Criterios comunes

Este estándar, los Criterios Comunes (CC), tiene como finalidad el ser usado como base para la evaluación de las propiedades de seguridad de los productos y sistemas de Tecnologías de la Información (TI). Estableciendo esta base de criterios comunes, los resultados de una evaluación de seguridad de TI será significativa para una mayor audiencia.

Los CC permitirán la comparación entre los resultados de evaluaciones de seguridad independientes, al proporcionar un conjunto común de requisitos para las funciones de seguridad de los productos y sistemas de TI y para las medidas de garantía aplicadas a éstos durante la evaluación de seguridad. El proceso de evaluación establece un nivel de confianza del grado en que las funciones de seguridad de tales productos y sistemas y las medidas de garantía aplicadas coinciden con aquellos requisitos. Los resultados de la evaluación pueden ayudar a los consumidores a determinar si el producto o sistema de TI es suficientemente seguro para la aplicación pretendida y si los riesgos de seguridad implícitos en su uso son aceptables.

Los CC son útiles como guía para el desarrollo de productos o sistemas con funciones de seguridad de TI y para la adquisición de productos y sistemas comerciales con dichas funciones. Durante la evaluación, el producto o sistema de TI es conocido como el objeto de evaluación o TOE (Target Of Evaluation). Este TOE incluye, por ejemplo, sistemas operativos, redes de ordenadores, sistemas distribuidos y aplicaciones.

Los CC tratan la protección de la información contra la revelación no autorizada, modificación o pérdida de uso. Las categorías de protección relacionadas con estos tres tipos de fallos de seguridad son llamadas normalmente confidencialidad, integridad y disponibilidad respectivamente. Los CC pueden ser también aplicables en aspectos de seguridad de TI distintos a estos tres. Los CC se concentran en aquellas amenazas que provienen de una actividad humana, ya sea maliciosa o de otro tipo, pero también pueden ser aplicables a otras amenazas no humanas. Además, los CC pueden ser aplicados en otras áreas distintas de TI pero no se hace ninguna declaración de competencia fuera del estricto ámbito de la seguridad de TI.

Los CC son aplicables a las medidas de seguridad de TI implementadas en hardware, firmware o software. Cuando se pretenda tratar aspectos particulares de evaluación a aplicar sólo en determinados métodos de implementación, se indicará expresamente en las declaraciones de los criterios correspondientes.

Algunos temas, porque involucran técnicas especializadas o porque son, de alguna manera, adyacentes a la seguridad de TI, son considerados ajenos a la finalidad de los CC. Entre estos cabe destacar los siguientes:

Los CC no contienen criterios de evaluación de la seguridad correspondientes a medidas de seguridad administrativa no relacionadas directamente con las medidas de seguridad de TI. Sin embargo, se reconoce que una parte significativa de la seguridad de un TOE puede, a menudo, proporcionarse a través de medidas administrativas (organizativas, de personal, físicas y control de procedimientos). Las medidas de seguridad administrativas, en el entorno operativo del TOE, son tratadas como hipótesis de un uso seguro donde éstas tienen un impacto importante en la capacidad de las medidas de seguridad de TI para contrarrestar las amenazas identificadas.
La evaluación de aspectos técnicos físicos de la seguridad de TI como control de radiaciones electromagnéticas no se trata específicamente, aunque varios de los conceptos tratados serán aplicables en este área. En particular, los CC tratan algunos aspectos de la protección física del TOE.
Los CC no tratan ni la metodología de evaluación ni el marco administrativo y legal bajo el cual los criterios pueden ser aplicados por las autoridades de evaluación. Sin embargo, se espera que los CC sean usados para propósitos de evaluación en el contexto de un determinado marco administrativo y con una determinada metodología.
Los procedimientos para el uso de los resultados de la evaluación en la acreditación de productos o sistemas están fuera del objetivo de los CC. La acreditación de un producto o sistema es el proceso administrativo por el que se autoriza el uso de dicho producto o sistema de TI en su entorno operativo. La evaluación se centra en las partes de seguridad de TI del producto o sistema y en aquellas partes del entorno operativo que pueden afectar directamente el seguro uso de los elementos de TI. Los resultados del proceso de evaluación son, por lo tanto, un dato de valor para el proceso de acreditación. Sin embargo, como hay otras técnicas más apropiadas para la valoración, tanto de las propiedades de seguridad de un producto o sistema no relacionadas con TI, como de su relación con las partes de seguridad de TI, los acreditadores deberán establecer separadamente estos aspectos.
Los criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos no se tratan en los CC. Si se necesita una valoración independiente de las propiedades matemáticas de la criptografía introducida en un TOE, deberá ser proporcionada por el esquema bajo el cual se están aplicando los CC.

Sesión

Videotutoriales

Post foros

Respuestas foros

Descargas

Proyecto A Obtener Procesos WMI en CSharp de Visual Studio .NET

Ejercicios resueltos programación funcional y excepciones en Python

Ejercicios resueltos módulos, paquetes y Programación Orientada a Objetos en Python

Ejercicios resueltos áreas, máximo, mínimo, media, listas en Python

Código fuente Python y ejecutables Linux y Windows de script EstadoSitio.py

Wiki

Descarga de la IOS de Cisco para router C7200 c7200-advipservicesk9-mz.152-4.S5.bin

Descarga de la IOS de Cisco para router C3725 c3725-adventerprisek9-mz.124-25d.bin

Turbo Pascal 7.0

BDE Borland Database Engine 5.2

ProyectoA Envío email TLS SSL v.1.6.8.69 con código fuente completo en Delphi 6

Indy Internet Direct 10.0.52 source code para instalar en Delphi desde 4 a 8 .Net XE RAD Studio C++Builder

Driver/Controlador en formato ZIP con el XML y el VIB para VMware ESXi de NIC Realtek RTL8168

Proyecto y aplicación web en Django de Python de sitio web completo para eliminar modificar y crear contactos en BD MySQL MariaDB

AjpdSoft Generador y Lector códigos QR Código Fuente VB Net

Ejemplo contenido fichero my.ini de MySQL en instalación sobre Windows con AppServ en unidad D