terminología de evaluación de seguridad

1

Estoy aprendiendo sobre los perfiles de protección, los objetivos de seguridad y el objetivo de las evaluaciones, y todas me parecen ideas muy abstractas. ¿Podría alguien explicar con ejemplos cómo funcionan en la práctica? Por ejemplo, ¿qué significa ser independiente de la implementación?

¿Se suelen hacer estas cosas antes o después de crear un sistema o software? ¿Qué son los criterios comunes?

¿No entiendo la parte de cómo algo puede ser independiente de la implementación y aún así se trata de un producto específico? ¿También está más enfocado en un producto de TI existente o en el desarrollo de software?

    
pregunta Celeritas 11.12.2015 - 02:29
fuente

1 respuesta

3

Common Criteria es un estándar internacional para evaluar la seguridad de un artefacto de software. Dependiendo del nivel exacto ( EAL ) de CC que se está utilizando, esto puede incluir información sobre los procesos utilizados durante el desarrollo de software como además de probar algunos de los aspectos de seguridad del software.

Debido a que los sistemas de software son tan complejos, no siempre es posible validarlo en su totalidad. Como tal, solo una parte de un sistema puede ser objeto de evaluación. Esta parte se llama el objetivo de la evaluación o TOE.

CC solo proporciona pautas generales sobre lo que es importante monitorear durante el desarrollo y las pruebas. Cada tipo de producto de software puede tener requisitos específicos. Protection Profiles (PPs) es un conjunto de requisitos acordado para un tipo específico de software y EAL. Por ejemplo, podría haber un PP para un servidor web para EAL 1, 2, 3, etc. Para cada EAL, especificará las características, la documentación y las pruebas requeridas que debe cumplir el TOE para lograr ese EAL.

Un objetivo de seguridad (ST) especifica la funcionalidad esperada de la aplicación. Por ejemplo, si tiene una aplicación web, puede esperarse que cumpla con algunos o todos los requisitos para un servidor web PP, una base de datos PP y también algunos requisitos específicos del producto.

    
respondido por el Neil Smithline 12.12.2015 - 03:18
fuente

Lea otras preguntas en las etiquetas