El modelo Common Criteria prevé la separación de las funciones de evaluador y certificador. Los certificados de productos son otorgados por esquemas nacionales sobre la base de evaluaciones realizadas por laboratorios de pruebas independientes .
Un laboratorio de pruebas de Common Criteria es una instalación de pruebas de seguridad comercial de terceros que está acreditada para realizar evaluaciones de seguridad de conformidad con el estándar internacional Common Criteria . Dicha instalación debe estar acreditada de acuerdo con ISO / IEC 17025 con su organismo de certificación nacional.
Ejemplos de
Lista de designaciones de laboratorios por país:
- En los Estados Unidos se les llama Laboratorio de Pruebas de Criterios Comunes (CCTL)
- En Canadá se les llama Common Criteria Evaluation Facility (CCEF)
- En el Reino Unido se denominan Instalaciones de Evaluación Comercial (CLEF)
- En Francia se denominan Centres d'Evaluation de la Sécurité des Technologies de l'Information (CESTI)
- En Alemania se denominan IT Security Evaluation Facility (ITSEF)
Acuerdo de reconocimiento de criterios comunes
El Acuerdo de Reconocimiento de Criterios Comunes (CCRA) o Acuerdo de Reconocimiento Mutuo de Criterios Comunes (MRA) [1] es un acuerdo internacional que reconoce las evaluaciones contra el estándar de Criterios Comunes realizadas en todos los países participantes.
Se entiende mutuamente que, con respecto a los productos de TI y los perfiles de protección, los Participantes planean reconocer los certificados de Criterios Comunes que hayan sido autorizados por cualquier otro certificado que autorice al Participante de acuerdo con los términos de este Acuerdo y de acuerdo con las leyes aplicables y reglamento de cada participante.
- Acuerdo internacional, Acuerdo sobre el reconocimiento de certificados de criterios comunes en el campo de la seguridad de las tecnologías de la información
Existen algunas limitaciones a este acuerdo y, en el pasado, solo se reconocían evaluaciones hasta EAL4 +. Con la transición en curso de los niveles de EAL y la introducción de evaluaciones de NDPP que se “mapean” hasta los componentes de aseguramiento de EAL4, continúan siendo reconocidos.
Estados Unidos
En los Estados Unidos, el Programa Nacional de Acreditación de Laboratorios Voluntarios (NVLAP) del Instituto Nacional de Estándares y Tecnología (NIST) acredita a los CCTL para cumplir con los requisitos del Esquema de Validación y Evaluación de Criterios Comunes de la Asociación Nacional de Aseguramiento de la Información (NIAP) y realizar evaluaciones de seguridad de TI para cumplir con los requisitos comunes. Criterios.
Requisitos CCTL
Estos laboratorios deben cumplir los siguientes requisitos:
- Manual NIST 150, Procedimientos NVLAP y requisitos generales
- NIST Handbook 150-20, NVLAP Information Technology Security Testing - Common Criteria
- Criterios específicos de NIAP para evaluaciones de seguridad de TI y otros requisitos definidos por NIAP
Los CCTL celebran acuerdos contractuales con patrocinadores para realizar evaluaciones de seguridad de productos de TI y perfiles de protección que utilizan el CCEVS, otros métodos de prueba aprobados por NIAP derivados de los Criterios Comunes, la Metodología Común y otras fuentes basadas en tecnología. Los CCTL deben observar los más altos estándares de imparcialidad, integridad y confidencialidad comercial. Los CCTL deben operar dentro de los lineamientos establecidos por el CCEVS.
Para convertirse en CCTL, un laboratorio de pruebas debe seguir una serie de pasos que involucran tanto al Organismo de Validación de NIAP como a NVLAP. La acreditación NVLAP es el requisito principal para lograr el estado CCTL. Algunos requisitos del esquema que no pueden ser satisfechos por la acreditación NVLAP son abordados por el Organismo de Validación de NIAP. En la actualidad, el Organismo de Validación solo impone tres requisitos específicos del sistema.
Los CCTL aprobados por NIAP deben estar de acuerdo con lo siguiente:
- Ubicado en los EE. UU. Y ser una entidad legal, debidamente organizada e incorporada, válidamente existente y en buen estado bajo las leyes del estado donde el laboratorio tiene la intención de hacer negocios.
- Aceptar la supervisión técnica del gobierno de los EE. UU. Y la validación de las actividades relacionadas con la evaluación de acuerdo con las políticas y procedimientos establecidos por la CCEVS.
- Acepte participantes del gobierno de EE. UU. En evaluaciones seleccionadas de Criterios Comunes
Acreditación CCTL
Un laboratorio de pruebas se convierte en CCTL cuando el laboratorio es aprobado por el organismo de validación de NIAP y está incluido en la lista de laboratorios aprobados .
Para evitar gastos innecesarios y retrasos en convertirse en un laboratorio de pruebas aprobado por NIAP, se recomienda encarecidamente que los posibles CCTL se aseguren de que pueden satisfacer los requisitos específicos del esquema antes de solicitar la acreditación de NVLAP. Esto se puede lograr enviando una carta de intención al NIAP antes de ingresar al proceso NVLAP.
Se puede encontrar información adicional relacionada con el laboratorio en las publicaciones del CCEVS:
- # 1 Esquema de evaluación y validación de criterios comunes para la seguridad de la tecnología de la información: organización, gestión y concepto de operaciones y publicación del esquema
- # 4 Esquema de evaluación y validación de criterios comunes para la seguridad de la tecnología de la información: orientación para los laboratorios de pruebas de criterios comunes
Canadá
En Canadá, el Programa de Criterios Comunes Canadienses (CCCS) del Establecimiento de Seguridad de las Comunicaciones de Canadá (CSEC) supervisa las Instalaciones de Evaluación de Criterios Comunes (CCEF). La acreditación es realizada por el Consejo de Normas de Canadá (SCC) bajo su Programa para la Acreditación de Laboratorios - Canadá (PALCAN) de acuerdo con CAN-P-1591, la adaptación del SCC de ISO / IEC 17025-2005 para Laboratorios ITSET. La aprobación es realizada por el Organismo de Certificación CCS, un organismo dentro del CSEC, y es la verificación de la capacidad del solicitante para realizar evaluaciones de Criterios Comunes competentes.
Notas
- ^ "Acuerdo sobre el reconocimiento de certificados de criterios comunes en el campo de la seguridad de la tecnología de la información" (PDF) . ESCNNA. 2013. Archivado desde el original (PDF) el 17 de octubre de 2013 . Consultado el 3 de marzo de 2013 .
enlaces externos
- EE.UU .: Esquema de validación y evaluación de criterios comunes
- EE.UU .: Laboratorios de pruebas de criterios comunes
- Canadá: Esquema de criterios comunes
- Canadá: instalaciones de evaluación de criterios comunes
- Acuerdo de reconocimiento de criterios comunes
- Lista de productos evaluados según Common Criteria
- ISO / IEC 15408 : disponible gratis como estándar público