Norma ISO/IEC 15408, Common Criteria.

Cada día crece más la preocupación sobre la seguridad de la información contenida en los dispositivos hardware y sistemas de IT.  Los usuarios finales de TI carecen de los conocimientos, la experiencia o los recursos necesarios para poder determinar o juzgar si sus dispositivos o sistemas le ofrecen el nivel de  confianza adecuados.

Este es el motivo que originó la necesidad de plantear una norma como la ISO/IEC 15408 (o también conocida como Common Criteria) para garantizar que los productos cumplen con los requisitos establecidos por medio de los parámetros considerados estándares apropiados.

Los “Common Criteria” (ISO/IEC 15408) son el resultado de la unificación de las diferentes normativas internacionales  confluyendo en un estándar único y común reconocido a nivel mundial.

    La norma ISO/IEC 15408 proporciona una guía muy útil que define un criterio estándar a usar como base para la evaluación de las propiedades y características de seguridad de determinado producto o sistema IT y proporciona criterios y argumentos entendibles para los diferentes perfiles de actores que se encuentran relacionados con las tecnologías de la seguridad:

  • Los desarrolladores de productos o sistemas de tecnologías de la información (fabricantes) pueden ajustar sus diseños y explicar lo que ofrecen.
  • Los evaluadores de seguridad, que juzgan y certifican en que medida se ajusta una especificación de un producto o sistema IT a los requisitos de seguridad deseados, es decir, puede evaluar y certificar lo que asegura.
  • Los usuarios pueden conocer el nivel de confianza y seguridad que los productos de tecnologías de la información y sistemas le ofrecen. Pueden expresar cuales son sus necesidades.

La normativa ISO/IEC 15408 está conformada por tres partes diferenciadas:

  • Introducción y Modelo General. 
  • Requisitos  Funcionales de Seguridad.
  • Requisitos de Garantía de Seguridad.

Nota: En mi libro “Peritaje Informático y Tecnológico” podréis encontrar esta norma  desarrollada y comentada en castellano.

Anuncios

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Divulgación, Estándares y normas, Legislación, Todos y etiquetada , , , . Guarda el enlace permanente.