Common Criteria (CC) es un conjunto internacional de pautas y especificaciones desarrolladas para evaluar productos de seguridad de la información, específicamente para garantizar que cumplan con un estándar de seguridad acordado para implementaciones gubernamentales. Common Criteria se denomina más formalmente "Criterios comunes para la evaluación de la seguridad de la tecnología de la información".
Common Criteria tiene dos componentes clave: perfiles de protección y niveles de garantía de evaluación. Un perfil de protección (PPro) define un conjunto estándar de requisitos de seguridad para un tipo específico de producto, como un firewall. El nivel de garantía de evaluación (EAL) define qué tan a fondo se prueba el producto. Los Niveles de Garantía de Evaluación se escalan del 1 al 7, siendo uno el nivel más bajo de evaluación y siete el nivel más alto de evaluación. Una evaluación de nivel superior no significa que el producto tenga un nivel de seguridad más alto, solo que el producto pasó por más pruebas.
Para enviar un producto para evaluación, el proveedor primero debe completar una descripción de Security Target (ST), que incluye una descripción general del producto y las características de seguridad del producto, una evaluación de las amenazas de seguridad potenciales y la autoevaluación del proveedor que detalla cómo el producto cumple con el perfil de protección relevante en el nivel de garantía de evaluación que el proveedor elige para realizar la prueba. Luego, el laboratorio prueba el producto para verificar las características de seguridad del producto y evalúa qué tan bien cumple con las especificaciones definidas en el Perfil de protección. Los resultados de una evaluación exitosa forman la base para una certificación oficial del producto. El objetivo de la certificación CC es asegurar a los clientes que los productos que están comprando han sido evaluados y que las afirmaciones del proveedor han sido verificadas por un tercero independiente del proveedor.
Aprende más:
Common Criteria Portal hace que las pautas y especificaciones estén disponibles para su descarga.
Los Criterios de evaluación de sistemas informáticos de confianza fueron reemplazados por los Criterios comunes para la evaluación de la seguridad de la tecnología de la información en 2005.