La National Information Assurance Partnership (NIAP) es una iniciativa del gobierno de los Estados Unidos para satisfacer las necesidades de pruebas de seguridad tanto de los consumidores como de los productores de tecnología de la información que es operada por la Agencia de Seguridad Nacional (NSA), y fue originalmente un esfuerzo conjunto entre la NSA y la National. Instituto de Estándares y Tecnología (NIST).
Propósito
El objetivo a largo plazo de NIAP es ayudar a aumentar el nivel de confianza que los consumidores tienen en sus sistemas y redes de información mediante el uso de programas de prueba, evaluación y validación de seguridad rentables. Al cumplir con este objetivo, NIAP busca:
- Promover el desarrollo y uso de productos y sistemas de TI evaluados.
- Defender el desarrollo y el uso de estándares nacionales e internacionales para la seguridad de TI.
- Fomentar la investigación y el desarrollo en la definición de requisitos de seguridad de TI, métodos de prueba, herramientas, técnicas y métricas de garantía.
- Apoyar un marco para el reconocimiento internacional y la aceptación de las pruebas de seguridad de TI y los resultados de la evaluación.
- Facilitar el desarrollo y el crecimiento de una industria de pruebas de seguridad comercial dentro de los EE. UU.
Servicios
- Esquema de evaluación y validación de criterios comunes (CCEVS)
- Guía de configuración del producto / sistema
- Evaluación del perfil de producto y protección
- Manuales de instrucciones de coherencia
Organismo de validación de NIAP
El principal objetivo del organismo de validación de NIAP es garantizar la prestación de servicios competentes de evaluación y validación de seguridad de TI tanto para el gobierno como para la industria. El Órgano de Validación tiene la responsabilidad última del funcionamiento del CCEVS de acuerdo con sus políticas y procedimientos y, en su caso: interpretar y modificar esas políticas y procedimientos. La NSA es responsable de proporcionar recursos suficientes al Organismo de Validación para que pueda cumplir con sus responsabilidades.
El Órgano de Validación está dirigido por un Director y un Director Adjunto seleccionados por la dirección de la NSA. El Director del Organismo de Validación reporta al Director del NIAP para asuntos administrativos y presupuestarios y a las autoridades emisoras de certificados de la NSA para asuntos operativos relacionados con CCEVS. En general, el Director y el Director adjunto sirven por un período de servicio de dos años. Este período de servicio puede extenderse a discreción de la administración de la NSA. También se requiere un número significativo de personal de apoyo técnico y administrativo para proporcionar una gama completa de servicios de validación para los patrocinadores de las evaluaciones y los Laboratorios de Ensayos de Criterios Comunes (CCTL). Este personal incluye validadores, expertos técnicos en diversas células tecnológicas y miembros de alto nivel del personal técnico y la comunidad de seguridad de TI en la junta de supervisión.
El Organismo de Validación asegura que existen los mecanismos apropiados para proteger los intereses de todas las partes dentro del CCEVS que participan en el proceso de evaluación de la seguridad de TI. Cualquier disputa planteada por una parte participante, (es decir, patrocinador de una evaluación, producto o desarrollador de Perfil de Protección o CCTL), con respecto al funcionamiento del CCEVS o cualquiera de sus actividades asociadas se remitirá al Organismo de Validación para su resolución. En disputas que involucren al Organismo de Validación, la gerencia de la NSA intentará resolver la disputa a través de los procedimientos acordados por las dos organizaciones.