patrón hexagonal morado
Recurso

¿Qué son los Common Criteria?

Una de las mejores formas de cumplir con los requisitos de ciberseguridad y conformidad es utilizar un producto con la certificación según los criterios comunes, reconocida en todo el mundo.

¿No le resulta familiar? Permítanos explicárselo.

A continuación, hablaremos sobre los aspectos básicos de la evaluación según los criterios comunes. Exploraremos todo lo que hay que saber, desde qué es y por qué es importante hasta cómo un producto certificado puede ayudar a su empresa.

¿Qué es la certificación según los criterios comunes?

Los criterios comunes para la evaluación de la seguridad de la tecnología de la información, abreviados como criterios comunes o CC, son una norma internacional para la certificación de la seguridad informática. Basados en la norma ISO/IEC 15408, su principal objetivo es garantizar que los productos de seguridad informática se hayan evaluado de forma rigurosa y repetible. Más concretamente, garantizan que cada producto pase por un proceso de pruebas acorde con su uso previsto.

Originalmente, el proceso de certificación según los CC se desarrolló para unificar y sustituir los sistemas de certificación de seguridad de diferentes países. Entre ellos, Estados Unidos, Canadá, Alemania, Reino Unido, Francia, Australia y Nueva Zelanda. Ahora, como marco integral de ciberseguridad, proporciona el más amplio reconocimiento mutuo de productos informáticos seguros en todo el mundo.

Descripción

Gobiernos y empresas de distintas partes del mundo requieren soluciones certificadas según los criterios comunes para proteger las infraestructuras indispensables.

De hecho, suele ser un requisito previo para los servicios de firma electrónica calificada en virtud de la normativa de la Unión Europea sobre los servicios electrónicos de identificación, autenticación y confianza, más conocidos como eIDAS. Adicionalmente, los clientes del gobierno estadounidense con frecuencia solicitan productos de TI seguros que estén en la lista de la Asociación Nacional de Garantía de la Información (NIAP), que exige la certificación según los criterios comunes.

¿Por qué? Porque la norma de criterios comunes garantiza que determinados aspectos de la seguridad de los productos se hayan implantado, probado, mantenido y verificado de forma independiente. Entre los requisitos de seguridad, la certificación según los CC aborda lo siguiente:

  • Desarrollo del producto y las funciones de seguridad relacionadas, incluidas el diseño de alto nivel, la arquitectura y la implementación
  • Orientación para la implantación y preparación de productos seguros
  • Gestión del ciclo de vida de los documentos y procesos relacionados con la configuración, la entrega y la retirada de productos
  • Comprobación de las funciones de seguridad de acuerdo con los requisitos básicos

Autoridades de certificación

Como norma internacional, los criterios comunes se gestionan a través de una asociación de varios países mediante organizaciones conocidas como organismos de certificación. Cada organismo de certificación es responsable de evaluar y certificar de forma independiente los productos conforme a los requisitos de seguridad de los criterios comunes.

Comprensión de los criterios comunes: Conceptos clave

Hay varios términos y frases exclusivos de la norma de criterios comunes. He aquí un rápido desglose de cada uno y por qué son significativos:

  • Objetivo de evaluación (TOE): Se refiere simplemente al producto que se somete al proceso de evaluación según los CC.
  • Objetivo de seguridad (ST): Un objetivo de seguridad es un documento que define las características y propiedades de seguridad del TOE. El ST permite a los proveedores adaptar la evaluación a las capacidades específicas de su solución, al tiempo que ayuda a los clientes a identificar qué funciones de seguridad se han probado. Puede referirse a uno o varios perfiles de protección (PP).
  • Perfil de protección (PP): Se trata de un documento creado para ayudar a identificar los requisitos de seguridad de un tipo específico de producto, como un dispositivo de creación de firmas calificadas. Los proveedores suelen utilizar un perfil de protección como base para crear su propio objetivo de seguridad.
  • Requisitos funcionales de seguridad (SFR): Se refiere a todas las funciones y capacidades de seguridad exclusivas de un producto.
  • Requisitos de garantía de seguridad (SAR): Una lista de SAR se utiliza para describir los pasos necesarios a fin de garantizar que un producto cumple las normas declaradas.
  • Nivel de garantía de evaluación (EAL): El EAL es una calificación numérica que describe la profundidad y el rigor del proceso de evaluación. Más sencillamente, indica a los clientes con qué intensidad se ha probado un producto de acuerdo con sus requisitos de garantía de seguridad. Los EAL oscilan entre 1 (el más básico) y 7 (el más estricto).

Proceso de certificación según los criterios comunes

Todos los productos y las soluciones certificados según los criterios comunes deben someterse a pruebas y verificaciones independientes en virtud del proceso de evaluación específico:

  1. En primer lugar, el desarrollador debe cumplimentar una descripción del objetivo de seguridad y presentar los documentos justificativos que describan el producto, sus funciones de seguridad y las posibles vulnerabilidades.
  2. Opcionalmente, la organización puede elegir un perfil de protección que le sirva de documento guía durante todo el proceso de certificación según los CC. La elección de un PP puede no ser necesaria, pero significa un compromiso con la evaluación exhaustiva, garantizando que el TOE está alineado con el caso de uso previsto.
  3. A continuación, un organismo de certificación con licencia independiente debe evaluar el producto para comprobar si cumple la norma de criterios comunes. Una vez que termina, debe recopilar las conclusiones en un informe de evaluación.
  4. Si el TOE cumple los requisitos mínimos, un organismo de certificación expide un certificado de criterios comunes.

Una vez verificados, todos los productos certificados según los criterios comunes aparecen en el portal de criterios comunes.

Aproveche los criterios comunes con los HSM nShield de Entrust y el módulo de activación de firmas para sus proyectos de firma digital.

Los módulos de seguridad de hardware (HSM) nShield de Entrust brindan seguridad que ha sido probada y certificada según el riguroso estándar de los criterios comunes, lo que lo ayuda a cumplir con las regulaciones y, al mismo tiempo, le brinda la confianza que necesita en su solución de seguridad.

Con una certificación de CC se verifica que Solo XC, Connect X y nShield 5HSM cumplan los requisitos del perfil de protección de criterios comunes EN 419 221-5, la norma del sector para todos los módulos de seguridad de hardware. Nuestras soluciones le ofrecen garantías de seguridad y le permiten generar activos criptográficos conforme a eIDAS.

Estos HSM proporcionan un entorno reforzado y a prueba de manipulaciones indebidas para el procesamiento criptográfico seguro, la generación y protección de claves, el cifrado y mucho más. Disponibles en tres factores de forma y como oferta de servicio, los HSM nShield de Entrust admiten una variedad de escenarios de implementación.

Si desea implantar un servicio de firma remota compatible con eIDAS, Entrust también ofrece un módulo de activación de firma (SAM) certificado conforme a los criterios comunes CEN EN 419 241-2. Puede combinarlo con uno de nuestros HSM con certificación según los CC para implantar un dispositivo de creación de firmas calificadas (QSCD) compatible con eIDAS.

¿Quiere saber más sobre nuestros HSM nShield? Descargue hoy mismo nuestro último libro electrónico sobre módulos de seguridad de hardware.

Descargar