Criteris comuns

Els criteris comuns per a l'avaluació de la seguretat de les tecnologies de la informació (conegut com a criteris comuns o CC) és una norma internacional (ISO / IEC 15408) per a la certificació de seguretat informàtica. Actualment es troba a la versió 3.1 revisió 5.[1]

Common Criteria és un marc en què els usuaris de sistemes informàtics poden especificar els seus requisits funcionals i de garantia de seguretat (SFR i SAR, respectivament) en un objectiu de seguretat (ST) i es poden extreure dels perfils de protecció (PP). Els venedors poden implementar o fer afirmacions sobre els atributs de seguretat dels seus productes, i els laboratoris de proves poden avaluar els productes per determinar si realment compleixen les afirmacions. En altres paraules, Common Criteria garanteix que el procés d'especificació, implementació i avaluació d'un producte de seguretat informàtica s'ha dut a terme d'una manera rigorosa, estàndard i repetible a un nivell proporcional a l'entorn objectiu per al seu ús.[2] Common Criteria manté una llista de productes certificats, inclosos sistemes operatius, sistemes de control d'accés, bases de dades i sistemes de gestió de claus.[3]

Conceptes clau

[modifica]

Les avaluacions de Common Criteria es realitzen en productes i sistemes de seguretat informàtica.[4]

  • Objectiu de l'avaluació (TOE): el producte o sistema objecte de l'avaluació. L'avaluació serveix per validar les afirmacions fetes sobre l'objectiu. Per ser útil, l'avaluació ha de verificar les característiques de seguretat de l'objectiu. Això es fa mitjançant el següent:
    • Perfil de protecció (PP): un document, creat normalment per un usuari o una comunitat d'usuaris, que identifica els requisits de seguretat per a una classe de dispositius de seguretat (per exemple, targetes intel·ligents utilitzades per proporcionar signatures digitals o tallafocs de xarxa) rellevants per a aquest usuari per a un finalitat particular. Els venedors de productes poden optar per implementar productes que compleixin amb un o més PP i avaluar els seus productes amb aquests PP. En aquest cas, un PP pot servir com a plantilla per a la ST del producte (Security Target, tal com es defineix a continuació), o els autors de l'ST almenys s'asseguraran que tots els requisits dels PP rellevants també apareguin al document ST de l'objectiu. Els clients que busquen determinats tipus de productes poden centrar-se en aquells certificats contra el PP que compleixen els seus requisits.
    • Objectiu de seguretat (ST): el document que identifica les propietats de seguretat de l'objectiu de l'avaluació. El ST pot reclamar la conformitat amb un o més PP. El TOE s'avalua amb els SFR (Security Functional Requirements. De nou, vegeu més avall) establerts en el seu ST, ni més ni menys. Això permet als venedors adaptar l'avaluació per adaptar-se amb precisió a les capacitats previstes del seu producte. Això vol dir que un tallafoc de xarxa no ha de complir els mateixos requisits funcionals que un sistema de gestió de bases de dades i que, de fet, es poden avaluar diferents tallafocs amb llistes de requisits completament diferents. El ST es publica normalment perquè els clients potencials puguin determinar les característiques de seguretat específiques que han estat certificades per l'avaluació.
    • Requisits funcionals de seguretat (SFR): especifiquen les funcions de seguretat individuals que pot proporcionar un producte. Common Criteria presenta un catàleg estàndard d'aquestes funcions. Per exemple, un SFR pot indicar com es pot autenticar un usuari que actua amb una funció determinada. La llista de SFR pot variar d'una avaluació a una altra, fins i tot si dos objectius són el mateix tipus de producte. Tot i que Common Criteria no prescriu que s'inclogui cap SFR en una ST, identifica dependències on el correcte funcionament d'una funció (com ara la capacitat de limitar l'accés segons els rols) depèn d'una altra (com la capacitat d'identificar rols individuals). ).

El procés d'avaluació també intenta establir el nivell de confiança que es pot dipositar en les característiques de seguretat del producte mitjançant processos de garantia de qualitat:

  • Requisits de garantia de seguretat (SAR): descripcions de les mesures preses durant el desenvolupament i l'avaluació del producte per assegurar el compliment de la funcionalitat de seguretat reclamada. Per exemple, una avaluació pot requerir que tot el codi font es mantingui en un sistema de gestió de canvis o que es realitzin proves funcionals completes. Els criteris comuns ofereixen un catàleg d'aquests, i els requisits poden variar d'una avaluació a una altra. Els requisits per a objectius concrets o tipus de productes estan documentats a l'ST i al PP, respectivament.
  • Nivell de garantia de l'avaluació (EAL): la qualificació numèrica que descriu la profunditat i el rigor d'una avaluació. Cada EAL correspon a un paquet de requisits de garantia de seguretat (SAR, vegeu més amunt) que cobreix el desenvolupament complet d'un producte, amb un nivell determinat d'estricte. Common Criteria enumera set nivells, amb EAL 1 sent el més bàsic (i, per tant, el més barat d'implementar i avaluar) i EAL 7 sent el més estricte (i el més car). Normalment, un autor ST o PP no seleccionarà els requisits de garantia individualment, sinó que triarà un d'aquests paquets, possiblement "augmentant" els requisits en algunes àrees amb requisits d'un nivell superior. Els EAL més alts no impliquen necessàriament "una millor seguretat", sinó que només volen dir que la garantia de seguretat reclamada del TOE s'ha verificat de manera més àmplia.

Fins ara, la majoria dels PP i els ST/productes certificats més avaluats han estat per a components informàtics (p. ex., tallafocs, sistemes operatius, targetes intel·ligents).

La certificació Common Criteria de vegades s'especifica per a la contractació de TI. Altres estàndards que contenen, per exemple, interoperació, gestió del sistema, formació d'usuaris, suplement CC i altres estàndards de producte. Alguns exemples inclouen la ISO/IEC 27002 i la protecció de referència alemanya de TI.

Els detalls de la implementació criptogràfica dins del TOE estan fora de l'àmbit del CC. En canvi, els estàndards nacionals, com el FIPS 140-2, donen les especificacions per als mòduls criptogràfics i diversos estàndards especifiquen els algorismes criptogràfics que s'utilitzen.

Més recentment, els autors de PP inclouen requisits criptogràfics per a avaluacions CC que normalment estarien coberts per avaluacions FIPS 140-2, ampliant els límits del CC mitjançant interpretacions específiques de l'esquema.

Alguns esquemes d'avaluació nacionals estan eliminant progressivament les avaluacions basades en EAL i només accepten productes per a l'avaluació que afirmen que compleixen estrictament amb un PP aprovat. Actualment, els Estats Units només permeten avaluacions basades en PP.

Història

[modifica]

CC es va originar a partir de tres estàndards:

  • ITSEC- L'estàndard europeu, desenvolupat a principis de la dècada de 1990 per França, Alemanya, els Països Baixos i el Regne Unit. També va ser una unificació de treballs anteriors, com els dos enfocaments del Regne Unit (l'esquema d'avaluació del CESG del Regne Unit destinat al mercat de defensa/intel·ligència i el Llibre Verd de DTI destinat a l'ús comercial), i va ser adoptat per alguns altres països, com ara Austràlia.
  • CTCPEC: l'estàndard canadenc va seguir l'estàndard del DoD dels EUA, però va evitar diversos problemes i va ser utilitzat conjuntament per avaluadors tant dels EUA com del Canadà. L'estàndard CTCPEC es va publicar per primera vegada el maig de 1993.
  • TCSEC- El Departament de Defensa dels Estats Units DoD 5200.28 Std, anomenat Orange Book i parts de la sèrie Rainbow. L'Orange Book es va originar a partir del treball de seguretat informàtica, inclòs l'Informe Anderson, realitzat per l'Agència de Seguretat Nacional i l'Oficina Nacional d'Estàndards (la NBS finalment es va convertir en NIST) a finals dels anys setanta i principis dels vuitanta. La tesi central del Llibre Taronja parteix del treball realitzat per Dave Bell i Len LaPadula per a un conjunt de mecanismes de protecció.

CC es va produir unificant aquests estàndards preexistents, principalment perquè les empreses que venen productes informàtics per al mercat governamental (principalment per a ús de Defensa o Intel·ligència) només els necessitarien avaluar-los en funció d'un conjunt d'estàndards. El CC va ser desenvolupat pels governs del Canadà, França, Alemanya, els Països Baixos, el Regne Unit i els EUA

Referències

[modifica]
  1. «Publications: CC Portal» (en anglès). [Consulta: 6 gener 2024].
  2. «Common Criteria - Communication Security Establishment» (en anglès). Arxivat de l'original el 2021-02-01. [Consulta: 2 març 2015].
  3. «Common Criteria Certified Products» (en anglès). [Consulta: 30 desembre 2023].
  4. «Common Criteria : CC Portal» (en anglès). [Consulta: 3 octubre 2024].