Qué son los criterios comunes y cómo obtener la certificación

Hace casi dos años, tuve la suerte de unirme al equipo de Illumio como Gerente Federal de Productos. La primera agenda fue adquirir las certificaciones de productos necesarias requeridas por el gobierno federal, incluido el cumplimiento de FIPS 140-2 y GSA Sección 508. Recientemente, Illumio Core logró otra importante certificación de seguridad gubernamental llamada Common Criteria. Con esta certificación, Illumio se convirtió en el primer proveedor de seguridad empresarial en obtener la certificación de conformidad con el perfil de protección estándar de National Information Assurance Partnership (NIAP) para la gestión de la seguridad empresarial, Policy Management v2.1, que se centra en la definición y gestión de políticas de control de acceso.

A medida que las agencias gubernamentales (y las organizaciones no federales) buscan proteger sus activos de alto valor de las amenazas persistentes avanzadas, la necesidad de desacoplar la seguridad de la arquitectura de red para implementar de manera efectiva la segmentación basada en host se convirtió en una prioridad principal. Illumio Core separa la seguridad de la red y los segmentos en el host, lo que permite a los clientes crear y aplicar políticas de segmentación que protegen las aplicaciones críticas dondequiera que se ejecuten.

Entonces, ¿qué es exactamente Common Criteria? ¿Qué son los perfiles de protección NIAP? ¿Y por qué le importa esto al gobierno federal? Profundicemos un poco...

¿Qué es Common Criteria?

Common Criteria enumera un conjunto de estándares de seguridad reconocidos internacionalmente que se emplean para evaluar la garantía de la información (IA) de los productos de TI ofrecidos al gobierno por proveedores comerciales. El Acuerdo de Reconocimiento de Criterios Comunes (CCRA) está compuesto por 30 países miembros, incluidos EE. UU., Australia, Francia, Reino Unido, Alemania, Países Bajos, Corea del Sur y otros. Los productos de TI evaluados bajo la CCRA son reconocidos mutuamente por todas las naciones miembros, lo que permite a las compañías evaluar los productos una vez y venderlos a muchas naciones. Es parte de la evaluación de capacidades y características de los productos de seguridad de TI para los requisitos de garantía.

La evaluación de seguridad es rigurosa y completa y es realizada por laboratorios independientes de terceros aprobados. Las pruebas de IA están diseñadas para evaluar los riesgos asociados con el uso, procesamiento, almacenamiento y transmisión de información o datos que ingresan o salen del producto que se está evaluando. Parte del perfil de protección es que un producto debe cumplir con todos los requisitos de PP.

Hay algunos conceptos clave importantes de Common Criteria:

• Objetivo de seguridad: se deben indicar explícitamente las capacidades del proyecto en evaluación
• Perfil de protección: una plantilla empleada para un conjunto estándar de requisitos para una clase específica de productos relacionados.
• Niveles de garantía de evaluación: Defina el producto y la forma en que se prueba. Las EAL van de 1 a 7, siendo 7 el máximo y 1 el mínimo
• Objetivo de la evaluación: El sistema o dispositivo que se va a revisar para la certificación Common Criteria
• Requisitos funcionales de seguridad: requisitos que hacen referencia a funciones de seguridad únicas

Para Illumio Core, una parte importante de la evaluación se centró en el conjunto de capacidades de auditoría y seguridad con muchas funciones. En Common Criteria, el proveedor define las notificaciones de funcionalidad de seguridad que se evaluarán mediante la redacción de un destino de seguridad. Dentro del objetivo de seguridad, el alcance de la evaluación se identifica a través del objetivo de evaluación (TOE). En el caso de Illumio Core, el TOE (o alcance de la evaluación) incluía el motor de cálculo de políticas (PCE) y el nodo de cumplimiento virtual (VEN).
 

¿Qué son los perfiles de protección NIAP?

En 2009, la Asociación Nacional de Aseguramiento de la Información (NIAP), el esquema de los Estados Unidos para las evaluaciones de Common Criteria, actualizó su política para exigir que todas las certificaciones de Common Criteria cumplan con los requisitos de seguridad directamente de los perfiles de protección NIAP aprobados. Anteriormente, los proveedores individuales definían los requisitos funcionales de Common Criteria a través del marco de nivel de garantía de evaluación (EAL). Con el cambio a los perfiles de protección NIAP, los requisitos funcionales de Common Criteria se adaptan para abordar los requisitos de seguridad y pruebas de una clase de tecnología específica (por ejemplo, administración de políticas, firewalls, VPN).

Los productos que se someten a evaluaciones con respecto a un perfil de protección deben cumplir al 100% con los requisitos funcionales especificados en el perfil de protección. No es aceptable cumplir solo con el 99% del perfil de protección: se requiere un cumplimiento completo y total para aprobar la certificación. Una forma de aumentar su protección es tener una seguridad completa para los endpoints. Los estrictos requisitos de seguridad hablan de la naturaleza rigurosa y completa de la certificación Common Criteria mencionada anteriormente. Así que eso nos lleva al último punto...

¿Por qué el gobierno se preocupa por los Criterios Comunes y los perfiles de protección?

En primer lugar, para las agencias de defensa de EE. UU., La certificación Common Criteria es obligatoria por la política de seguridad nacional de EE. UU. NSTISSP # 11, que rige la adquisición de productos de TI habilitados para IA y garantía de información por parte del gobierno de EE. UU. En pocas palabras, si usted es un proveedor de TI o seguridad que desea vender productos al Departamento de Defensa con el fin de proteger los Sistemas de Seguridad Nacional (NSS), debe tener Criterios Comunes. 

A continuación, según el panel de TI de la Oficina de Administración y Cotización, el Departamento de Defensa de los Estados Unidos (DoD) está en camino de gastar $ 38 mil millones en contratos de tecnología de la información no clasificados en el año fiscal 2019. Uno de los mayores obstáculos que los proveedores comerciales deben superar para vender productos de TI al Departamento de Defensa es lograr el cumplimiento gubernamental requerido y las certificaciones de seguridad de productos, como Common Criteria. Como señaló NIAP: "Los productos enumerados en la Lista de Cumplimiento de Productos (PCL) de NIAP, que afirman cumplir con los perfiles de protección del gobierno de EE. UU., Cumplen con los niveles mínimos de seguridad considerados apropiados por NIST y NSA y, en general, deben preferir a los productos que no hacen tales afirmaciones".

Además, NIAP establece: "Si existe un perfil de protección aprobado por el gobierno de EE. UU. para un área tecnológica en individua, pero no hay productos validados que se ajusten al perfil de protección disponibles para su uso, la organización adquirente debe exigir, antes de la compra, que los proveedores envíen sus productos para su evaluación y validación... contra el perfil de protección aprobado".

Como puede ver, la certificación Common Criteria basada en NIAP Protection Profiles sirve como una verificación crítica de cumplimiento de TI para el gobierno de EE. UU. cuando se trata de la adquisición de productos y soluciones comerciales. 

Finalmente, muchas gracias y felicitaciones a todas las personas de los equipos de ingeniería y desarrollo de productos de Illumio por este importante logro, así como al talentoso equipo de Cygnacom Solutions por su excelente trabajo como laboratorio NVLAP de Illumio.

Para obtener más detalles sobre los Criterios Comunes de Illumio y otras certificaciones de seguridad gubernamentales, consulte: 

• Página de listados de "Productos compatibles" de NIAP
• Certificado de criterios comunes de Illumio Core
• Cumplimiento de Illumio Core FIPS 140-2