CCRA (Common Criteria Recognition Arrangement)

El OC/CCN se mantiene desde el año 2006 hasta la actualidad como emisor autorizado de certificados bajo el CCRA (Common Criteria Recognition Arrangement) que es el acuerdo de reconocimiento mutuo internacional para la seguridad “funcional” de productos TIC, y al que pertenecen actualmente veintiséis países de los más industrializados del mundo. Este certificado es el resultado del análisis de la seguridad  de los productos y sistemas considerando cómo son sus funciones o las funciones destinadas a proporcionar seguridad al propio objeto de evaluación (OE).

 

La certificación y evaluación funcional se centra en qué hace el OE y cómo lo hace, analizando si en su propio comportamiento o en la manera que está construido hay alguna vulnerabilidad susceptible de provocar un problema de seguridad; bien sea por una incorrecta implementación de las funciones del OE, bien sea porque dichas funciones no sean suficientemente efectivas para alcanzar los objetivos de seguridad propuestos. Se evalúa tanto la corrección como la efectividad de las funciones del OE. Por ejemplo, un OE que consistiese en un programa software que presentase una función de control de acceso basada en clave secreta de usuario (alfanumérica), podría presentar problemas de seguridad como:

  • Problema de corrección: el desarrollo del programa no ha contemplado el uso de caracteres alfanuméricos especiales y, al introducirlos el usuario, la función falla y permite el acceso no autorizado del mismo.
  • Problema de efectividad: la función se ejecuta correctamente pero se ha diseñado usando sólo cuatro caracteres de longitud, lo que hace que ataques de fuerza bruta puedan ser posibles en periodos de tiempo más cortos que los previstos al plantear los objetivos de seguridad del OE.

 

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información.