Objetivo de seguridad

Parte del estándar de seguridad informática Common Criteria

Los Criterios Comunes para la Evaluación de la Seguridad de las Tecnologías de la Información, versión 3.1 Parte 1 (denominados CC 3.1 o CC) ^[1] definen el Objetivo de Seguridad ( ST ) como una "declaración dependiente de la implementación de las necesidades de seguridad para un Objetivo de Evaluación ( TOE ) específico identificado ". En otras palabras, el ST define los límites y especifica los detalles del TOE. En un proceso de evaluación de productos según los CC, el documento ST lo proporciona el proveedor del producto.

Un ST define la seguridad de la información y los requisitos funcionales para el producto de sistema de información dado, lo que se denomina Objetivo de evaluación (TOE). Un ST es una descripción completa y rigurosa de un problema de seguridad en términos de descripción del TOE, amenazas, suposiciones, objetivos de seguridad, requisitos funcionales de seguridad (SFR), requisitos de garantía de seguridad (SAR) y fundamentos. Los SAR se dan típicamente como un número del 1 al 7 llamado Nivel de garantía de evaluación (EAL), que indica la profundidad y el rigor de la evaluación de seguridad, generalmente en forma de documentación y pruebas de respaldo, de que el producto cumple con los SFR. ^{[ cita requerida ]}

Una ST contiene información específica de la implementación (aunque no muy detallada) que demuestra cómo el producto aborda los requisitos de seguridad. Puede hacer referencia a uno o más perfiles de protección (PP). En tal caso, la ST debe cumplir con los requisitos de seguridad genéricos que se indican en cada uno de estos PP y puede definir requisitos adicionales.

Esquema del objetivo de seguridad

1. Introducción  : una descripción general de lo que hace el TOE, incluidas las características y el propósito clave.
   • Referencia ST
   • Referencia del TOE
   • Descripción general de TOE
   • Descripción del TOE
2. Reclamos de conformidad  : identifica los reclamos de conformidad para la evaluación TOE.
   • Reclamos de conformidad con la versión CC
   • Reclamos de conformidad con la Parte 2 de CC
   • Reclamos de conformidad con la Parte 3 de CC
   • Declaraciones de conformidad de PP: conformidad estricta o conformidad demostrable
3. Definición del problema de seguridad  : describe las amenazas y los supuestos sobre el entorno operativo. El objetivo es demostrar el problema de seguridad que se pretende abordar mediante el TOE y su entorno operativo.
   • Amenazas: acciones adversas que realiza un agente amenazante sobre un activo. Los agentes amenazantes se describen en función de aspectos como la experiencia, los recursos, la oportunidad y la motivación.
   • Políticas de seguridad organizacional (OSP): OSP es un conjunto de reglas, procedimientos o pautas de seguridad impuestas por una organización en el entorno operativo de los TOE.
   • Suposiciones: se hacen únicamente sobre el entorno operativo del comportamiento del TOE.
4. Objetivos de seguridad  : una declaración concisa y abstracta de la solución prevista para el problema especificado en la definición del problema de seguridad. Cada objetivo de seguridad debe relacionarse con al menos una amenaza o problema de seguridad operacional.

   1. aspecto de la seguridad que se pretende lograr es el propósito y objetivo de utilizar ciertas medidas de mitigación, como la confidencialidad, la integridad, la disponibilidad, la autenticidad del usuario, la autorización de acceso y la rendición de cuentas.
   2. confidencialidad, integridad o disponibilidad requerida para respaldar los requisitos fundamentales aplicables.-[1]

   • Objetivos de seguridad para el TOE
   • Objetivos de seguridad para el entorno operativo
   • Fundamento de los objetivos de seguridad: conjunto de justificaciones que demuestra que los objetivos de seguridad abordan eficazmente todas las amenazas y suposiciones.
5. Definición de componentes extendidos  : los componentes extendidos deben constar de elementos mensurables y objetivos donde se pueda demostrar la conformidad.
6. Requisitos de seguridad  : define y describe los SFR de la Parte 2 del CC y los SAR de la Parte 3 del CC.
   • Requisitos funcionales de seguridad: los SFR forman una descripción clara, inequívoca y bien definida del comportamiento de seguridad esperado del TOE.
   • Requisitos de garantía de seguridad: los SAR forman una descripción clara, inequívoca y establecida de las actividades esperadas que se llevarán a cabo para obtener garantía en el TOE.
   • Fundamento de los requisitos de seguridad: la justificación de un objetivo de seguridad para el TOE demuestra que los requisitos de seguridad son suficientes y necesarios.
7. Especificaciones resumidas del TOE  : permite a los evaluadores y consumidores potenciales obtener una comprensión general de cómo se implementa el TOE.
   • Funciones de seguridad: función de una zona o conducto para evitar intervenciones electrónicas no autorizadas que puedan afectar o influir en el funcionamiento normal de los dispositivos y sistemas dentro de la zona o conducto. La especificación resumida de TOE debe describir cómo la TOE cumple con cada SFR.
   • Especificaciones de seguridad TOE: una descripción general de alto nivel de cómo el desarrollador pretende satisfacer cada SFR.

Véase también

• Criterios comunes
• Perfil de protección
• Nivel de garantía de evaluación (EAL)
• Laboratorio de pruebas de criterios comunes

Referencias

1. Portal de Criterios Comunes – http://www.commoncriteriaportal.org/cc/