ISO/IEC 15408-1:2005 Tecnologías de la información - Técnicas de seguridad - Criterios de evaluación de la seguridad informática - Parte 1: Introducción y modelo general
ISO/IEC 15408 está destinado a ser utilizado como base para la evaluación de las propiedades de seguridad de los productos y sistemas de TI. Al establecer una base de criterios común de este tipo, los resultados de una evaluación de la seguridad de TI serán significativos para un público más amplio. Ciertos temas, porque involucran técnicas especializadas o porque son algo periféricos a la seguridad de TI, se consideran fuera del alcance de ISO/IEC 15408. Algunos de ellos se identifican a continuación: a) ISO/IEC 15408 no contiene criterios de evaluación de seguridad relativas a medidas de seguridad administrativas no relacionadas directamente con las medidas de seguridad informática. Sin embargo, se reconoce que una parte importante de la seguridad de un TOE a menudo puede lograrse mediante medidas administrativas como controles organizativos, de personal, físicos y de procedimiento. Las medidas de seguridad administrativas en el entorno operativo del TOE se tratan como supuestos de uso seguro cuando tienen un impacto en la capacidad de las medidas de seguridad de TI para contrarrestar las amenazas identificadas. b) No se cubre específicamente la evaluación de aspectos físicos técnicos de la seguridad informática como el control de emanaciones electromagnéticas, aunque muchos de los conceptos abordados serán aplicables a ese área. En particular, ISO/IEC 15408 aborda algunos aspectos de la protección física del TOE. c) ISO/IEC 15408 no aborda la metodología de evaluación ni el marco administrativo y legal bajo el cual las autoridades de evaluación pueden aplicar los criterios. Sin embargo, se espera que ISO/IEC 15408 se utilice con fines de evaluación en el contexto de dicho marco y dicha metodología. d) Los procedimientos para el uso de los resultados de la evaluación en la acreditación de productos o sistemas están fuera del alcance de ISO/IEC 15408. La acreditación de productos o sistemas es el proceso administrativo mediante el cual se otorga autoridad para la operación de un producto o sistema de TI en su entorno operativo completo. . La evaluación se centra en las partes de seguridad de TI del producto o sistema y aquellas partes del entorno operativo que pueden afectar directamente el uso seguro de los elementos de TI. Los resultados del proceso de evaluación son, en consecuencia, un insumo valioso para el proceso de acreditación. Sin embargo, como otras técnicas son más apropiadas para las evaluaciones de propiedades de seguridad de productos o sistemas no relacionados con TI y su relación con las partes de seguridad de TI, los acreditadores deben prever por separado esos aspectos. e) El tema de los criterios para la evaluación de las cualidades inherentes de los algoritmos criptográficos no está cubierto en ISO/IEC 15408. En caso de que se requiera una evaluación independiente de las propiedades matemáticas de la criptografía integrada en un TOE, el esquema de evaluación bajo el cual ISO/IEC 15408 es aplicado debe prever tales evaluaciones. Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de TI — Parte 1: Introducción y modelo general Esta parte de ISO/IEC 15408 define dos formas para expresar los requisitos funcionales y de aseguramiento de la seguridad de TI. La construcción del perfil de protección (PP) permite la creación de conjuntos reutilizables generalizados de estos requisitos de seguridad. Los consumidores potenciales pueden utilizar el PP para especificar e identificar productos con características de seguridad de TI que satisfagan sus necesidades. El objetivo de seguridad (ST) expresa los requisitos de seguridad y especifica las funciones de seguridad para un producto o sistema particular a evaluar, denominado objetivo de evaluación (TOE). Los evaluadores utilizan el ST como base para las evaluaciones realizadas de acuerdo con la norma ISO/IEC 15408.
ISO/IEC 15408-1:2005 Historia
2022ISO/IEC 15408-1:2022 Seguridad de la información, ciberseguridad y protección de la privacidad. Criterios de evaluación de la seguridad informática. Parte 1: Introducción y modelo general.
2009ISO/IEC 15408-1:2009 Tecnologías de la información. Técnicas de seguridad. Criterios de evaluación de la seguridad informática. Parte 1: Introducción y modelo general.
2005ISO/IEC 15408-1:2005 Tecnologías de la información - Técnicas de seguridad - Criterios de evaluación de la seguridad informática - Parte 1: Introducción y modelo general
1999ISO/IEC 15408-1:1999 Tecnologías de la información - Técnicas de seguridad - Criterios de evaluación de la seguridad informática - Parte 1: Introducción y modelo general