Niveles Comunes de Seguros de Criterio: Una visión general de los Criterios de Evaluación y Metodología
El esquema EUCC, encabezado por la Agencia de la Unión Europea para la Ciberseguridad (ISA), fue puesto en libertad a principios de 2024. Se basa en el marco de evaluación de criterios comunes SOG-IS ya utilizado por 17 Estados miembros de la UE.
El plan forma parte de un esfuerzo legislativo más amplio, alineando con la Directiva NIS2 y la Ley de Resiliencia Cibernética para garantizar un cumplimiento integral de la seguridad cibernética en toda la UE. Como la primera iniciativa de certificación bajo el marco de la Ley de Ciberseguridad A), el EUCC establece las condiciones para futuros esquemas, como los centrados en las redes 5G (EU5G) y los servicios en la nube (EUCS).
Las certificaciones de EUCC son válidas hasta por cinco años, con requisitos para actualizaciones si se producen cambios en el producto certificado. El esquema sigue utilizando dominios técnicos establecidos por SOG-IS, centrándose en áreas de alta seguridad como tarjetas inteligentes y dispositivos de hardware seguros. También introduce medidas para abordar la naturaleza estática de la certificación tradicional, incorporando la gestión de parches y la continuidad de la garantía continua, permitiendo actualizaciones más rápidas y mantenimiento de seguridad más dinámico.
Introducción a los niveles de garantía de evaluación (EAL)
La elección de la EAL correcta es una parte fundamental del proceso de certificación Criterios Común. Los niveles de garantía de Criterios Comunes están diseñados para proporcionar un método estandarizado para evaluar la seguridad de los productos de TI.
Cada nivel ofrece un conjunto específico de criterios y metodologías para evaluar las características de seguridad de un producto. que van desde pruebas básicas de funcionalidad hasta rigurosos procesos de verificación formal. Los siete niveles de Evaluación de Criterios Comunes (de EAL1 a EAL7) representan pasos incrementales en seguros, con cada nivel superior que engloba todos los requisitos de los niveles inferiores y añade criterios adicionales y más estrictos.
Cambios con el EUCC
El sistema EUCC introduce dos niveles principales de garantía de Criterios Comunes derivados de la Ley de Seguridad Cibernética A): sustancial y alta. Estos niveles corresponden a los siete niveles existentes de garantía de evaluación (Evaluation Assurance Levels) pero ponen un mayor énfasis en evaluaciones de riesgo dinámicas y evaluaciones a medida basadas en riesgos específicos.
El sustancial Nivel de Aseguramiento de Criterios Comunes abarca EAL1 a EAL3 y requiere análisis de vulnerabilidad básico, definido como AVA_VAN.1 o AVA_VAN. A este nivel, el foco es identificar y mitigar vulnerabilidades de seguridad fundamentales a través de un examen directo y de pruebas. AVA_VAN.1 involucra un análisis básico destinado a descubrir fallas de seguridad obvias, mientras que AVA_VAN. incluye una revisión más detallada para asegurar que el producto pueda soportar ataques de baja habilidad y escenarios básicos de amenazas.
El alto nivel de seguro común de criterios incluye EAL4 a EAL7, que implican evaluaciones de vulnerabilidad más rigurosas, especificadas como AVA_VAN.3, AVA_VAN.4, o AVA_VAN. Estos niveles más altos exigen métodos de prueba completos y sofisticados para identificar posibles vulnerabilidades y verificar la robustez de seguridad del producto. AVA_VAN.3 introduce un análisis exhaustivo para descubrir vulnerabilidades que podrían ser explotadas por atacantes con habilidades y recursos significativos. AVA_VAN.4 y AVA_VAN. aumentar aún más el rigor de la evaluación, incorporando técnicas avanzadas y métodos formales para asegurar los niveles más altos de garantía de seguridad.
Al diferenciar entre los niveles de garantía de Criterios Comunes sustanciales y altos, el sistema EUCC proporciona un enfoque estructurado para la certificación de la ciberseguridad que se ajusta a las diferentes necesidades de seguridad de los diferentes productos y servicios de ICT. Esto garantiza que los productos cumplan las normas de seguridad adecuadas, contribuyendo a un ecosistema digital seguro y fiable dentro de la UE.
EAL1 - Probado Funcionalmente
El primer Nivel Común de Evaluación de Garantía de Criterio (EAL1) es el seguro de entrada, centrándose en confirmar que el Objetivo de Evaluación (TOE) funciona correctamente de acuerdo con sus especificaciones. Este nivel implica un mínimo esfuerzo de evaluación, por lo que es adecuado para productos en los que las amenazas a la seguridad se perciben como bajas.
Criterios de Clave y Metodología
La evaluación en EAL1 se basa en las especificaciones funcionales y de interfaz proporcionadas por el desarrollador. El objetivo es garantizar que los TOE funcionen según lo previsto sin profundizar en su funcionamiento interno. Las pruebas independientes se realizan para verificar que las funciones de seguridad funcionan como se describe en el Objetivo de Seguridad (ST). Esta prueba es sencilla y se centra en comprobar la funcionalidad básica de las características de seguridad. Se realiza un análisis básico de vulnerabilidades para identificar defectos de seguridad obvios. Esto implica un examen curativo para detectar cualquier vulnerabilidad flagrante que pueda comprometer la seguridad de la OO.
En este nivel de garantía de evaluación de criterios comunes, no existen requisitos específicos para el proceso de desarrollo o el medio ambiente. Se hace hincapié en garantizar la integridad y claridad del Objetivo de Seguridad y las especificaciones funcionales, junto con un análisis básico de vulnerabilidades para identificar fallas de seguridad obvias.
EAL2 - Probado estructuralmente
Este Nivel de Evaluación Común Criterios incluye una revisión más detallada de la documentación de diseño y desarrollo de la TOE. Es adecuado para ambientes que requieren un nivel moderado de seguridad asegurada independientemente.
En EAL2, la evaluación requiere examinar el código fuente y la arquitectura del sistema para confirmar la implementación de funciones de seguridad, implicando un análisis más profundo en comparación con el EAL1. Las pruebas independientes y el análisis de vulnerabilidades también son más exhaustivos en este nivel, y tienen como objetivo descubrir problemas de seguridad que pueden no ser visibles inmediatamente.
El entorno de desarrollo y las características de seguridad implementadas en la TOE son escrutadas. Evaluar los procesos y controles en vigor garantiza el desarrollo seguro del producto. La gestión de configuración y los procedimientos de entrega seguros se evalúan para garantizar que cumplen los estándares de seguridad. Esto implica comprobar que el producto es gestionado y entregado de forma segura para evitar modificaciones no autorizadas.
EAL3 - Método probado y comprobado
El EAL3 implica pruebas sistemáticas y un análisis detallado del proceso de desarrollo. Este nivel se centra en la implementación y diseño arquitectónico para identificar posibles problemas de seguridad.
El Nivel de Aseguramiento de Evaluación Común de Criterios involucra pruebas sistemáticas para verificar que el TOE funciona según lo previsto y que las funciones de seguridad están correctamente implementadas. Se ha completado un análisis exhaustivo de los detallados documentos de diseño y arquitectura, incluyendo una revisión en profundidad de cómo las funciones de seguridad se integran en la arquitectura general.
Las pruebas independientes de vulnerabilidad pueden identificar posibles problemas de seguridad: esta prueba es más rigurosa y rigurosa que los niveles inferiores de garantía de evaluación de criterios comunes. El entorno de desarrollo se evalúa para asegurar que se adhiera a prácticas de diseño y desarrollo. Esto incluye verificar que los procesos y controles existentes son suficientes para desarrollar un producto seguro.
A este nivel común de garantía de evaluación de criterios es crucial verificar la gestión de la configuración y el manejo seguro de la TOE a lo largo de su ciclo de vida para garantizar la seguridad del producto desde el desarrollo hasta el despliegue y mantenimiento.
El sistema EUCC mapea los elevados y sustanciales niveles de garantía de los criterios comunes.
EAL4 - Método diseñado, probado, y revisado
El cuarto nivel de garantía de evaluación de criterios comunes hace hincapié en las pruebas y la formalización exhaustivas del proceso de desarrollo. Este nivel es adecuado para productos que requieren un mayor nivel de seguridad y están sujetos a crecientes amenazas a la ciberseguridad.
EAL4 se centra en pruebas extensivas y revisión de la arquitectura de seguridad. Esto incluye un examen detallado del modelo de política de seguridad y de la arquitectura de seguridad de la TOE. Las pruebas independientes se realizan en un entorno controlado para verificar las funciones de seguridad.
Un riguroso análisis de procesos de desarrollo, incluyendo gestión de configuración y soporte para el ciclo de vida, asegura que el producto se desarrolle de forma segura. Se lleva a cabo una evaluación exhaustiva de vulnerabilidad, incluyendo un análisis de potenciales canales encubiertos, para examinar el producto y mitigar exhaustivamente las vulnerabilidades explotables.
EAL5 - Diseñado y probado en forma semi
El EAL5 requiere descripciones de diseño semiformales y procedimientos de desarrollo rigurosos, lo que lo hace adecuado para sistemas de alta seguridad con el potencial de ataques sofisticados.
Este Nivel de Aseguramiento de Evaluación de Criterios Común enfatiza la verificación del diseño mediante métodos semiformales.
Se realizan análisis exhaustivos de vulnerabilidad y sofisticados ensayos independientes para asegurar la robustez. Un examen detallado de la gestión de configuración y de los procedimientos de entrega seguros asegura que el producto se gestione y entregue de forma segura.
Se realiza un análisis riguroso de las funciones de seguridad de la TOE y su implementación contra las descripciones de diseño semiformales, Confirmando que los mecanismos de seguridad se aplican correctamente y funcionan según lo previsto.
EAL6 - Diseño semi verificado y probado
Este nivel es adecuado para entornos que se enfrentan a importantes amenazas de seguridad que requieren un alto grado de seguridad.
Las especificaciones de diseño semiformales y formales describen minuciosamente las funciones de seguridad y sus interacciones.
Se llevan a cabo pruebas extensas, incluyendo análisis de vulnerabilidad en profundidad y pruebas de penetración. Se requiere un modelo formal de política de seguridad y verificación del diseño e implementación contra este modelo. Esto asegura que las funciones de seguridad estén correctamente especificadas e implementadas.
Una revisión exhaustiva del desarrollo, el mantenimiento y los procedimientos operativos es esencial para garantizar una seguridad coherente. Esto implica verificar que los procesos y controles son suficientes para mantener la seguridad del producto a lo largo de su ciclo de vida.
EAL7 - Diseño formalmente verificado y probado
El EAL7 es el más alto nivel de garantía de Evaluación de Criterios, que requiere métodos formales para el diseño y verificación de la implementación. Este nivel es adecuado para ambientes de alto riesgo en los que la máxima seguridad es fundamental.
EAL7 se centra en la verificación formal de las funciones de seguridad de la TOE. El diseño y la implementación formales y matemáticamente verificados aseguran que las funciones de seguridad se especifican e implementan correctamente.
Se requiere un modelo de política de seguridad integral que sea verificado formalmente, garantizando que las funciones de seguridad se especifican y ejecutan correctamente.
Las pruebas rigurosas y exhaustivas incluyen métodos de verificación formal y un sofisticado análisis de vulnerabilidad. Se realiza una revisión detallada y sistemática del ciclo de vida de la TOE, incluyendo desarrollo, mantenimiento y procedimientos operacionales, para garantizar una seguridad constante y constante. Esto implica verificar que los procesos y controles son suficientes para mantener la seguridad del producto a lo largo de su ciclo de vida.
Summary
En conclusión, entender los niveles de garantía de evaluación de criterios comunes y sus criterios correspondientes en el marco del sistema EUCC es esencial para los profesionales de las tecnologías de la información que buscan garantizar la seguridad de sus productos. Adherir a estos procesos de evaluación estructurados, las organizaciones pueden lograr mayores niveles de seguridad y contribuir a un ecosistema digital seguro y fiable dentro de la UE.
Desde las pruebas básicas de funcionalidad de EAL1 hasta los procesos formales y exhaustivos de verificación de EAL7, cada nivel se basa en el anterior, añadiendo criterios y metodologías más rigurosas para garantizar una seguridad sólida. El mapeo del plan EUCC de elevados y sustanciales niveles de garantía de criterios comunes mejora aún más el proceso de evaluación. garantizar que los productos ICT cumplen con los más altos estándares de seguridad informática.
¿Cómo puede ayudar QIMA?
Si está desarrollando, fabrica o mantiene productos conectados y necesita soporte para pruebas de ciberseguridad test, QIMA le puede ayudar.
Contáctenos para discutir sus necesidades de ciberseguridad.
Related Articles
