Se ha dicho que Common Criteria resuelve un "Problema de cumplimiento y no un problema de seguridad" . ¿Alguien puede explicar dónde se requiere la certificación CC o beneficia a una industria?
¿Es simplemente un ángulo de comercialización que ayuda a vender un producto a vicepresidentes / ejecutivos menos informados? ¿Cuáles son los beneficios prácticos de esto, o dónde es beneficioso?
Common Criteria es una casilla de verificación en DoD y otros procesos de adquisición del departamento gubernamental. Como probablemente sepa, CC evolucionó de TCSEC en los estados y combinó ITSEC (Europa) y CTCPEC (Canadá) . Así que hay quienes argumentan que Common Criteria establece un modelo estándar de conciencia de seguridad para cualquier producto que pase por su proceso.
Dicho esto, y como evaluador de Common Criteria de Canadá, puedo decirle que hay desacuerdos constantes dentro de la industria de CC en cuanto a si el proceso ayuda a proporcionar alguna garantía o si es simplemente una casilla de verificación insatisfactoria.
En última instancia, los grandes vendedores finales: su Microsoft, su HP, su Oracle, todos quieren vender al gobierno. No pueden hacer esto sin el certificado CC, por lo que aceptan que se evalúe su sistema. Están interesados en el certificado final (técnicamente, siempre y cuando estén "en evaluación" que sea todo lo que necesitan para vender).
Assurance es una bestia bidimensional en CC. En un eje, tiene las funciones de seguridad que el producto afirma ofrecer (p. Ej., Identificación de tarjeta inteligente y autenticación para estaciones de trabajo). En la otra dimensión, tiene el nivel de rigor y esfuerzo puesto en probar que esos reclamos funcionan y están implementados de manera segura.
La industria de CC ha decidido forzar para reducir el rigor de la evaluación (solo puede subir al Nivel de Garantía de Evaluación 2 en lugar de 4 [más alto es el número, más rigor aplicado]). La idea es acelerar las evaluaciones, abaratarlas y permitir que más proveedores las busquen.
La pregunta que siempre surge en CC es: ¿el proceso hace una diferencia? Lo hace, y no lo hace. CC se basa principalmente en analizar la seguridad de la arquitectura y el proceso de desarrollo de extremo a extremo. Solo un componente muy pequeño de la garantía general está relacionado con las pruebas y el análisis de vulnerabilidad. Es esta falta de pruebas lo que muchas personas (incluido yo mismo) ven como un problema dentro de CC. Se están realizando cambios ahora que tienen como objetivo aumentar el enfoque en las pruebas y reducir la cantidad de esfuerzo invertido en analizar la documentación. Esto es algo bueno.
¿Ayuda a otras industrias? puede , pero ciertamente no es obligatorio. Muchas industrias tienen sus propios procesos de certificación. Se ha intentado aplicar CC a la atención médica (el marco BITS) y también a los sistemas de control y análisis industrial (por ejemplo, sistemas SCADA).
Lea otras preguntas en las etiquetas regulation compliance common-criteria