Checklist ISO/IEC 15408

ISO/IEC 15408

Haga un Autodiagnóstico en Seguridad de la Información

Autodiagnostico ISO/IEC 15408

Regula la evaluación objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de información. Supone:

1. Un acuerdo internacional sobre los requisitos exigibles al método de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificación del trabajo de los evaluadores en cada nivel.
2. Un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos.

15408-1: Define conceptos, procesos y paradigmas utilizados.
15408-2: Define el catálogo funcional con notas aclaratorias a su aplicación.
15408-3: Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluación correspondientes.

Son de aplicación a las medidas de seguridad de TI implementadas en Hardware, Firmware o Software.

Son ajenos a su finalidad:
1. Medidas de seguridad de tipo administrativo.
2. Control de radiaciones electromagnéticas.
3. La metodología de evaluación y el marco administrativo y legal bajo el cual se pueden aplicar.
4. Los procedimientos para el uso de los resultados de la evaluación en la acreditación.
5. Criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos.

Funcionalidad: Se refiere a las áreas de confidencialidad, integridad, disponibilidad y responsabilidad.
Aseguramiento: Se centra en el grado de confianza con la que un producto implementa las políticas de seguridad de la organización.
Los criterios comunes: Constituyen un esfuerzo colectivo para reunir las investigaciones de los estados unidos, Canadá, Francia, Alemania y el reino unido. Estos documentos contienen los requerimientos para la selección de las medidas apropiadas de seguridad.

EAL1 Nivel de aseguramiento de la evaluación.
Para este checklist solo se cubrirán los niveles EAL1 y EAL2.
EAL1 Es el nivel más bajo de aseguramiento tanto para el desarrollador como para el usuario. “Se Basa en el análisis de las funciones de seguridad del producto, tal como son presentadas por producto”. En la parte del software se verifica que este bien hecho lo cual significa que el usuario no lo modifique. Se aplica en el caso que alguna confidencialidad sea necesaria en el correcto funcionamiento, pero las amenazas a la seguridad no son consideradas como graves. Será independiente del aseguramiento del valor que se requiere para apoyar la afirmación de que la diligencia se ha ejercido con respecto a la protección de los datos personales o información similar.

EAL1 proporciona una evaluación del TOE2 de cómo ponerse a disposición del cliente, incluyendo pruebas independientes contra unas especificaciones, y una evaluación del documento guía proporcionado. Se pretende que una evaluación EAL1 podría ser llevado a cabo con éxito sin la ayuda de los desarrolladores de la TOE y por un mínimo gasto. Una evaluación de este nivel debe proporcionar evidencia de las funciones del TOE de manera consecuente con su documentación y que proporcione protección útil contra las amenazas identificadas.

Haga un Autodiagnóstico en Seguridad de la Información

Nuestros Servicios

En PASSWORD trabajamos bajo un modelo colectivo e interactivo de investigación, aprendizaje, acumulación y apropiación de conocimiento, generación y transferencia de tecnologías; en nuestros procesos utilizamos plataformas de software de vanguardia, para garantizar la optimización y efectividad de los procesos informáticos, con una mayor estabilidad, confianza y protección de “la información” y de los recursos tecnológicos.

Asesoramos, desarrollamos y comercializamos, servicios y soluciones software y hardware, a la medida de las necesidades y planes estratégicos de nuestros clientes.