Common Criteria es un estándar internacional para la certificación de seguridad de productos TI. Proporciona criterios unificados para evaluar la seguridad de productos y recopila esfuerzos previos de varios países. Ayuda a usuarios a determinar el nivel de seguridad de un producto de forma estándar en lugar de por percepciones personales.
Norma ISO/IEC 9126 y Métrica de Calidad del Software ehe ml
Esta norma Internacional fue publicada en 1992, la cual es usada para la evaluación de la calidad de software, llamado “Information technology-Software product evaluation-Quality characteristics and guidelines for their use”; o también conocido como ISO 9126 (o ISO/IEC 9126). Este estándar describe 6 características generales: Funcionalidad, Confiabilidad, Usabilidad, Eficiencia, Mantenibilidad, y Portabilidad.
Estandares y modelos de calidad del softwareaagalvisg
La calidad del software puede parecer un concepto alejado de la vida diaria de la mayoría de las personas, pero nada más lejos de la realidad, en este documento encontraras los estándares para crear un software de calidad.
Norma ISO/IEC 9126 y Métrica de Calidad del Software ehe ml
Esta norma Internacional fue publicada en 1992, la cual es usada para la evaluación de la calidad de software, llamado “Information technology-Software product evaluation-Quality characteristics and guidelines for their use”; o también conocido como ISO 9126 (o ISO/IEC 9126). Este estándar describe 6 características generales: Funcionalidad, Confiabilidad, Usabilidad, Eficiencia, Mantenibilidad, y Portabilidad.
Estandares y modelos de calidad del softwareaagalvisg
La calidad del software puede parecer un concepto alejado de la vida diaria de la mayoría de las personas, pero nada más lejos de la realidad, en este documento encontraras los estándares para crear un software de calidad.
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Common Criteria: Herramienta para el desarrollo seguroJavier Tallón
Common Criteria (CC) es la certificación más reconocida a nivel internacional para medir la seguridad de productos IT. Por ejemplo, en España, es la certificación utilizada por el CCN para que un producto pueda entrar en el catálogo CPSTIC.
Lo que no es tan conocido es el peso tan importante que tiene en esta certificación el ciclo de vida de un producto o los procedimientos de desarrollo seguro.
Common Criteria, además de una metodología de evaluación, es una herramienta para garantizar el desarrollo de un producto teniendo en cuenta la seguridad desde el inicio. La obligación de definir los requisitos de seguridad implementados por el producto o el diseño de la arquitectura de seguridad son solo algunos de los pasos que permiten mitigar las vulnerabilidades en productos que siguen el standard Common Criteria.
Además en Common Criteria se han creado "Perfiles de Protección" que son plantillas de requisitos funcionales de seguridad que debe cumplir un producto de una categoría determinada. Por lo que, CC se puede utilizar tambien como una herramienta más que soporte el diseño seguro de productos IT.
Durante esta charla, explicaremos que es Common Criteria y como utilizar la norma como metodología para el desarrollo seguro de productos IT. Además daremos algunos ejemplos sencillos de como aplicar la norma obteniendo resultados muy satisfactorios durante la fase de diseño.
SEGURIDAD EN REDES
Trabajo reconocimiento del curso semana 1 - 3
TUTORA: ELEONORA PALTA VELASCO
UNAD
CIENCIAS DE BÁSICAS, TECNOLOGÍA E INGENIERÍA
CEAD PIPALITO
2014
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Common Criteria: Herramienta para el desarrollo seguroJavier Tallón
Common Criteria (CC) es la certificación más reconocida a nivel internacional para medir la seguridad de productos IT. Por ejemplo, en España, es la certificación utilizada por el CCN para que un producto pueda entrar en el catálogo CPSTIC.
Lo que no es tan conocido es el peso tan importante que tiene en esta certificación el ciclo de vida de un producto o los procedimientos de desarrollo seguro.
Common Criteria, además de una metodología de evaluación, es una herramienta para garantizar el desarrollo de un producto teniendo en cuenta la seguridad desde el inicio. La obligación de definir los requisitos de seguridad implementados por el producto o el diseño de la arquitectura de seguridad son solo algunos de los pasos que permiten mitigar las vulnerabilidades en productos que siguen el standard Common Criteria.
Además en Common Criteria se han creado "Perfiles de Protección" que son plantillas de requisitos funcionales de seguridad que debe cumplir un producto de una categoría determinada. Por lo que, CC se puede utilizar tambien como una herramienta más que soporte el diseño seguro de productos IT.
Durante esta charla, explicaremos que es Common Criteria y como utilizar la norma como metodología para el desarrollo seguro de productos IT. Además daremos algunos ejemplos sencillos de como aplicar la norma obteniendo resultados muy satisfactorios durante la fase de diseño.
SEGURIDAD EN REDES
Trabajo reconocimiento del curso semana 1 - 3
TUTORA: ELEONORA PALTA VELASCO
UNAD
CIENCIAS DE BÁSICAS, TECNOLOGÍA E INGENIERÍA
CEAD PIPALITO
2014
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
Incluir productos y servicios en el catálogo de ciberseguridad de referencia para la Administración Pública no resulta sencillo.
Se ha de superar una evaluación LINCE o Common Criteria para poder acceder a dicho catálogo.
En el catálogo CPSTIC se pueden incluir tanto para soluciones on premise como en la nube, siendo una gran ventaja para aquellos desarrolladores cloud native.
En esta presentación explicamos las diferentes maneras de incluir una solución en el catálogo CPSTIC, así como los pasos a seguir.
Este texto, trata de presentar un análisis de la situación actual que presenta ISO/IEC para cualquier empresa que desee planificar e implementar una política de seguridad orientada a una futura certificación dentro de este estándar.
2. Es una estándar internacional de certificación de productos TI, resultado de una intensa y larga negociación de
varios países.
Este estándar proporciona unos criterios de evaluación unificados para la seguridad de los productos TI y
recoge todos los esfuerzos realizados desde los años 80 en este campo (TCSEC en Estados Unidos, ITSEC en
la Comunidad Europea, CTCPEC en Canadá, Federal Criteria como un primer intento de acercamiento entre
Estados Unidos y Europa, etc.).
Por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software,
hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y
Canadá, se constituyó y adoptó por la International OrganizationforStandardization (ISO) los Criterios Comunes
de Evaluación de Seguridad para Tecnologías de la Información.
Gracias a CommonCriteria, los usuarios pueden determinar si un producto proporciona el nivel de seguridad
que necesita siguiendo unos criterios estándar y no simples percepciones personales.
CommonCriteria exige a los fabricantes de los productos certificados publicar una documentación exhaustiva
sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza en las evaluaciones de
CommonCriteria ya que son realizadas por laboratorios independientes.
En definitiva, la existencia de un estándar de este tipo proporciona un lenguaje común entre los fabricantes, los
usuarios y las administraciones que todos pueden entender de la misma manera.
Los fabricantes utilizarán este lenguaje para definir las características de sus productos, los usuarios tendrán
una manera única de especificar sus requerimientos, etc.
3. Trusted Computer System Evaluation Criteria (TCSEC) (Libro Naranja) USA años 80.
ITSEC (Information Technology Securiti Evaluation Criteria) (Libro Blanco) Europa
1991
CTCPEC (Canadian Trusted Computer Product Evaluation) Canada 1993
Federal Criteria USA 1993
Luego al buscar un estándar internacional nace Common Cirteria (ISO/IEC 15408)
1999
4. Actualmente hay veinticuatro países que han firmado un acuerdo de reconocimiento
mutuo. Estos son: Alemania, Australia, Austria, Canadá, Dinamarca, España, Estados
Unidos, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Japón, Noruega,
Nueva Zelanda, Países Bajos, Reino Unido, República Checa, Republica de Corea,
Suecia, República de Singapur y Turquía. Adicionalmente, otros países han sido
emplazados a firmar el acuerdo mutuo de reconocimiento de Common Criteria.
Además estos acuerdos también están ampliamente aceptados en países de la Unión
Europea así como en Rusia y países del Este de Europa.
5. Se divide en 3 partes:
INTRODUCCION Y MODELO GENERAL
COMPONENTES FUNCIONALES DE SEGURIDAD
COMPONENTES DE GARANTIA DE SEGURIDAD
6. Define los conceptos y los principios generales de la evaluación de seguridad TI y
proporciona un modelo de evaluación.
Los usuarios puedan especificar sus necesidades de seguridad, es decir, especificar
qué funcionalidad deben tener los productos para cubrir esas necesidades, lo cual se
concreta en los documentos denominados Perfiles de Protección.
7. Establece el catálogo de requisitos funcionales de seguridad que sirven de plantillas
para definir las funcionalidades de seguridad de un producto.
Los fabricantes e integradores puedan implementar y declarar los atributos de
seguridad de sus productos, es decir, indicar qué hace cada producto, lo que se
concreta en un documento llamado Declaración de Seguridad.
8. Establece el catálogo de requisitos de garantía de seguridad que debe cumplir la
documentación, el producto a evaluar, el entorno de desarrollo y otras partes
implicadas en la seguridad del producto.
La tercera parte de Common Criteria también define el criterio de evaluación de los
Perfiles de Protección (PP), declaraciones de seguridad (ST) y otras evidencias de
evaluación. Se presentan en esta tercera parte siete paquetes de garantía
predefinidos, los cuales son llamados niveles de garantía de evaluación (EAL).
A medida que se aumenta el nivel de garantía de evaluación (EAL), la inversión por
parte del laboratorio en tiempo, recursos y exigencia técnica, también aumentan.
9. En la siguiente tabla se describen los objetivos que se persiguen para cada nivel de
garantía de evaluación EAL:
EAL
Descripción
Objetivo
EAL1
Ensayo funcional del producto
Demostrar un correcto funcionamiento del producto
mediante testing independiente, revisando la no aplicabilidad de amenazas
de dominio público.
EAL2
Ensayo estructural del producto
Se añade una cooperación más activa del desarrollador en términos de la
entrega del producto y los resultados de test.
EAL3
Ensayo metódico y validación del producto
Además de lo anteriormente dicho, se proporciona una alta garantía de
seguridad en la fase de diseño del producto.
EAL4
Diseño metódico, ensayo y validación del producto
Proporcionar una alta garantía de aplicación de prácticas de seguridad en la
fase de desarrollo y testing del producto.
Nivel máximo y adecuado para productos en entornos comerciales.
Diseño semi-formal y ensayo del producto
Ofrece una alta garantía de aplicación con rigor de las prácticas de
seguridad en la fase de desarrollo y testing del producto tanto a nivel del
desarrollador cómo independiente.
EAL6
Diseño semi-formal verificado y ensayo del producto
Demuestra suficiencia en la protección de activos frente amenazas
significativas, dónde el valor de estos activos justifica los costes adicionales
de desarrollo.
EAL7
Diseño formal verificado y ensayo del producto
Proporciona máxima garantía en la protección de activos de alto valor,
basados en un análisis formal del producto a nivel de desarrollo y testing.
EAL5
10. Blackberry OS
Vmware
Certificación Common Criteria Windows Server 2003 + Certificate Server
Certificación Common Criteria Windows XP SP2
11. Common Criteria establece un conjunto de requisitos para definir las funciones de
seguridad de los productos y sistemas de Tecnologías de la Información y de los
criterios para evaluar su seguridad.
Common Criteria nos ayuda a responder 3 importantes aspectos importantes sobre la
seguridad de un producto:
¿Que hace el Producto?
¿Como se ha validado el producto?
¿Quien ha validado el producto?