Objetivo de seguridad

Parte del estándar de seguridad informática Common Criteria

Criterios comunes para la evaluación de la seguridad de la tecnología de la información, versión 3.1 Parte 1 (llamada CC 3.1 o CC) ^[1] define el objetivo de seguridad ( ST ) como una "declaración de necesidades de seguridad dependiente de la implementación para un objetivo de evaluación ( TOE ) identificado específico " . En otras palabras, el ST define los límites y especifica los detalles del TOE. En un proceso de evaluación de producto según el CC el documento ST lo proporciona el proveedor del producto.

Un ST define los requisitos funcionales y de seguridad de la información para el producto del sistema de información determinado, lo que se denomina Objetivo de Evaluación (TOE). Un ST es una descripción completa y rigurosa de un problema de seguridad en términos de descripción TOE, amenazas, suposiciones, objetivos de seguridad, requisitos funcionales de seguridad (SFR), requisitos de garantía de seguridad (SAR) y fundamentos. Los SAR generalmente se otorgan con un número del 1 al 7 llamado Nivel de garantía de evaluación (EAL), que indica la profundidad y el rigor de la evaluación de seguridad, generalmente en forma de documentación de respaldo y pruebas, de que el producto cumple con los SFR. ^{[ cita necesaria ]}

Un ST contiene información específica de la implementación (pero no muy detallada) que demuestra cómo el producto aborda los requisitos de seguridad. Puede referirse a uno o más Perfiles de Protección (PP). En tal caso, la ST deberá cumplir los requisitos genéricos de seguridad establecidos en cada uno de estos PP, pudiendo definir requisitos adicionales.

Esquema del objetivo de seguridad

1. Introducción  : una descripción general de lo que hace el TOE, incluidas las características y el propósito clave.
   • Referencia ST
   • Referencia del dedo del pie
   • Descripción general de TOE
   • Descripción del dedo del pie
2. Reclamaciones de conformidad  : identifica reclamaciones de conformidad para la evaluación TOE.
   • Declaraciones de conformidad con la versión CC
   • Declaraciones de conformidad con la Parte 2 de CC
   • Declaraciones de conformidad con CC Parte 3
   • Declaraciones de conformidad del PP: conformidad estricta o conformidad demostrable
3. Definición de problema de seguridad  : describe las amenazas y suposiciones sobre el entorno operativo. El objetivo es demostrar el problema de seguridad que pretende abordar el TOE y su entorno operativo.
   • Amenazas: una acción adversa realizada por un agente de amenazas sobre un activo. Los agentes de amenaza se describen mediante aspectos como experiencia, recursos, oportunidades y motivación.
   • Políticas de seguridad organizacional (OSP): OSP es un conjunto de reglas, procedimientos o pautas de seguridad impuestas por una organización en el entorno operativo de los TOE.
   • Supuestos: realizados únicamente sobre el entorno operativo del comportamiento del TOE.
4. Objetivos de seguridad  : una declaración concisa y abstracta de la solución prevista al problema especificado por la definición del problema de seguridad. Cada objetivo de seguridad debe rastrearse hasta al menos una amenaza u OSP.

   1. El aspecto de la seguridad que se debe lograr es el propósito y objetivo de utilizar ciertas medidas de mitigación, como la confidencialidad, la integridad, la disponibilidad, la autenticidad del usuario, la autorización de acceso y la responsabilidad.
   2. confidencialidad, integridad o disponibilidad requerida para soportar los requisitos fundacionales aplicables.-[1]

   • Objetivos de seguridad para el TOE
   • Objetivos de seguridad para el entorno operativo
   • Justificación de los objetivos de seguridad: un conjunto de justificaciones que muestran que todas las amenazas y suposiciones son abordadas eficazmente por los objetivos de seguridad.
5. Definición de componentes ampliados  : los componentes ampliados deben consistir en elementos medibles y objetivos donde se pueda demostrar la conformidad.
6. Requisitos de seguridad  : define y describe los SFR de CC Parte 2 y los SAR de CC Parte 3.
   • Requisitos funcionales de seguridad: los SFR forman una descripción clara, inequívoca y bien definida del comportamiento de seguridad esperado del TOE.
   • Requisitos de garantía de seguridad: los SAR forman una descripción clara, inequívoca y establecida de las actividades esperadas que se llevarán a cabo para obtener garantía en el TOE.
   • Justificación de los requisitos de seguridad: la justificación de un objetivo de seguridad para el TOE demuestra que los SFR son suficientes y necesarios.
7. Especificaciones resumidas del TOE  : permite a los evaluadores y consumidores potenciales obtener una comprensión general de cómo se implementa el TOE.
   • Funciones de seguridad: función de una zona o conducto para evitar intervenciones electrónicas no autorizadas que puedan afectar o influir en el funcionamiento normal de los dispositivos y sistemas dentro de la zona o conducto. La especificación resumida del TOE debe describir cómo el TOE cumple con cada SFR.
   • Especificaciones de seguridad TOE: una vista de alto nivel de cómo el desarrollador pretende satisfacer cada SFR.

Ver también

• Criterios comunes
• Perfil de protección
• Nivel de garantía de evaluación (EAL)
• Laboratorio de pruebas de criterios comunes

Referencias

1. Portal de criterios comunes: http://www.commoncriteriaportal.org/cc/