O mercado de soluções que atendem a requisitos de controles de segurança é enorme. Existe uma infinidade de diferentes fabricantes com diversos tipos de soluções voltadas a atender a um ou vários controles com a proposta de mitigar ou reduzir riscos. No entanto, como os clientes poderiam adquirir os produtos com expectativa alinhada com o prometido pelos fabricantes? Vários países iniciaram seus processos de certificação dos produtos, de forma a evitar com que clientes adquirissem “gato por lebre”. Porém, em um mercado internacional como o de segurança da informação, os fabricantes precisariam comprovar o atendimento dos requisitos para cada país que fossem comercializar seus produtos. Algo caro e que resultaria naturalmente em maior custo para o consumidor.
A partir dessa problemática, a ISO (International Organization for Standardization) iniciou um processo para padronização internacional com o princípio de criar uma metodologia única para a certificação de soluções de segurança. Em 1993 foi publicada a primeira versão da ISO/IEC 15048.
O principal benefício da publicação da norma foi a existência de um critério globalmente aceito para auxiliar os consumidores na complexa avaliação de diversos diferentes produtos de segurança. Aos fabricantes também se tornou mais simples o processo de conformidade técnica de seus produtos e atendimento internacional aos requisitos.
O Common Criteria, como foi nomeada a ISO/IEC 15048, é um framework em que os usuários especificam seus requisitos de segurança e os fabricantes alegam, após comprovada análise, o atendimento em algum grau de maturidade. Os produtos são avaliados através de uma escala chamada de Evaluation Assurance Level (EAL) que varia entre 1 a 7 conforme a seguir:
- EAL 1: funcionalidade testada
- EAL 2: estruturalmente testado
- EAL 3: metodicamente testado e avaliado
- EAL 4: metodicamente projetado, testado e avaliado
- EAL 5: semi-formalmente projetado e testado
- EAL 6: semi-formalmente verificado o design e testado
- EAL 7: formalmente verificado o design e testado
Quando um sistema é “formalmente verificado” quer dizer que os testes foram baseados em um modelo que é provado matematicamente.
O framework Common Criteria utiliza de protection profiles para realizar a avaliação. Um protection profile contém um série de requisitos de segurança e os resultados esperados para obter determinado nível de EAL. Cada requisito no protection profile precisa conter as ameaças possíveis e os controles necessários para atuar como contra-medida.
A lista de todos os protection profiles, bem como a avaliação dos produtos, pode ser obtida diretamente no site da Common Criteria: https://www.commoncriteriaportal.org
Através das avaliações do Common Criteria duas perguntas básicas podem ser respondidas sobre os produtos: Quais mecanismos de segurança o produto propõe a fazer (functionality) e qual garantia de que isso efetivamente é realizado (assurance).
Um protection profile geralmente contém as seguintes seções:
- descrição do problema de segurança
- objetivos de segurança
- requisitos de segurança
Conforme os nomes das seções, espera-se com que seja exposto um problema/vulnerabilidade e seja apresentado quais resultados se espera para ter isso remediado ou minimizado.
O processo de avaliação segue o seguinte fluxo:

A norma ISO/IEC 15408 é divida em três partes:
- ISO/IEC 15408-1: introdução e modelo geral do processo de avaliação do TOE (Target of Evaluation)
- ISO/IEC 15408-2: funcionalidade dos componentes de segurança de acordo com um catálogo de funções.
- ISO/IEC 15408-3: validação dos componentes de acordo com uma hierarquia de classes, famílias e componentes.
Por que se certificar?
O processo de certificação é algo difícil e longo. Porém, a depender do mercado de InfoSec, é algo realmente necessário. Delegar a um terceiro, sem interesse escuso, a tarefa de avaliar um produto permitirá aos clientes uma maior garantia do atendimento dos requisitos propostos pelo produto. Alguns fabricantes perceberam que possuir uma certificação CC permitirá acesso a mercados até então inalcançáveis, como clientes em corporações militares, governamentais, financeiras e de alta sensibilidade de dados. Nos Estados Unidos o Departamento de Defesa é um grande comprador de produtos certificados.
Um comentário sobre “Framework Common Criteria”