jtsec forma parte de

Nuestra dilatada experiencia como expertos nos permite conocer cuáles son las dudas más frecuentes en el ámbito de la certificación de ciberseguridad, son muchos los que nos preguntan ciertas dudas que hemos considerado necesario agrupar por metodologías de evaluación.

Esperamos que las siguientes preguntas y respuestas concretas sirvan para aclarar tus dudas. Si tienes alguna duda que no esté contemplada, puedes escribirla en este formulario e intentaremos contestar lo antes posible.

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.

Preguntas frecuentes sobre Common Criteria

¿Cómo elegir el EAL en Common Criteria?

Seleccionar un EAL (Evaluation Assurance Level o Nivel de Evaluación) no es una tarea fácil. Dependiendo del nivel de garantía que quiera cumplir, hay 7 EALs definidos, cuanto mayor sea el número, mayor será el esfuerzo para pasar la evaluación. Según nuestro informe de estadísticas de Common Criteria, los EAL más demandados son el 2, el 4 y el 5. Si quiere saber más sobre los requisitos solicitados para cada EAL, consulte nuestro resumen de los requisitos Common Criteria. Al final, la decisión debe ser impulsada por su objetivo de mercado y la madurez de sus procesos de desarrollo.

¿Cuánto tiempo se tarda en obtener la certificación Common Criteria?

Dependiendo de la EAL/PP con la que se certifique el producto, cuanto más alto sea el EAL, más tiempo suele llevar la certificación. Como orientación básica, una certificación Common Criteria necesita alrededor de 6-8 meses para completarse, luego hay muchos factores que pueden hacer que el proceso de consultoría o evaluación se alargue (vulnerabilidades graves encontradas, errores e inconsistencias en la documentación del producto...).

¿Cuánto cuesta una certificación Common Criteria?

El presupuesto necesario para afrontar una certificación Common Criteria dependerá de la EAL/PP elegido para evaluar el producto y del alcance de la evaluación. A mayor nivel de seguridad, mayor coste de la certificación. En jtsec, ajustamos el presupuesto para cada cliente una vez que hemos analizado el proyecto, con la idea de ofrecer el enfoque más adecuado.

¿En qué países puedo obtener el certificado Common Criteria?

Existen dos tipos de países miembros de Common Criteria, los que son miembros autorizados (países con laboratorios y organismos de certificación capaces de evaluar Common Criteria) y los que son miembros consumidores (países que no evalúan, pero sí reconocen la certificación Common Criteria).

Miembros autorizados: Canadá, Francia, Estados Unidos, Italia, España, Países Bajos, Alemania, Suecia, Australia, India, Japón, Malasia, Nueva Zelanda, Noruega, Corea del Sur, Singapur y Turquía.

Miembros consumidores: Austria, República Checa, Dinamarca, Etiopía, Finlandia, Grecia, Hungría, Polonia, Israel, Pakistán, Indonesia, Qatar, Reino Unido y República Eslovaca.

¿Cómo se inicia una certificación Common Criteria?

Certificar un producto según la norma Common Criteria no es un proceso sencillo, por lo que recomendamos que el primer paso sea realizar un análisis de deficiencias. Las primeras decisiones que hay que tomar son: el nivel de garantía que se quiere alcanzar, el tiempo, el personal y la inversión económica de la certificación y la elección del esquema bajo el que se va a realizar la certificación (debe ser uno de los países incluidos en los miembros autorizantes).

Una vez aclarados estos puntos, es factible iniciar el proceso de redacción de toda la documentación.

Requisitos para los Criterios Comunes.

Los requisitos necesarios para llevar a cabo una evaluación Common Criteria dependen en gran medida de la EAL/PP a la que se vaya a enfrentar el producto. Aunque hay requisitos comunes a todos los niveles de seguridad y perfiles de protección, hay muchos otros requisitos que dependen de la EAL/PP elegida para el producto. Si quiere saber más sobre los requisitos solicitados para cada EAL, consulte nuestro resumen de requisitos Common Criteria.

¿EAL o perfil de protección (PP)?

Ambos, el Nivel de Evaluación (EAL) y el Perfil de Protección (PP), son directrices que indican los requisitos de seguridad que debe superar el producto para obtener la certificación Common Criteria.

Un PP especifica los criterios genéricos de evaluación de la seguridad para corroborar las afirmaciones de los fabricantes de una determinada familia de productos de sistemas de información e incluye un EAL. Una EAL es menos específica, ya que no se refiere a un tipo específico de producto, sino a un nivel de garantía.

Preferiblemente, y si es posible, el producto debe ser evaluado de conformidad con un PP.

Preguntas frecuentes sobre FIPS 140-3

¿Qué requisitos de seguridad de existen en FIPS 140-3?

Las áreas comprendidas, relacionadas con el diseño y la implementación seguros de un módulo criptográfico, incluyen la especificación; los puertos y las interfaces; las funciones, los servicios y la autenticación; el modelo de estado finito; la seguridad física; el entorno operativo; la gestión de claves criptográficas; las interferencias electromagnéticas/la compatibilidad electromagnética (EMI/EMC); los self-test; la garantía de diseño; y la mitigación de otros ataques.

¿Necesito un módulo criptográfico para una certificación FIPS?

FIPS 140-3 es una norma desarrollada por el NIST para definir los requisitos que debe cumplir un módulo criptográfico. Por lo tanto, para conseguir una certificación FIPS, necesitará un módulo criptográfico incluido en su producto, de lo contrario no tiene sentido.

¿Cómo se determina el nivel de cumplimiento de FIPS?

Existen cuatro niveles de cumplimiento, desde el nivel 1 (el más bajo) hasta el nivel 4 (el más alto):

Nivel 1: Requerimientos muy bajos, implica equipos de grado de producción y algoritmos probados externamente.

Nivel 2: Añade requisitos de evidencia física de manipulación y autenticación basada en roles. Las implementaciones de software deben ejecutarse en un sistema operativo aprobado por Common Criteria en EAL2.

Nivel 3: El hardware debe contar con resistencia física a la manipulación y autenticación basada en la identidad. También debe haber una separación física o lógica entre las interfaces por las que los "parámetros críticos de seguridad" entran y salen del módulo. Este nivel ofrece el mejor equilibrio y compromiso entre seguridad efectiva y comodidad operativa.

Nivel 4: Este es el nivel más alto, hace que los requisitos de seguridad física sean más estrictos, su principal objetivo es evitar los ataques ambientales, por lo que requiere mucha más robustez frente a este tipo de ataques.

Algoritmos aprobados y conformes con FIPS.

Existe una lista actual de algoritmos validados por FIPS, si su dispositivo está ejecutando un algoritmo desarrollado por un tercero, compruebe si ya está validado por el NIST.

En caso contrario, si estás desarrollando tu propio algoritmo y quieres que sea aprobado por el NIST, deberás pasar una certificación FIPS. Nuestro consejo es que, en primer lugar, te pongas en contacto con una consultora, como jtsec, antes de iniciar cualquier otro paso.

¿Cuántos niveles de garantía hay para FIPS 140-3?

Hay cuatro niveles de garantía para FIPS 140-3, del 1 al 4. La norma establece cuatro niveles cualitativos de seguridad crecientes, cuanto mayor sea el número, mayores serán los requisitos para superar la evaluación. Estos niveles pretenden cubrir el amplio abanico de posibles aplicaciones y entornos en los que se pueden emplear los módulos criptográficos; los más comunes son los niveles 1 y 2.