Common Criteria Recognition Arrangement (CCRA)

Common Criteria Recognition Arrangement (CCRA)

El OC/CCN se mantiene desde el año 2006 hasta la actualidad como emisor autorizado de certificados bajo el CCRA, que es el acuerdo de reconocimiento mutuo internacional para la seguridad “funcional” de productos TIC, y al que pertenecen actualmente veintiséis países de los más industrializados del mundo (http://www.commoncriteriaportal.org). Este certificado es el resultado del análisis de la seguridad  de los productos y sistemas considerando cómo son sus funciones o las funciones destinadas a proporcionar seguridad al propio objeto de evaluación (OE).

La certificación y evaluación funcional se centra en qué hace el OE y cómo lo hace, analizando si en su propio comportamiento o en la manera que está construido hay alguna vulnerabilidad susceptible de provocar un problema de seguridad; bien sea por una incorrecta implementación de las funciones del OE, bien sea porque dichas funciones no sean suficientemente efectivas para alcanzar los objetivos de seguridad propuestos. Se evalúa tanto la corrección como la efectividad de las funciones del OE. Por ejemplo, un OE que consistiese en un programa software que presentase una función de control de acceso basada en clave secreta de usuario (alfanumérica), podría presentar problemas de seguridad como:

a. Problema de corrección: el desarrollo del programa no ha contemplado el uso de caracteres alfanuméricos especiales y, al introducirlos el usuario, la función falla y permite el acceso no autorizado del mismo.

b. Problema de efectividad: la función se ejecuta correctamente pero se ha diseñado usando sólo cuatro caracteres de longitud, lo que hace que ataques de fuerza bruta puedan ser posibles en periodos de tiempo más cortos que los previstos al plantear los objetivos de seguridad del OE.

Los métodos de evaluación de seguridad funcional han sido tradicionalmente los más desarrollados a nivel internacional. En un primer momento destacó el Departamento de Defensa de los EE.UU. (1985), cuya iniciativa dio lugar a los llamados Trusted Computer System Evaluation Criteria (TCSEC), conocidos como «Orange Book», de donde se derivaron otros criterios federales desarrollados por el National Institute of Standards and Technology (NIST) y la National Security Agency (NSA). Fueron los Federal Criteria for Information Technology Security.

En Europa varias naciones hicieron también sus desarrollos propios, como por ejemplo Reino Unido (CESG Memorandum Number 3 desarrollado para uso gubernamental, y el llamado «Green Book» para uso por productos comerciales) o Alemania (Criteria for the Evaluation of Trustworthiness of Information Technology (IT) Systems)

Varias de estas naciones europeas unieron sus esfuerzos a este respecto dando lugar a unos criterios y métodos propios, los Information Technology Security Evaluation Criteria (ITSEC) a principios de los años noventa. En esta década se inició el proyecto CCRA a nivel internacional para el desarrollo de uno criterios y métodos comunes a nivel global: los  Common Criteria for IT Security Evaluation (CC) y la Common Methodology for IT Security Evaluation (CEM). Estos criterios y método han sido los de más amplia difusión y reconocimiento internacional hasta la fecha, y continúan actualmente su desa­rrollo. En paralelo se crearon dos estándares ISO que los recogen directamente: el ISO/IEC 15408 y el ISO/IEC 18045.

Fig. Evolución histórica de los criterios y métodos de evaluación

Common Criteria