.png)
Qué son los criterios comunes y cómo obtener la certificación
Hace casi dos años, tuve la suerte de unirme al equipo de Illumio como Gerente de Producto Federal. El primer orden del día fue adquirir las certificaciones de productos necesarias requeridas por el gobierno federal, incluyendo CONSEJOS 140-2 y cumplimiento de la Sección 508 de la GSA. Recientemente, Illumio Core logró otra importante certificación de seguridad gubernamental llamada Criterios Comunes. Con esta certificación, Illumio se convirtió en el primer proveedor de seguridad empresarial en obtener la certificación conforme al Perfil de Protección Estándar de la Asociación Nacional de Aseguramiento de la Información (NIAP) para Administración de Seguridad Empresarial, Administración de Políticas v2.1, que se centra en la definición y administración de políticas de control de acceso.
A medida que las agencias gubernamentales (y las organizaciones no federales) buscan proteger sus activos de alto valor de amenazas persistentes avanzadas, la necesidad de desacoplar seguridad desde la arquitectura de red hasta la implementación efectiva de la segmentación basada en host, se ha convertido en una prioridad máxima. Núcleo de Illumio separa la seguridad de la red y los segmentos en el host, lo que permite a los clientes crear y aplicar políticas de segmentación que protegen las aplicaciones críticas dondequiera que se ejecuten.
Entonces, ¿qué es exactamente Common Criteria? ¿Qué son los perfiles de protección NIAP? ¿Y por qué le importa esto al gobierno federal? Vamos a profundizar un poco...
¿Qué son los Criterios Comunes?
Listas de criterios comunes un conjunto internacionalmente reconocido de estándares de seguridad que se utilizan para evaluar el Information Assurance (IA) de los productos de TI ofrecidos al gobierno por los proveedores comerciales. El Acuerdo de Reconocimiento de Criterios Comunes (CCRA) está compuesto por 30 países miembros, incluidos Estados Unidos, Australia, Francia, Reino Unido, Alemania, Países Bajos, Corea del Sur y otros. Los productos de TI evaluados bajo la CCRA son reconocidos mutuamente por todas las naciones miembros, lo que permite a las empresas evaluar los productos una vez y venderlos a muchas naciones. Es parte de la evaluación de capacidades y características de los productos de seguridad de TI para requerimientos de aseguramiento.
La evaluación de seguridad es rigurosa e integral y se lleva a cabo por laboratorios independientes de terceros aprobados. Las pruebas de IA están diseñadas para evaluar los riesgos asociados con el uso, procesamiento, almacenamiento y transmisión de información o datos que ingresan o salen del producto que se está evaluando. Parte del perfil de protección es que un producto debe cumplir con todos los requisitos de PP.
Hay algunos conceptos clave importantes de los Criterios Comunes:
- Objetivo de seguridad: Las capacidades del proyecto bajo evaluación deben ser declaradas explícitamente
- Perfil de protección: una plantilla utilizada para un conjunto estándar de requisitos para una clase específica de productos relacionados
- Niveles de aseguramiento de evaluación: Definir el producto y la forma en que se prueba. Los EAL van de 1 a 7, siendo 7 el máximo y 1 el mínimo
- Objetivo de evaluación: El sistema o dispositivo que se va a revisar para la certificación Common Criteria
- Requerimientos funcionales de seguridad: Requerimientos que se refieren a funciones de seguridad únicas
Para Illumino Core, una parte importante de la evaluación se centró en el conjunto rico en funciones de auditoría y capacidades de seguridad. En Common Criteria, el proveedor define las afirmaciones de funcionalidad de seguridad que deben evaluarse mediante la redacción de un Objetivo de Seguridad. Dentro del Objetivo de Seguridad, el alcance de la evaluación se identifica a través del Objetivo de Evaluación (TOE). En el caso de Illumio Core, el TOE (o alcance de evaluación) incluyó el Motor de computación de políticas (PCE) y el Nodo de aplicación virtual (VEN).
¿Qué son los perfiles de protección NIAP?
En 2009, el National Information Assurance Partnership (NIAP), el esquema de los Estados Unidos para las evaluaciones de Criterios Comunes, actualizó su política para exigir que todas las certificaciones de Common Criteria cumplan con los requisitos de seguridad directamente de los Perfiles de Protección NIAP aprobados. Anteriormente, los requerimientos funcionales de Common Criteria eran definidos por proveedores individuales a través del marco Evaluation Assurance Level (EAL). Con el cambio a los perfiles de protección NIAP, los requisitos funcionales de Common Criteria se adaptan para satisfacer los requisitos de seguridad y pruebas de una clase de tecnología específica (por ejemplo, administración de políticas, firewalls, VPN).
Los productos sometidos a evaluaciones contra un perfil de protección deben cumplir al 100% con los requisitos funcionales especificados en el perfil de protección. No es aceptable cumplir con sólo el 99% del perfil de protección — se requiere un cumplimiento completo y total para aprobar la certificación. Una forma en que puede subir su protección es completando seguridad de punto final. Los estrictos requisitos de seguridad hablan de la naturaleza rigurosa e integral de la certificación Common Criteria mencionada anteriormente. Entonces eso nos lleva al último punto...
¿Por qué al gobierno le importan los Criterios Comunes y los Perfiles de Protección?
Primero, para las agencias de defensa de los Estados Unidos, la certificación Common Criteria es exigida por la política de seguridad nacional de los Estados Unidos NSTISSP #11, que rige la adquisición de productos de TI habilitados para IA por parte del gobierno de los Estados Unidos. En pocas palabras, si usted es un proveedor de TI o seguridad que desea vender productos al DoD con el propósito de proteger los Sistemas de Seguridad Nacional (NSS), debe tener Criterios Comunes.
Siguiente, según el equipo de TI de la Oficina de Administración y Presupuesto salpicadero, el Departamento de Defensa de los Estados Unidos (DoD) está en camino de gastar $38 mil millones sobre contratos no clasificados de tecnología de la información en el ejercicio fiscal 2019. Uno de los mayores obstáculos que los proveedores comerciales deben superar para vender productos de TI al DoD es lograr las certificaciones de seguridad de productos y cumplimiento de normas gubernamentales requeridas, como Common Criteria. Según lo señalado por NIAP: “Los productos incluidos en la Lista de Cumplimiento de Productos (PCL) del NIAP, que afirman cumplir con los perfiles de protección del gobierno de los Estados Unidos, cumplen con los niveles mínimos de seguridad que el NIST y la NSA consideran apropiados y, en general, deben preferirse a los productos que no hacen tales afirmaciones”.
Adicionalmente, NIAP establece: “Si existe un perfil de protección aprobado por el gobierno de los Estados Unidos para un área tecnológica en particular, pero no hay productos validados que se ajusten al perfil de protección disponibles para su uso, la organización adquirente debe exigir, antes de la compra, que los proveedores envíen sus productos para su evaluación y validación... contra el perfil de protección aprobado”.
Como puede ver, la certificación Common Criteria basada en los Perfiles de Protección NIAP sirve como una verificación crítica de cumplimiento de TI para el gobierno de los Estados Unidos cuando se trata de la adquisición de productos y soluciones comerciales.
Por último, muchas gracias y felicitaciones a todas las personas en el Producto Illumio equipos de desarrollo e ingeniería para este importante logro, así como el talentoso equipo de Cygnacom Solutions por su excelente trabajo como laboratorio NVLAP de Illumio.
Para obtener más detalles sobre los Criterios Comunes de Illumio y otras certificaciones de seguridad gubernamentales, consulte:
