SlideShare una empresa de Scribd logo

ISO 15408 Common Criteria

Descargar como PPTX, PDF
Julio Santy Gómez Torres
Julio Santy Gómez Torres

Common Criteria es un estándar internacional para la certificación de seguridad de productos TI. Proporciona criterios unificados para evaluar la seguridad de productos y recopila esfuerzos previos de varios países. Ayuda a usuarios a determinar el nivel de seguridad de un producto de forma estándar en lugar de por percepciones personales.

1 de 11
Julio Gómez Torres
 Es una estándar internacional de certificación de productos TI, resultado de una intensa y larga negociación de varios países.  Este estándar proporciona unos criterios de evaluación unificados para la seguridad de los productos TI y recoge todos los esfuerzos realizados desde los años 80 en este campo (TCSEC en Estados Unidos, ITSEC en la Comunidad Europea, CTCPEC en Canadá, Federal Criteria como un primer intento de acercamiento entre Estados Unidos y Europa, etc.).  Por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International OrganizationforStandardization (ISO) los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.  Gracias a CommonCriteria, los usuarios pueden determinar si un producto proporciona el nivel de seguridad que necesita siguiendo unos criterios estándar y no simples percepciones personales.  CommonCriteria exige a los fabricantes de los productos certificados publicar una documentación exhaustiva sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza en las evaluaciones de CommonCriteria ya que son realizadas por laboratorios independientes.  En definitiva, la existencia de un estándar de este tipo proporciona un lenguaje común entre los fabricantes, los usuarios y las administraciones que todos pueden entender de la misma manera. Los fabricantes utilizarán este lenguaje para definir las características de sus productos, los usuarios tendrán una manera única de especificar sus requerimientos, etc.
 Trusted Computer System Evaluation Criteria (TCSEC) (Libro Naranja) USA años 80.  ITSEC (Information Technology Securiti Evaluation Criteria) (Libro Blanco) Europa 1991  CTCPEC (Canadian Trusted Computer Product Evaluation) Canada 1993  Federal Criteria USA 1993  Luego al buscar un estándar internacional nace Common Cirteria (ISO/IEC 15408) 1999
 Actualmente hay veinticuatro países que han firmado un acuerdo de reconocimiento mutuo. Estos son: Alemania, Australia, Austria, Canadá, Dinamarca, España, Estados Unidos, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Japón, Noruega, Nueva Zelanda, Países Bajos, Reino Unido, República Checa, Republica de Corea, Suecia, República de Singapur y Turquía. Adicionalmente, otros países han sido emplazados a firmar el acuerdo mutuo de reconocimiento de Common Criteria. Además estos acuerdos también están ampliamente aceptados en países de la Unión Europea así como en Rusia y países del Este de Europa.
 Se divide en 3 partes:  INTRODUCCION Y MODELO GENERAL  COMPONENTES FUNCIONALES DE SEGURIDAD  COMPONENTES DE GARANTIA DE SEGURIDAD
 Define los conceptos y los principios generales de la evaluación de seguridad TI y proporciona un modelo de evaluación.  Los usuarios puedan especificar sus necesidades de seguridad, es decir, especificar qué funcionalidad deben tener los productos para cubrir esas necesidades, lo cual se concreta en los documentos denominados Perfiles de Protección.
 Establece el catálogo de requisitos funcionales de seguridad que sirven de plantillas para definir las funcionalidades de seguridad de un producto.  Los fabricantes e integradores puedan implementar y declarar los atributos de seguridad de sus productos, es decir, indicar qué hace cada producto, lo que se concreta en un documento llamado Declaración de Seguridad.
 Establece el catálogo de requisitos de garantía de seguridad que debe cumplir la documentación, el producto a evaluar, el entorno de desarrollo y otras partes implicadas en la seguridad del producto.  La tercera parte de Common Criteria también define el criterio de evaluación de los Perfiles de Protección (PP), declaraciones de seguridad (ST) y otras evidencias de evaluación. Se presentan en esta tercera parte siete paquetes de garantía predefinidos, los cuales son llamados niveles de garantía de evaluación (EAL).  A medida que se aumenta el nivel de garantía de evaluación (EAL), la inversión por parte del laboratorio en tiempo, recursos y exigencia técnica, también aumentan.
 En la siguiente tabla se describen los objetivos que se persiguen para cada nivel de garantía de evaluación EAL: EAL Descripción Objetivo EAL1 Ensayo funcional del producto Demostrar un correcto funcionamiento del producto mediante testing independiente, revisando la no aplicabilidad de amenazas de dominio público. EAL2 Ensayo estructural del producto Se añade una cooperación más activa del desarrollador en términos de la entrega del producto y los resultados de test. EAL3 Ensayo metódico y validación del producto Además de lo anteriormente dicho, se proporciona una alta garantía de seguridad en la fase de diseño del producto. EAL4 Diseño metódico, ensayo y validación del producto Proporcionar una alta garantía de aplicación de prácticas de seguridad en la fase de desarrollo y testing del producto. Nivel máximo y adecuado para productos en entornos comerciales. Diseño semi-formal y ensayo del producto Ofrece una alta garantía de aplicación con rigor de las prácticas de seguridad en la fase de desarrollo y testing del producto tanto a nivel del desarrollador cómo independiente. EAL6 Diseño semi-formal verificado y ensayo del producto Demuestra suficiencia en la protección de activos frente amenazas significativas, dónde el valor de estos activos justifica los costes adicionales de desarrollo. EAL7 Diseño formal verificado y ensayo del producto Proporciona máxima garantía en la protección de activos de alto valor, basados en un análisis formal del producto a nivel de desarrollo y testing. EAL5
 Blackberry OS  Vmware  Certificación Common Criteria Windows Server 2003 + Certificate Server  Certificación Common Criteria Windows XP SP2
 Common Criteria establece un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad.  Common Criteria nos ayuda a responder 3 importantes aspectos importantes sobre la seguridad de un producto:  ¿Que hace el Producto?  ¿Como se ha validado el producto?  ¿Quien ha validado el producto?

Recomendados

Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
ehe ml
 
Calidad del producto ISO 9126
Calidad del producto ISO 9126Calidad del producto ISO 9126
Calidad del producto ISO 9126
JekittaB
 
EstáNdares De Calidad Aplicadas Al Software
EstáNdares De Calidad Aplicadas Al SoftwareEstáNdares De Calidad Aplicadas Al Software
EstáNdares De Calidad Aplicadas Al Software
eduardo89
 
ISO/IEC 14598-5
ISO/IEC 14598-5ISO/IEC 14598-5
ISO/IEC 14598-5
johan allberto guerrero carreño
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
Guillermo Lemus
 
Estandares y modelos de calidad del software
Estandares y modelos de calidad del softwareEstandares y modelos de calidad del software
Estandares y modelos de calidad del software
aagalvisg
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del softwareReivaj Sagarv
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de Software
Karloz Dz
 

Recomendados

Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
ehe ml
 
Calidad del producto ISO 9126
Calidad del producto ISO 9126Calidad del producto ISO 9126
Calidad del producto ISO 9126
JekittaB
 
EstáNdares De Calidad Aplicadas Al Software
EstáNdares De Calidad Aplicadas Al SoftwareEstáNdares De Calidad Aplicadas Al Software
EstáNdares De Calidad Aplicadas Al Software
eduardo89
 
ISO/IEC 14598-5
ISO/IEC 14598-5ISO/IEC 14598-5
ISO/IEC 14598-5
johan allberto guerrero carreño
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
Guillermo Lemus
 
Estandares y modelos de calidad del software
Estandares y modelos de calidad del softwareEstandares y modelos de calidad del software
Estandares y modelos de calidad del software
aagalvisg
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del softwareReivaj Sagarv
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de Software
Karloz Dz
 
Guia iso 9126
Guia iso 9126Guia iso 9126
Guia iso 9126
Francisco Marcos Rodriguez Rivera
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del softwareJohns Chacon
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Conceptos basicos calidad software
Conceptos basicos calidad softwareConceptos basicos calidad software
Conceptos basicos calidad software
Carlos Alberto Valencia Garcia
 
Fase_3_Grupo_25.pptx
Fase_3_Grupo_25.pptxFase_3_Grupo_25.pptx
Fase_3_Grupo_25.pptx
Julian Carvajal
 
Iso-- 25000
Iso-- 25000Iso-- 25000
Iso-- 25000
Espinosa Benilda
 
Arquitectura Orientada a Servicios
Arquitectura Orientada a ServiciosArquitectura Orientada a Servicios
Arquitectura Orientada a Servicios
Juan Carlos Olivares Rojas
 
ISO/IEC 14598
ISO/IEC 14598ISO/IEC 14598
ISO/IEC 14598
Andrés José Sebastián Rincón González
 
Proceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwareProceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwaresergio
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
1416nb
 
Ventajas calidad del software
Ventajas calidad del softwareVentajas calidad del software
Ventajas calidad del software
Jhoy Jara
 
Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguro
Javier Tallón
 
Como medir la calidad de software
Como medir la calidad de softwareComo medir la calidad de software
Como medir la calidad de software
Carlos Yoshio Bazan Pulache
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
Leyda Cordoba Araujo
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
pabloreyes154
 
proceso unificado de desarrollo
proceso unificado de desarrollo proceso unificado de desarrollo
proceso unificado de desarrollo
Andrea Marcela García García
 
Unidad 4
Unidad 4Unidad 4
Unidad 4Xochitl Saucedo Muñoz
 
Fundamentos de desarrollo de sistemas unidad i
Fundamentos de desarrollo de sistemas unidad iFundamentos de desarrollo de sistemas unidad i
Fundamentos de desarrollo de sistemas unidad iAngeles Quezada
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
INSTITUTO GEOGRAFICO DE VENEZUELA SIMÓN BOLÍVAR
 
Certificacion eléctrica. Global Certification Electric-electronic Products
Certificacion eléctrica. Global Certification Electric-electronic ProductsCertificacion eléctrica. Global Certification Electric-electronic Products
Certificacion eléctrica. Global Certification Electric-electronic Products
Manu Ortiz
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
Javier Tallón
 

Más contenido relacionado

La actualidad más candente

Guia iso 9126
Guia iso 9126Guia iso 9126
Guia iso 9126
Francisco Marcos Rodriguez Rivera
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del softwareJohns Chacon
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Conceptos basicos calidad software
Conceptos basicos calidad softwareConceptos basicos calidad software
Conceptos basicos calidad software
Carlos Alberto Valencia Garcia
 
Fase_3_Grupo_25.pptx
Fase_3_Grupo_25.pptxFase_3_Grupo_25.pptx
Fase_3_Grupo_25.pptx
Julian Carvajal
 
Iso-- 25000
Iso-- 25000Iso-- 25000
Iso-- 25000
Espinosa Benilda
 
Arquitectura Orientada a Servicios
Arquitectura Orientada a ServiciosArquitectura Orientada a Servicios
Arquitectura Orientada a Servicios
Juan Carlos Olivares Rojas
 
ISO/IEC 14598
ISO/IEC 14598ISO/IEC 14598
ISO/IEC 14598
Andrés José Sebastián Rincón González
 
Proceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwareProceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwaresergio
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
1416nb
 
Ventajas calidad del software
Ventajas calidad del softwareVentajas calidad del software
Ventajas calidad del software
Jhoy Jara
 
Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguro
Javier Tallón
 
Como medir la calidad de software
Como medir la calidad de softwareComo medir la calidad de software
Como medir la calidad de software
Carlos Yoshio Bazan Pulache
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
Leyda Cordoba Araujo
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
pabloreyes154
 
proceso unificado de desarrollo
proceso unificado de desarrollo proceso unificado de desarrollo
proceso unificado de desarrollo
Andrea Marcela García García
 
Fundamentos de desarrollo de sistemas unidad i
Fundamentos de desarrollo de sistemas unidad iFundamentos de desarrollo de sistemas unidad i
Fundamentos de desarrollo de sistemas unidad iAngeles Quezada
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
INSTITUTO GEOGRAFICO DE VENEZUELA SIMÓN BOLÍVAR
 

La actualidad más candente (20)

Guia iso 9126
Guia iso 9126Guia iso 9126
Guia iso 9126
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Conceptos basicos calidad software
Conceptos basicos calidad softwareConceptos basicos calidad software
Conceptos basicos calidad software
 
Fase_3_Grupo_25.pptx
Fase_3_Grupo_25.pptxFase_3_Grupo_25.pptx
Fase_3_Grupo_25.pptx
 
Iso-- 25000
Iso-- 25000Iso-- 25000
Iso-- 25000
 
Arquitectura Orientada a Servicios
Arquitectura Orientada a ServiciosArquitectura Orientada a Servicios
Arquitectura Orientada a Servicios
 
ISO/IEC 14598
ISO/IEC 14598ISO/IEC 14598
ISO/IEC 14598
 
Proceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwareProceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de software
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
 
Ventajas calidad del software
Ventajas calidad del softwareVentajas calidad del software
Ventajas calidad del software
 
Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguro
 
Como medir la calidad de software
Como medir la calidad de softwareComo medir la calidad de software
Como medir la calidad de software
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
 
proceso unificado de desarrollo
proceso unificado de desarrollo proceso unificado de desarrollo
proceso unificado de desarrollo
 
Unidad 4
Unidad 4Unidad 4
Unidad 4
 
Fundamentos de desarrollo de sistemas unidad i
Fundamentos de desarrollo de sistemas unidad iFundamentos de desarrollo de sistemas unidad i
Fundamentos de desarrollo de sistemas unidad i
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
 

Similar a ISO 15408 Common Criteria

Certificacion eléctrica. Global Certification Electric-electronic Products
Certificacion eléctrica. Global Certification Electric-electronic ProductsCertificacion eléctrica. Global Certification Electric-electronic Products
Certificacion eléctrica. Global Certification Electric-electronic Products
Manu Ortiz
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
Javier Tallón
 
Solucion cuestionario 2
Solucion cuestionario 2Solucion cuestionario 2
Solucion cuestionario 2
Dairo Parra
 
presentacion_estandares_de_calidad_1.pptx
presentacion_estandares_de_calidad_1.pptxpresentacion_estandares_de_calidad_1.pptx
presentacion_estandares_de_calidad_1.pptx
maycolcastro11
 
ISO29119-Presentacion-GT26-20151215.SanSebastian.pdf
ISO29119-Presentacion-GT26-20151215.SanSebastian.pdfISO29119-Presentacion-GT26-20151215.SanSebastian.pdf
ISO29119-Presentacion-GT26-20151215.SanSebastian.pdf
DeimerAcevedoJarava
 
Auditoria
Auditoria Auditoria
Auditoria
MixelaGuerra
 
Sis 103 safety-standards_es
Sis 103 safety-standards_esSis 103 safety-standards_es
Sis 103 safety-standards_esJulio Illanes
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
Claudis Muñoz
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
Claudis Muñoz
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Jorge Humberto Donato Monreal
 
Estandares De La Calidad
Estandares De La CalidadEstandares De La Calidad
Estandares De La Calidadeduardo89
 
Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.
Isabel Gómez
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWARE
Edwingelviz
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
dcordova923
 
CS_07_Estandares_para_pruebas_software.pdf
CS_07_Estandares_para_pruebas_software.pdfCS_07_Estandares_para_pruebas_software.pdf
CS_07_Estandares_para_pruebas_software.pdf
CARLOSHUMBERTOMOTTAM
 

Similar a ISO 15408 Common Criteria (20)

Certificacion eléctrica. Global Certification Electric-electronic Products
Certificacion eléctrica. Global Certification Electric-electronic ProductsCertificacion eléctrica. Global Certification Electric-electronic Products
Certificacion eléctrica. Global Certification Electric-electronic Products
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
 
Solucion cuestionario 2
Solucion cuestionario 2Solucion cuestionario 2
Solucion cuestionario 2
 
presentacion_estandares_de_calidad_1.pptx
presentacion_estandares_de_calidad_1.pptxpresentacion_estandares_de_calidad_1.pptx
presentacion_estandares_de_calidad_1.pptx
 
ISO29119-Presentacion-GT26-20151215.SanSebastian.pdf
ISO29119-Presentacion-GT26-20151215.SanSebastian.pdfISO29119-Presentacion-GT26-20151215.SanSebastian.pdf
ISO29119-Presentacion-GT26-20151215.SanSebastian.pdf
 
Auditoria
Auditoria Auditoria
Auditoria
 
Sis 103 safety-standards_es
Sis 103 safety-standards_esSis 103 safety-standards_es
Sis 103 safety-standards_es
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
 
Estandares De La Calidad
Estandares De La CalidadEstandares De La Calidad
Estandares De La Calidad
 
Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWARE
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
CS_07_Estandares_para_pruebas_software.pdf
CS_07_Estandares_para_pruebas_software.pdfCS_07_Estandares_para_pruebas_software.pdf
CS_07_Estandares_para_pruebas_software.pdf
 

ISO 15408 Common Criteria

  • 2.  Es una estándar internacional de certificación de productos TI, resultado de una intensa y larga negociación de varios países.  Este estándar proporciona unos criterios de evaluación unificados para la seguridad de los productos TI y recoge todos los esfuerzos realizados desde los años 80 en este campo (TCSEC en Estados Unidos, ITSEC en la Comunidad Europea, CTCPEC en Canadá, Federal Criteria como un primer intento de acercamiento entre Estados Unidos y Europa, etc.).  Por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International OrganizationforStandardization (ISO) los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.  Gracias a CommonCriteria, los usuarios pueden determinar si un producto proporciona el nivel de seguridad que necesita siguiendo unos criterios estándar y no simples percepciones personales.  CommonCriteria exige a los fabricantes de los productos certificados publicar una documentación exhaustiva sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza en las evaluaciones de CommonCriteria ya que son realizadas por laboratorios independientes.  En definitiva, la existencia de un estándar de este tipo proporciona un lenguaje común entre los fabricantes, los usuarios y las administraciones que todos pueden entender de la misma manera. Los fabricantes utilizarán este lenguaje para definir las características de sus productos, los usuarios tendrán una manera única de especificar sus requerimientos, etc.
  • 3.  Trusted Computer System Evaluation Criteria (TCSEC) (Libro Naranja) USA años 80.  ITSEC (Information Technology Securiti Evaluation Criteria) (Libro Blanco) Europa 1991  CTCPEC (Canadian Trusted Computer Product Evaluation) Canada 1993  Federal Criteria USA 1993  Luego al buscar un estándar internacional nace Common Cirteria (ISO/IEC 15408) 1999
  • 4.  Actualmente hay veinticuatro países que han firmado un acuerdo de reconocimiento mutuo. Estos son: Alemania, Australia, Austria, Canadá, Dinamarca, España, Estados Unidos, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Japón, Noruega, Nueva Zelanda, Países Bajos, Reino Unido, República Checa, Republica de Corea, Suecia, República de Singapur y Turquía. Adicionalmente, otros países han sido emplazados a firmar el acuerdo mutuo de reconocimiento de Common Criteria. Además estos acuerdos también están ampliamente aceptados en países de la Unión Europea así como en Rusia y países del Este de Europa.
  • 5.  Se divide en 3 partes:  INTRODUCCION Y MODELO GENERAL  COMPONENTES FUNCIONALES DE SEGURIDAD  COMPONENTES DE GARANTIA DE SEGURIDAD
  • 6.  Define los conceptos y los principios generales de la evaluación de seguridad TI y proporciona un modelo de evaluación.  Los usuarios puedan especificar sus necesidades de seguridad, es decir, especificar qué funcionalidad deben tener los productos para cubrir esas necesidades, lo cual se concreta en los documentos denominados Perfiles de Protección.
  • 7.  Establece el catálogo de requisitos funcionales de seguridad que sirven de plantillas para definir las funcionalidades de seguridad de un producto.  Los fabricantes e integradores puedan implementar y declarar los atributos de seguridad de sus productos, es decir, indicar qué hace cada producto, lo que se concreta en un documento llamado Declaración de Seguridad.
  • 8.  Establece el catálogo de requisitos de garantía de seguridad que debe cumplir la documentación, el producto a evaluar, el entorno de desarrollo y otras partes implicadas en la seguridad del producto.  La tercera parte de Common Criteria también define el criterio de evaluación de los Perfiles de Protección (PP), declaraciones de seguridad (ST) y otras evidencias de evaluación. Se presentan en esta tercera parte siete paquetes de garantía predefinidos, los cuales son llamados niveles de garantía de evaluación (EAL).  A medida que se aumenta el nivel de garantía de evaluación (EAL), la inversión por parte del laboratorio en tiempo, recursos y exigencia técnica, también aumentan.
  • 9.  En la siguiente tabla se describen los objetivos que se persiguen para cada nivel de garantía de evaluación EAL: EAL Descripción Objetivo EAL1 Ensayo funcional del producto Demostrar un correcto funcionamiento del producto mediante testing independiente, revisando la no aplicabilidad de amenazas de dominio público. EAL2 Ensayo estructural del producto Se añade una cooperación más activa del desarrollador en términos de la entrega del producto y los resultados de test. EAL3 Ensayo metódico y validación del producto Además de lo anteriormente dicho, se proporciona una alta garantía de seguridad en la fase de diseño del producto. EAL4 Diseño metódico, ensayo y validación del producto Proporcionar una alta garantía de aplicación de prácticas de seguridad en la fase de desarrollo y testing del producto. Nivel máximo y adecuado para productos en entornos comerciales. Diseño semi-formal y ensayo del producto Ofrece una alta garantía de aplicación con rigor de las prácticas de seguridad en la fase de desarrollo y testing del producto tanto a nivel del desarrollador cómo independiente. EAL6 Diseño semi-formal verificado y ensayo del producto Demuestra suficiencia en la protección de activos frente amenazas significativas, dónde el valor de estos activos justifica los costes adicionales de desarrollo. EAL7 Diseño formal verificado y ensayo del producto Proporciona máxima garantía en la protección de activos de alto valor, basados en un análisis formal del producto a nivel de desarrollo y testing. EAL5
  • 10.  Blackberry OS  Vmware  Certificación Common Criteria Windows Server 2003 + Certificate Server  Certificación Common Criteria Windows XP SP2
  • 11.  Common Criteria establece un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad.  Common Criteria nos ayuda a responder 3 importantes aspectos importantes sobre la seguridad de un producto:  ¿Que hace el Producto?  ¿Como se ha validado el producto?  ¿Quien ha validado el producto?