Inicio > Recursos > Technical > Black Box Explica > KVM > La certificación NIAP frente a la certificación EAL en las pruebas de seguridad
Navegación
 

La certificación NIAP frente a la certificación EAL en las pruebas de seguridad

Black Box se lo explica

Tanto la certificación NIAP como la certificación EAL se ocupan de las pruebas de seguridad de los productos informáticos. Sin embargo, varían en su enfoque y criterios. Conozca la diferencia entre estas dos normas internacionales y por qué ahora se prefiere NIAP.

Certificación NIAP

La National Information Assurance Partnership (NIAP) es la organización estadounidense responsable de la aplicación del marco Common Criteria. El Common Criteria Evaluation and Validation Scheme (CCEVS) es el esquema de evaluación de EE.UU. implementado bajo NIAP para cumplir con los requisitos del Common Criteria Recognition Arrangement (CCRA). El NIAP CCEVS supervisa las evaluaciones de productos informáticos comerciales para su uso en sistemas de seguridad nacional. La ventaja de utilizar la norma internacional Common Criteria es que los productos pueden evaluarse una vez y venderse en varios países. Esto permite un uso eficiente de los recursos tanto del gobierno como de la industria. La CCRA garantiza que los laboratorios acreditados, independientemente de su ubicación geográfica o afiliación nacional, probarán los productos con los mismos criterios y utilizarán la misma metodología de prueba. Los términos «NIAP» y «CCEVS» suelen utilizarse indistintamente.

Certificación EAL

El nivel de garantía de evaluación (EAL) es un sistema de clasificación numérica que se utilizaba para describir el alcance y la gravedad de la evaluación de los productos. Cada número EAL correspondía a un rango categórico asignado a un producto o sistema informático que constaba de siete niveles: EAL1 era el más básico y de menor coste de evaluación e implantación, mientras que EAL7 era el más intenso y costoso de implantar.

A partir de 2013, el NIAP dejó de aceptar evaluaciones basadas en EAL y pasó a realizar evaluaciones con un cumplimiento exacto de los Perfiles de Protección (PP) específicos de la tecnología con el fin de proporcionar resultados de evaluación alcanzables, repetibles y comprobables. Esto redujo la confusión para los compradores/usuarios finales que causaba la EAL.

Aunque los requisitos de garantía de cada producto y sistema eran los mismos, los requisitos funcionales eran diferentes y cada producto podía tener distintos niveles dentro del mismo perfil de protección, lo que dificultaba mucho las comparaciones. Ahora, los usuarios finales y los compradores sólo tienen que buscar productos que cumplan los requisitos de PP para el perfil de protección que se ajuste a sus necesidades, en lugar de intentar comprender el significado del anterior esquema de numeración EAL.

Cuadro comparativo

Certificación NIAP Certificación EAL
Todos los proveedores dentro del mismo tipo de producto deben cumplir con los mismos requisitos de seguridad El proveedor elige individualmente qué requisitos de seguridad reclamar, lo que provoca inconsistencias en productos similares
Métodos de evaluación aprobados por el Acuerdo de Reconocimiento de Criterios Comunes. Reconocimiento limitado del Acuerdo de Reconocimiento de Criterios Comunes, solo hasta EAL2
Un enfoque objetivo en los métodos de evaluación. Un enfoque subjetivo para identificar los requisitos funcionales del producto.
Resultados relevantes, alcanzables y repetibles con modelos de amenaza estándar y requisitos funcionales de seguridad que deben ser capturados en un Perfil de Protección Perfiles de Protección no utilizados y los resultados no repetibles en diferentes productos y proveedores
Perfiles de Protección desarrollados por comunidades técnicas a través de la comunidad de Criterios Comunes. Requerimientos genéricos desarrollados por proveedores individuales
Amenazas identificadas y ordenadas por la NSA y otras agencias internacionales de seguridad; Requisitos de hardware basados ​​en amenazas Amenazas identificadas después de que el proveedor asigne la funcionalidad del producto a los Criterios Comunes, lo que provoca diferentes requisitos de hardware y menos seguridad

¿Qué son los Criterios Comunes?

Reconocidos internacionalmente, los Criterios Comunes son un conjunto de directrices para la seguridad de los productos de tecnología de la información. Common Criteria se desarrolló para ofrecer garantías al comprador y al usuario final de que la especificación, evaluación e implementación de cada producto se ha llevado a cabo de forma exhaustiva y normalizada. Para cumplir los requisitos de Common Criteria, cada producto debe someterse a pruebas independientes y un laboratorio de seguridad externo debe verificar que se comporta de forma segura conforme a una norma acordada internacionalmente.

Los Criterios Comunes garantizan unos resultados coherentes que son verificados por un laboratorio de pruebas externo para cumplir unos requisitos de seguridad específicos. Estos requisitos son actualmente obligatorios para el Gobierno Federal de Estados Unidos, así como para muchos otros gobiernos internacionales.

¿Qué es un perfil de protección (PP)?

Los Criterios Comunes pueden aplicarse a muchos productos de tecnología de la información (o informáticos) diferentes, como programas informáticos, conmutadores/enrutadores de red, cortafuegos, clientes de correo electrónico e incluso memorias USB. Se crea un Perfil de Protección (PP) para cada tipo de producto con el fin de determinar los requisitos de seguridad para la clase específica de equipo. El perfil de protección especifica criterios genéricos de evaluación de la seguridad para confirmar la conformidad del equipo con los requisitos de seguridad de esa familia de productos. Los perfiles de protección se utilizan para establecer una línea de base internacionalmente reconocible para los requisitos y técnicas de seguridad.

Más información sobre los Criterios Comunes NIAP y los productos conformes:

¿Por qué comprar un producto certificado por los Criterios Comunes como los Conmutadores KVM Seguros de Black Box?

Los Conmutadores KVM Seguros de Black Box han sido rigurosamente probados y evaluados por un laboratorio de seguridad Accredited Testing and Evaluation (AT&E) acreditado por el National Institute of Standards and Technology (NIST). Los switches se prueban de acuerdo con criterios aceptados internacionalmente y el marco gestionado por el gobierno (NSA). Esto significa que todas las características de seguridad de los productos Black Box NIAP Peripheral Sharing Devices (PSD) v4.0 Secure KVM han sido verificadas de forma independiente; el producto ha sido evaluado en cuanto a vulnerabilidad, ha superado con éxito las pruebas de penetración de amenazas y la inspección rigurosa del proceso de desarrollo de ingeniería definido por el Perfil de Protección PSD v4.0.