Nunca encontré una aplicación web que haya sido certificada según Common Critera . Que yo sepa, ni siquiera hay un perfil de protección disponible para aplicaciones web.
¿Cuál es la razón de esto? ¿Los criterios comunes no son adecuados para aplicaciones web? ¿Cuáles son los principales problemas?
No. En la práctica, los criterios comunes no son una gran herramienta para garantizar o evaluar la seguridad de una aplicación web. Hay una serie de razones:
Hay mucho conocimiento sobre cómo evaluar la seguridad de una aplicación web. Hay compañías que lo harán por usted (por ejemplo, Whitehat Security, Cigital y muchas otras empresas). No necesitamos estándares apestosos.
Common Criteria es una herramienta torpe y pesada. Basado en la experiencia en otras industrias, no sería una buena combinación para la rápida innovación y agilidad en las aplicaciones web.
Las evaluaciones de criterios comunes son caras y, a menudo, no son tan efectivas como a uno le gustaría, por lo que probablemente no sean una forma eficiente de evaluar la seguridad de su aplicación web.
Mi opinión es que las evaluaciones de criterios comunes a menudo se inclinan demasiado hacia los ejercicios burocráticos para marcar las casillas de verificación. Además, los evaluadores de Common Criteria sufren un conflicto de intereses (los pagan las personas que están evaluando, lo que tiende a provocar un síndrome del denominador menos común donde los evaluadores tienden a ser un poco laxos). Como resultado, he visto productos altamente inseguros certificados bajo los Criterios Comunes.
Las evaluaciones de los Criterios comunes llevan mucho tiempo, por lo que no es inusual que un producto esté casi obsoleto cuando se certifica.
Por lo que sé, no hay un "perfil de protección" para las aplicaciones web. En principio, Common Criteria se complace en permitirle certificar cualquier cosa, si existe un "perfil de protección" que especifique cuáles son los requisitos de seguridad y las amenazas. Dado que no existe un "perfil de protección" para las aplicaciones web, no podría certificar una aplicación web para los Criterios comunes, incluso si quisiera.
Para resumir, Common Criteria resuelve principalmente un problema de cumplimiento, no un problema de seguridad .
Usted puede certificar casi cualquier cosa con Common Criteria, por su propia naturaleza. El primer paso de Common Criteria es definir el aspecto del sistema que se está certificando y luego establecer cuáles serán los criterios de seguridad adecuados para ese sistema. Si tuviera un destornillador habilitado para IP, podría obtener la certificación conforme a Common Criteria (suponiendo que fuera lo suficientemente seguro).
Mirando la lista de Productos Certificados de Criterios Comunes , por ejemplo, veo a BEA WebLogic e IBM WebSphere certificados. Esas son plataformas de aplicaciones web, un paso más allá de lo que estás buscando. También veo Splunk en la lista, que podría considerarse una aplicación web.
Ahora, no sé a ciencia cierta lo que estás buscando cuando dices aplicación web. Pero el único factor común entre todas las entradas en la lista de productos certificados por CC es que alguien quería venderlo a las personas que hicieron de la certificación de seguridad parte de su proceso de evaluación y compra. Si te refieres a aplicaciones web como, por ejemplo, Google Docs o Google Mail, Google no se las está vendiendo a nadie. Claro, venden el servicio , pero no las aplicaciones. Por lo tanto, no es necesario que los certifiquen con CC, porque no hay beneficio al hacerlo.
Espero que ayude!
Lea otras preguntas en las etiquetas web-application compliance common-criteria