padrão hexadecimal roxo
Recurso

O que é Common Criteria?

Uma das melhores maneiras de atender aos seus requisitos de segurança cibernética e conformidade é obter um produto com a certificação Common Criteria reconhecida mundialmente.

Não está familiarizado? Permita-nos explicar.

Abaixo, orientaremos você nos fundamentos da avaliação do Common Criteria. Desde o que é e por que é importante, até como um produto certificado pode ajudar sua empresa, vamos explorar tudo o que há para saber.

O que é a certificação Common Criteria?

O Common Criteria for Information Technology Security Evaluation (abreviado como Common Criteria ou CC) é um padrão internacional para certificação de segurança de computadores. Com base na ISO/IEC 15408, seu objetivo principal é fornecer garantia de que os produtos de segurança de TI foram avaliados de maneira rigorosa e repetível. Mais especificamente, garante que cada produto passe por um processo de teste proporcional ao caso de uso pretendido.

Originalmente, o processo de certificação CC foi desenvolvido para unificar e substituir esquemas de certificação de segurança de vários países. Isso incluiu os Estados Unidos, Canadá, Alemanha, Reino Unido, França, Austrália e Nova Zelândia. Agora, como uma estrutura abrangente de segurança cibernética, proporciona o mais amplo reconhecimento mútuo de produtos de TI seguros em todo o mundo.

Visão geral da Entrust

As soluções certificadas Common Criteria são exigidas por governos e empresas em todo o mundo para proteger suas infraestruturas de missão crítica.

Na verdade, muitas vezes é um pré-requisito para serviços qualificados de assinatura digital de acordo com a regulamentação de identificação eletrônica e serviços confiáveis da União Europeia, mais conhecida como eIDAS. Além disso, frequentemente clientes do governo dos EUA solicitam produtos de TI seguros listados na National Information Assurance Partnership (NIAP), o que exige a certificação Common Criteria.

Por quê? Porque o padrão Common Criteria oferece garantia de que determinados aspectos da segurança do produto foram completamente implementados, testados, mantidos e verificados de forma independente. Entre os seus requisitos de segurança, a certificação CC aborda:

  • Desenvolvimento do produto e funções de segurança relacionadas, incluindo projeto de alto nível, arquitetura e implementação
  • Orientação para implantação e preparação segura de produtos
  • Gerenciamento do ciclo de vida para documentos e processos relacionados à configuração, entrega e retirada de produtos
  • Testando funções de segurança de acordo com seus requisitos básicos

Autoridades de certificação

Como padrão internacional, o Common Criteria é gerenciado por uma parceria de vários países por meio de organizações chamadas Organismos de Certificação. Cada Organismo de Certificação é responsável por avaliar e certificar produtos de forma independente de acordo com os requisitos de segurança do Common Criteria.

Compreendendo o Common Criteria: Conceitos principais

Existem vários termos e frases exclusivos do padrão Common Criteria. Aqui está uma análise rápida de cada um e por que eles são importantes:

  • Meta de avaliação (TOE): Refere-se simplesmente ao produto que passa pelo processo de avaliação CC.
  • Meta de segurança (ST): Uma meta de segurança é um documento que define os recursos e propriedades de segurança do TOE. O ST permite que os fornecedores personalizem a avaliação de acordo com os recursos específicos de suas soluções, ao mesmo tempo que ajuda os clientes a identificar quais recursos de segurança foram testados. Pode referir-se a um ou mais perfis de proteção (PPs)
  • Perfil de proteção (PP): Este é um documento criado para ajudar a identificar os requisitos de segurança para um tipo específico de produto, como um Qualified Signature Creation Device. Os fornecedores costumam usar um perfil de proteção como base para criar sua própria meta de segurança.
  • Requisitos funcionais de segurança (SFRs): Refere-se a todas as funções e capacidades de segurança exclusivas de um produto.
  • Requisitos de garantia de segurança (SARs): Uma lista SAR é usada para descrever as etapas necessárias para garantir que um produto atenda aos padrões reivindicados.
  • Nível de garantia de avaliação (EAL): Um EAL é uma classificação numérica que descreve a profundidade e o rigor do processo de avaliação. Resumindo, informa aos clientes com que intensidade um produto foi testado de acordo com seus requisitos de garantia de segurança. Os EALs existem numa faixa de 1 (sendo o mais básico) a 7 (o mais rigoroso).

O processo de certificação Common Criteria

Todos os produtos e soluções certificados pelo Common Criteria devem ser testados e verificados de forma independente de acordo com um processo de avaliação específico:

  1. O desenvolvedor deve primeiro preencher uma descrição da Meta de Segurança e enviar quaisquer documentos de suporte que deem uma visão geral do produto, sua funcionalidade de segurança e quaisquer possíveis vulnerabilidades.
  2. Opcionalmente, a organização pode escolher um Perfil de proteção para servir como documento orientador durante todo o processo de certificação CC. A escolha de um PP pode não ser necessária, mas significa um compromisso com uma avaliação completa, garantindo que o TOE esteja alinhado com o caso de uso pretendido.
  3. Em seguida, um prganismo de certificação licenciado de forma independente deve avaliar o produto para verificar se ele atende ao padrão Common Criteria. Depois de concluído, compila as suas conclusões num relatório de avaliação.
  4. Se o TOE atender aos seus requisitos mínimos, um Organismo de certificação emite um certificado Common Criteria.

Depois de verificados, todos os produtos certificados pelo Common Criteria serão listados no portal Common Criteria.

Aproveite o Common Criteria com os HSMs nShield e o módulo de ativação de assinatura da Entrust para seus projetos de assinatura digital

Os módulos de segurança HSMs nShield da Entrust proporcionam uma segura raiz de confiança que tem sido testada e certificada de acordo com a rigorosa norma Common Criteria, ajudando você a manter a conformidade com as normas e ao mesmo tempo proporciona a confiança necessária em suas soluções de segurança.

Com uma certificação CC, nossos Solo XC, Connect X e nShield 5HSMs são verificados para atender aos requisitos do EN 419 221-5 Perfil de proteção de Common Criteria — o padrão da indústria para todos os módulos de segurança de hardware. Nossas soluções ajudam a fornecer garantia de segurança, permitindo gerar ativos criptográficos compatíveis com eIDAS.

Os HSM fornecem um ambiente robusto e resistente a adulterações para processamento criptográfico seguro, geração e proteção de chaves, criptografia e muito mais. Disponível em três fatores de forma e uma oferta como serviço, os HSMs nShield da Entrust podem ser usados em vários cenários de implementação.

Se você deseja implantar um serviço de assinatura remota compatível com eIDAS, a Entrust também oferece um Módulo de ativação de assinatura (SAM) certificado de acordo com o Common Criteria CEN EN 419 241-2. Você pode combiná-lo com um de nossos HSMs certificados pela CC para implantar um Qualified Signature Creation Device (QSCD) compatível com eIDAS.

Quer saber mais sobre nossos HSMs nShield? Baixe nosso e-book mais recente sobre módulos de segurança de hardware hoje mesmo.

Baixar