O mercado de soluções que atendem a requisitos de controles de segurança é enorme. Existe uma infinidade de diferentes fabricantes com diversos tipos de soluções voltadas a atender a um ou vários controles com a proposta de mitigar ou reduzir riscos. No entanto, como os clientes poderiam adquirir os produtos com expectativa alinhada com o prometido pelos fabricantes? Vários países iniciaram seus processos de certificação dos produtos, de forma a evitar com que clientes adquirissem “gato por lebre”. Porém, em um mercado internacional como o de segurança da informação, os fabricantes precisariam comprovar o atendimento dos requisitos para cada país que fossem comercializar seus produtos. Algo caro e que resultaria naturalmente em maior custo para o consumidor.

A partir dessa problemática, a ISO (International Organization for Standardization) iniciou um processo para padronização internacional com o princípio de criar uma metodologia única para a certificação de soluções de segurança. Em 1993 foi publicada a primeira versão da ISO/IEC 15048.

O principal benefício da publicação da norma foi a existência de um critério globalmente aceito para auxiliar os consumidores na complexa avaliação de diversos diferentes produtos de segurança. Aos fabricantes também se tornou mais simples o processo de conformidade técnica de seus produtos e atendimento internacional aos requisitos.

O Common Criteria, como foi nomeada a ISO/IEC 15048, é um framework em que os usuários especificam seus requisitos de segurança e os fabricantes alegam, após comprovada análise, o atendimento em algum grau de maturidade. Os produtos são avaliados através de uma escala chamada de Evaluation Assurance Level (EAL) que varia entre 1 a 7 conforme a seguir:

• EAL 1: funcionalidade testada
• EAL 2: estruturalmente testado
• EAL 3: metodicamente testado e avaliado
• EAL 4: metodicamente projetado, testado e avaliado
• EAL 5: semi-formalmente projetado e testado
• EAL 6: semi-formalmente verificado o design e testado
• EAL 7: formalmente verificado o design e testado

Quando um sistema é “formalmente verificado” quer dizer que os testes foram baseados em um modelo que é provado matematicamente.

O framework Common Criteria utiliza de protection profiles para realizar a avaliação. Um protection profile contém um série de requisitos de segurança e os resultados esperados para obter determinado nível de EAL. Cada requisito no protection profile precisa conter as ameaças possíveis e os controles necessários para atuar como contra-medida.

A lista de todos os protection profiles, bem como a avaliação dos produtos, pode ser obtida diretamente no site da Common Criteria: https://www.commoncriteriaportal.org

Através das avaliações do Common Criteria duas perguntas básicas podem ser respondidas sobre os produtos: Quais mecanismos de segurança o produto propõe a fazer (functionality) e qual garantia de que isso efetivamente é realizado (assurance).

Um protection profile geralmente contém as seguintes seções:

• descrição do problema de segurança
• objetivos de segurança
• requisitos de segurança

Conforme os nomes das seções, espera-se com que seja exposto um problema/vulnerabilidade e seja apresentado quais resultados se espera para ter isso remediado ou minimizado.

O processo de avaliação segue o seguinte fluxo:

A norma ISO/IEC 15408 é divida em três partes:

• ISO/IEC 15408-1: introdução e modelo geral do processo de avaliação do TOE (Target of Evaluation)
• ISO/IEC 15408-2: funcionalidade dos componentes de segurança de acordo com um catálogo de funções.
• ISO/IEC 15408-3: validação dos componentes de acordo com uma hierarquia de classes, famílias e componentes.

Por que se certificar?

O processo de certificação é algo difícil e longo. Porém, a depender do mercado de InfoSec, é algo realmente necessário. Delegar a um terceiro, sem interesse escuso, a tarefa de avaliar um produto permitirá aos clientes uma maior garantia do atendimento dos requisitos propostos pelo produto. Alguns fabricantes perceberam que possuir uma certificação CC permitirá acesso a mercados até então inalcançáveis, como clientes em corporações militares, governamentais, financeiras e de alta sensibilidade de dados. Nos Estados Unidos o Departamento de Defesa é um grande comprador de produtos certificados.