El modelo Common Criteria prevé la separación de las funciones de evaluador y certificador. Los certificados de productos son otorgados por sistemas nacionales sobre la base de evaluaciones realizadas por laboratorios de pruebas independientes .
Un laboratorio de pruebas Common Criteria es una instalación de pruebas de seguridad comercial de terceros que está acreditada para realizar evaluaciones de seguridad para verificar el cumplimiento de la norma internacional Common Criteria . Dicha instalación debe estar acreditada de acuerdo con la norma ISO/IEC 17025 con su organismo de certificación nacional.
Lista de designaciones de laboratorios por país:
El Acuerdo de Reconocimiento de Criterios Comunes (CCRA) o Acuerdo de Reconocimiento Mutuo de Criterios Comunes (MRA) [1] es un acuerdo internacional que reconoce las evaluaciones según el estándar de Criterios Comunes realizadas en todos los países participantes.
Se entiende mutuamente que, con respecto a los productos de TI y los perfiles de protección, los Participantes planean reconocer los certificados Common Criteria que hayan sido autorizados por cualquier otro Participante que autorice certificados de conformidad con los términos de este Acuerdo y de conformidad con las leyes y regulaciones aplicables de cada Participante.
— Acuerdo internacional, Acuerdo sobre el reconocimiento de certificados de criterios comunes en el campo de la seguridad de las tecnologías de la información
Este acuerdo tiene algunas limitaciones y, en el pasado, solo se reconocían las evaluaciones hasta el nivel EAL4+. Con la transición en curso para alejarse de los niveles EAL y la introducción de las evaluaciones NDPP que se “asignan” a los componentes de garantía hasta el nivel EAL4, se seguirán reconociendo.
En los Estados Unidos, el Programa Nacional Voluntario de Acreditación de Laboratorios (NVLAP) del Instituto Nacional de Estándares y Tecnología (NIST ) acredita a los CCTL para que cumplan con los requisitos del Esquema de Evaluación y Validación de Criterios Comunes de la Asociación Nacional de Garantía de la Información (NIAP) y realicen evaluaciones de seguridad de TI para verificar su conformidad con los Criterios Comunes.
Estos laboratorios deberán cumplir los siguientes requisitos:
Los CCTL celebran acuerdos contractuales con patrocinadores para realizar evaluaciones de seguridad de productos de TI y perfiles de protección que utilizan el CCEVS, otros métodos de prueba aprobados por el NIAP derivados de los Criterios Comunes, la Metodología Común y otras fuentes basadas en tecnología. Los CCTL deben observar los más altos estándares de imparcialidad, integridad y confidencialidad comercial. Los CCTL deben operar dentro de las pautas establecidas por el CCEVS.
Para convertirse en CCTL, un laboratorio de pruebas debe pasar por una serie de pasos que involucran tanto al Organismo de Validación del NIAP como al NVLAP. La acreditación del NVLAP es el requisito principal para lograr el estatus de CCTL. Algunos requisitos del esquema que no se pueden satisfacer con la acreditación del NVLAP son abordados por el Organismo de Validación del NIAP. En la actualidad, solo hay tres requisitos específicos del esquema impuestos por el Organismo de Validación.
Los CCTL aprobados por el NIAP deben aceptar lo siguiente:
Un laboratorio de pruebas se convierte en un CCTL cuando el laboratorio está aprobado por el Organismo de Validación del NIAP y figura en la Lista de Laboratorios Aprobados.
Para evitar gastos innecesarios y demoras a la hora de convertirse en un laboratorio de pruebas aprobado por el NIAP, se recomienda encarecidamente que los futuros CCTL se aseguren de que pueden satisfacer los requisitos específicos del programa antes de solicitar la acreditación del NVLAP. Esto se puede lograr enviando una carta de intención al NIAP antes de iniciar el proceso del NVLAP.
Información adicional relacionada con el laboratorio se puede encontrar en las publicaciones del CCEVS:
En Canadá, el Sistema de Criterios Comunes Canadienses (CCCS) del Communications Security Establishment Canada (CSEC) supervisa las Instalaciones de Evaluación de Criterios Comunes (CCEF). La acreditación la realiza el Consejo de Normas de Canadá (SCC) en el marco de su Programa de Acreditación de Laboratorios de Canadá (PALCAN) de acuerdo con CAN-P-1591, la adaptación del SCC de la norma ISO/IEC 17025-2005 para los Laboratorios ITSET. La aprobación la realiza el Organismo de Certificación CCS, un organismo dentro del CSEC, y es la verificación de la capacidad del solicitante para realizar evaluaciones de Criterios Comunes competentes.