Publicaciones

Plazos y actualizaciones sobre la última versión de la evaluación Common Criteria

15/06/2023

    Si eres proveedor de soluciones de ciberseguridad, probablemente ya conoces todas las ventajas que ofrece la evaluación Common Criteria (CC). Además de garantizar la seguridad de los productos, este tipo de evaluación también puede ayudarte a aumentar la confianza de tus clientes finales y a diferenciar tu producto de otros similares que no estén certificados.    

    Sin embargo, debido a que las mejoras en ciberseguridad avanzan a una velocidad vertiginosa, la única forma de aprovechar al máximo estas ventajas es estar al día de la última versión de CC.   

    ¿Cómo te pueden afectar las últimas revisiones del esquema de la CEM (Common Evaluation Methodology, en español Metodología de Evaluación Común) según la ISO/IEC 15408:2022 y la ISO/IEC 18045:2022? Sigue leyendo para conocer los procedimientos que se deberían llevar a cabo, los plazos de transición y los próximos pasos. 

    Plazos y periodo de transición

    Durante el periodo de transición, que durará hasta el 30 de junio de 2024, los clientes podrán optar entre las versiones CCv3.1R5 o CC:2022 R1, ya que ambas serán válidas.  

    No obstante, los Security Target conformes con CC:2022, pero basados en los Protection Profiles (PP) certificados según CC3.1R5, se aceptarán hasta el 31 de diciembre de 2027.   

    Por último, después del 30 de junio de 2024, las actividades de continuidad de la garantía conocidas como Re-evaluation y Re-assessment, basadas en evaluaciones CCv3.1R5, se podrán iniciar hasta 2 años después de la fecha de certificación inicial. 

    Actualizaciones que aparecen en la norma CC:2022:   

    Las mejores prácticas de ciberseguridad han evolucionado desde las primeras implementaciones de CCv3.1R5. Aunque los cambios de ISO/IEC 15408 e ISO/IEC 18045 parezcan considerables, no son más que un mero reflejo de lo lejos que ha llegado nuestra experiencia en ciberseguridad.    

    Principales conclusiones sobre la nueva norma CC:2022   

    1. Evaluaciones multi-garantía. Permite evaluar productos y sistemas heterogéneos permitiendo que diferentes partes del TSF reclamen diferentes paquetes de garantía. Así se ha visto anteriormente, por ejemplo, en el PP de Point of Interaction (POI).   
    2. Enfoque Specification-based: corresponde a la iniciativa de CCRA basada en evaluaciones de baja garantía usando collaborative Protection Profiles (cPPs). Los cPP definen actividades de evaluación propias a nivel de requisito de evaluación o de pruebas. Permite el uso de PPs de justificación directa (Direct Rationale PPs), los cuales no definen objetivos de seguridad y relacionan directamente los SFRs a las amenazas y políticas del TOE. 
    3. Cambios en el modelo de composición. Introduce el modelo de composición Red/bidireccional y el modelo de composición integrado (Embedded Composition Model), una práctica ampliamente utilizada en los Dominios Técnicos de Smartcards y Dispositivos Similares de SOG-IS. Esto permite agilizar el proceso de composición. Se introducen ASE_COMP, ADV_COMP, ALC_COMP, ATE_COMP y AVA_COMP como familias de garantía. La clase de garantía ACO permanece bajo el nombre de Modelo de Composición por Capas (Layered Composition Model). 
    4. Actualizaciones en los SARs. Se aplican cambios en ADV_SPM, y se añade la nueva familia de garantía ALC_TDA: TOE Development Artifacts. El objetivo es generar confianza en el proceso de desarrollo, garantizando la generación de artefactos específicos.
    5. Una revisión de los SFRs: Se incorporan un número significativo de SFRs en la Parte 2, la mayoría de los cuales han sido ampliamente utilizados durante años como Componentes Extendidos en los PP y ST.  

    La norma CC:2022 replantea su estructura  

    Uno de los principales cambios de la última norma CC:2022 es estructural. En lugar de tres, tiene cinco partes.  

    • Partes 1 y 2: siguen siendo las mismas que en CCv3.1R5. 
    • Parte 3: la ISO/IEC 15408-3:2022 engloba los requisitos de garantía de seguridad (SAR) de la parte 3 de la versión anterior.  
    • Parte 4: Incluye nuevos aspectos a tener en cuenta. La ISO/IEC 15408-4:2022 define una metodología para derivar nuevos métodos y actividades de evaluación basados en la ISO/IEC 18045:2022, los cuales pueden ser incluidos en los Protection Profiles y Security Targets (ST). De esta manera se proporciona una estructura más flexible y adaptable para abordar diversas necesidades de evaluación de la seguridad.   
    • Parte 5: la ISO/IEC 15408-5:2022 contiene los Evaluation Assurance Levels (EALs) y los Composed Assurance Packages (CAP), que anteriormente estaban en la Parte 3.   

    Facilitamos y agilizamos Common Criteria   

    Nuestro Laboratorio está preparado para gestionar evaluaciones y certificaciones tanto bajo la norma CCv3.1R5 como bajo la CC:2022. Gracias a ello, podemos garantizar una transición fluida para nuestros clientes, proporcionando un valioso asesoramiento y apoyo para resolver cualquier inquietud o duda en relación con las actualizaciones.  

    Somos un laboratorio acreditado para las evaluaciones de hasta nivel EAL7 en los dominios técnicos de SOG-IS, y expertos en facilitar y agilizar las evaluaciones Common Criteria, gracias a nuestro:  

    • Marco innovador para automatizar y acelerar los tiempos de certificación.   
    • Expertise de primera categoría centrados en los plazos de comercialización.  
    • Contribuciones activas a la definición del esquema EUCC.  
    • Apoyo de la Comisión Europea a través del comité SCCG.  

    Para más información acerca de nuestros servicios visita nuestra página oficial o contacta uno de nuestros expertos en ciberseguridad.  

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies