Los CC permiten comparar los resultados entre evaluaciones de productos independientes.
Estos productos pueden ser hardware, software o firmware.
UU. - ITSEC (del inglés Information Technology Security Evaluation Criteria) comúnmente conocido como “Libro Blanco” y utilizados en Europa, y; - CTCPEC (del inglés Canadian Trusted Computer Product Evaluation Criteria) utilizados en Canadá.
En 1999 los Criterios Comunes en su versión 2.0 fueron adoptados por la International Organization for Standardization (ISO) como estándar internacional.
En la actualidad los CC se encuentran estandarizados bajo la serie de normas ISO/IEC 15408 (ISO/IEC 15408-1,2009), (ISO/IEC 15408-2,2008) y (ISO/IEC 15408-3,2008) aunque la última versión se encuentra disponible en la web del Common Criteria.
La metodología es la siguiente: 1) Introducción Contendrá el documento administrador y un panorama del PP como se indica a continuación: · El documento administrador se refiere a la identificación del PP que proporcionará la etiqueta y la información descriptiva necesaria para identificar, clasificar, registrar y cruzar referencias en un PP.
Asimismo, si el objeto de evaluación es un producto o sistema cuya función primordial es la seguridad, esta parte del PP puede ser usada entonces para describir el amplio contexto de aplicación dentro del cual se aplicará.
Con base en lo anterior podemos decir que en el entorno de seguridad: · La descripción se enfoca principalmente a las necesidades del usuario y con ello facilita la definición de requerimientos.
· Su análisis hace explícitas las hipótesis que se plantea al desarrollar el PP y las expectativas sobre el entorno que no se resolverán en otros ámbitos.
· Su análisis identifica las amenazas a las que está expuesto el objeto de evaluación y determina las políticas de seguridad que deberán operar para resguardar el entorno.
Se busca información necesaria para entender el uso del objeto sujeto a evaluación, se deben de contemplar el entorno en el que se encuentra, los factores que lo pueden afectar y la forma del comportamiento del objeto.
Se deben de tomar en cuentan las siguientes consideraciones: · Considerar las hipótesis necesarias según el entorno de trabajo y la interacción con los elementos que la rodean.
5) Amenazas Se describirán todas aquellas acciones que pongan en riego a los bienes de la organización.
· Las amenazas que sean relevante así determinando cuales son los bienes que necesitan protección, así identificando los métodos de ataque y quienes o cuales son los agentes amenazadores.
· Cualquier objetivo de seguridad que se deba cumplir en el entorno.
A estos requerimientos se les define en dos categorías: · Requerimientos funcionales: aquellos que se refieran a que el objeto de evaluación opere.
· Llevar a cabo la selección de las herramientas que logren los objetivos planteados, hagan cumplir las políticas de seguridad y contrarresten las amenazas identificadas.