacar los
siguientes:
·
Los CC no contienen criterios de
evaluación de la seguridad correspondientes a medidas de seguridad
administrativa no relacionadas directamente con las medidas de seguridad de TI.
Sin embargo, se reconoce que una parte significativa de la seguridad de un TOE
puede, a menudo, proporcionarse a través de medidas administrativas
(organizativas, de personal, físicas y control de procedimientos). Las medidas
de seguridad administrativas, en el entorno operativo del TOE, son tratadas
como hipótesis de un uso seguro donde éstas tienen un impacto importante en la
capacidad de las medidas de seguridad de TI para contrarrestar las amenazas
identificadas.
·
La evaluación de aspectos técnicos
físicos de la seguridad de TI como control de radiaciones electromagnéticas no
se trata específicamente, aunque varios de los conceptos tratados serán
aplicables en este área. En particular, los CC tratan algunos aspectos de la
protección física del TOE.
·
Los CC no tratan ni la metodología
de evaluación ni el marco administrativo y legal bajo el cual los criterios
pueden ser aplicados por las autoridades de evaluación. Sin embargo, se espera
que los CC sean usados para propósitos de evaluación en el contexto de un
determinado marco administrativo y con una determinada metodología.
·
Los procedimientos para el uso de
los resultados de la evaluación en la acreditación de productos o sistemas
están fuera del objetivo de los CC. La acreditación de un producto o sistema es
el proceso administrativo por el que se autoriza el uso de dicho producto o
sistema de TI en su entorno operativo. La evaluación se centra en las partes de
seguridad de TI del producto o sistema y en aquellas partes del entorno
operativo que pueden afectar directamente el seguro uso de los elementos de TI.
Los resultados del proceso de evaluación son, por lo tanto, un dato de valor
para el proceso de acreditación. Sin embargo, como hay otras técnicas más
apropiadas para la valoración, tanto de las propiedades de seguridad de un
producto o sistema no relacionadas con TI, como de su relación con las partes
de seguridad de TI, los acreditadores deberán establecer separadamente estos
aspectos.
·
Los criterios para la valoración
de las cualidades inherentes de los algoritmos criptográficos no se tratan en
los CC. Si se necesita una valoración independiente de las propiedades
matemáticas de la criptografía introducida en un TOE, deberá ser proporcionada
por el esquema bajo el cual se están aplicando los CC.
[CC:2006]
Governing document that
provides a comprehensive, rigorous method for specifying security function and
assurance requirements for products and systems. [CNSSI_4009:2010]
The CC will permit
comparability between the results of independent security evaluations. It does
so by providing a common set of requirements for the security functions of IT
products and systems and for assurance measures applied to them during a
security evaluation. The evaluation process establishes a level of confidence
that the security functions of such products and systems and the assurance
measures applied to them meet these requirements. The evaluation results may
help consumers to determine whether the IT product or system is secure enough
for their intended application and whether the security risks implicit in its
use are tolerable. [CC:2006]
Governing document that
provides a comprehensive, rigorous method for specifying security function and
assurance requirements for products and systems
The Tallinn Manual, 2013