Evaluación de seguridad: ¿qué hay aparte de los criterios comunes?

Question

Evaluación de seguridad: ¿qué hay aparte de los criterios comunes?

#1 de logicalscope (5 votos)

6

ACME fabrica un producto que se utiliza en algunas aplicaciones sensibles a la seguridad. No hay normas de seguridad o estándares de la industria en particular en el dominio de este producto. El brazo empresarial de ACME desea afirmar que "somos 150% más seguros que nuestros competidores". Los clientes de ACME serían más propensos a creer que si la reclamación estuviera respaldada por algún tipo de evaluación independiente. El brazo ético de ACME agradecería que una evaluación tan independiente validara algo sobre la seguridad del producto de ACME.

Parece que la respuesta es que el producto de ACME se someta a algún tipo de certificación, el candidato más obvio es una certificación de Criterios Comunes. Esto parece un proceso desalentador; ni siquiera hay un perfil de protección existente, y la certificación CC introduce una gran demora entre el momento en que se finaliza una versión del producto y el momento en que se puede lanzar. También CC parece validar la metodología más que la seguridad. ¿Se fundan estas opiniones un tanto desinformadas de CC? ¿Hay alternativas a CC?

El gobierno francés ha introducido recientemente una " certificación de seguridad de primer nivel " (CSPN ), que se basa en un enfoque más ligero que el CC: en términos generales, un evaluador aprobado por el gobierno gasta un número predefinido de días-hombre haciendo ataques de caja gris con respecto a un PP. Esto parece una solución ideal, excepto que CSPN es completamente desconocido fuera de Francia. ¿Existe una certificación más reconocida internacionalmente que sea análoga a CSPN?

compliance

pregunta Gilles 07.12.2011 - 03:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas compliance

Ingress RFC1918 spoofing: ¿Cómo manejarlo? Cumplimiento de PCI y PayPal

score 5 · Answer 1

Soy un evaluador de CC con CGI Canada. Espero poder responder algunas de sus preguntas.

No estoy completamente seguro de que CC sea la opción más obvia. Los criterios comunes, al menos para el plan canadiense, no se pueden comprar simplemente (esto podría ser diferente en otras jurisdicciones, pero creo que Francia es similar). El producto debe respaldar la postura de seguridad del gobierno de Cdn. Lo que esto significa es que si no se utilizan productos similares en el gobierno de Cdn, la infraestructura crítica y los servicios asociados, y no se considera como una de las pocas tecnologías emergentes que se implementarán, entonces es poco probable que pueda incluso iniciar un programa de CC.

Dicho esto, supongamos que tiene un producto que podría incluir en el programa CC. No hay ninguna estipulación que establezca que el producto debe finalizarse antes de que pueda comenzar el programa de CC. Solo existe la estipulación de que el producto no cambia las especificaciones mientras se realiza la evaluación. Es completamente común que un desarrollador esté construyendo activamente un producto mientras se somete a una evaluación. Esta metodología de evaluación justo a tiempo es muy eficiente y popular.

En cuanto a CC que se centra más en la metodología más que en la "seguridad" real, tenga en cuenta que infosec es más que solo pruebas de penetración. Es un examen exhaustivo de todos los inquilinos que forman parte de llevar un producto a lo largo del ciclo de vida. Esto incluye la seguridad física y lógica del entorno de desarrollo, la seguridad de la cadena de suministro, las prácticas de contratación de recursos humanos, la metodología de desarrollo y, obviamente, las evaluaciones de seguridad del producto en sí, incluida una comprensión profunda del diseño, la arquitectura, las especificaciones funcionales y, en algunos casos - una revisión del código fuente.

En este sentido, CC es similar a otras evaluaciones. Eche un vistazo a PCI-DSS (manejo de tarjetas de crédito): también tienen seguridad física, procesos de desarrollo, contratación de recursos humanos, etc. también.

Entiendo que desea destacarse, y hay otras evaluaciones que pueden interesarle más, como las certificaciones basadas en la industria (casi todas las industrias tienen una), una prueba de penetración reconocida (si es aquí donde cree) eres débil), e incluso revisiones de código fuente independientes.