Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética
Illumio Editorial
Illumio Editorial
23 de agosto de 2019
23 minutos. ler

O que são critérios comuns e como obter a certificação

Há quase dois anos, tive a sorte de me juntar à equipe da Illumio como Gerente de Produto para o Governo Federal. A primeira providência foi obter as certificações de produto necessárias exigidas pelo governo federal, incluindo a conformidade com as normas FIPS 140-2 e GSA Seção 508. Recentemente, o Illumio Core obteve outra importante certificação de segurança governamental chamada Common Criteria. Com essa certificação, a Illumio se tornou a primeira fornecedora de segurança corporativa a ser certificada em conformidade com o Perfil de Proteção Padrão da Parceria Nacional de Garantia da Informação (NIAP) para Gerenciamento de Segurança Corporativa, Gerenciamento de Políticas v2.1, que se concentra na definição e gerenciamento de políticas de controle de acesso.

À medida que agências governamentais (e organizações não federais) buscam proteger seus ativos de alto valor contra ameaças persistentes avançadas, a necessidade de dissociar a segurança da arquitetura de rede para implantar com eficácia a segmentação baseada em host se tornou uma prioridade máxima. O Illumio Core separa a segurança da rede e dos segmentos no host, permitindo que os clientes criem e apliquem políticas de segmentação que protegem aplicativos essenciais onde quer que sejam executados.

Então, o que exatamente é Common Criteria? O que são perfis de proteção NIAP? E por que isso importa para o governo federal? Vamos nos aprofundar um pouco...

O que são critérios comuns?

Os Critérios Comuns listam um conjunto de padrões de segurança reconhecidos internacionalmente, utilizados para avaliar a Garantia da Informação (GI) de produtos de TI oferecidos ao governo por fornecedores comerciais. O Acordo de Reconhecimento de Critérios Comuns (CCRA) é composto por 30 nações membros, incluindo os EUA, Austrália, França, Reino Unido, Alemanha, Holanda, Coreia do Sul e outras. Os produtos de TI avaliados ao abrigo do CCRA são mutuamente reconhecidos por todos os países membros, permitindo que as empresas avaliem os produtos uma única vez e os vendam para vários países. Faz parte da avaliação das capacidades e funcionalidades dos produtos de segurança de TI para fins de garantia de qualidade.

A avaliação de segurança é rigorosa e abrangente e é conduzida por laboratórios independentes terceirizados aprovados. O teste de IA foi projetado para avaliar os riscos associados ao uso, processamento, armazenamento e transmissão de informações ou dados que entram ou saem do produto que está sendo avaliado. Parte do perfil de proteção é que um produto deve estar em conformidade com todos os requisitos de PP.

Existem alguns conceitos-chave importantes dos Critérios Comuns:

  • Meta de segurança: As capacidades do projeto em avaliação devem ser explicitamente declaradas
  • Perfil de proteção: um modelo usado para um conjunto padrão de requisitos para uma classe específica de produtos relacionados
  • Níveis de garantia de avaliação: defina o produto e a forma como ele é testado. Os EALs variam de 1 a 7, com 7 sendo o máximo e 1 sendo o mínimo
  • Alvo da avaliação: O sistema ou dispositivo que deve ser revisado para a certificação Common Criteria
  • Requisitos funcionais de segurança: requisitos que se referem a funções de segurança exclusivas

 

Para o Illumio Core, uma parte importante da avaliação focou no conjunto abrangente de recursos de auditoria e segurança. Nos Critérios Comuns, o fornecedor define as alegações de funcionalidade de segurança a serem avaliadas, elaborando um Objetivo de Segurança. Dentro do Objetivo de Segurança, o escopo da avaliação é identificado por meio do Objetivo de Avaliação (TOE). No caso do Illumio Core, o TOE (ou escopo de avaliação) incluiu o Policy Compute Engine (PCE) e o Virtual Enforcement Node (VEN).
 

O que são perfis de proteção NIAP?

Em 2009, a National Information Assurance Partnership (NIAP), o esquema dos Estados Unidos para avaliações de critérios comuns, atualizou sua política para exigir que todas as certificações da Common Criteria cumpram os requisitos de segurança diretamente dos perfis de proteção aprovados pelo NIAP. Anteriormente, os requisitos funcionais do Common Criteria eram definidos por fornecedores individuais por meio da estrutura Evaluation Assurance Level (EAL). Com a mudança nos perfis de proteção do NIAP, os requisitos funcionais do Common Criteria são personalizados para atender aos requisitos de segurança e teste de uma classe de tecnologia específica (por exemplo, gerenciamento de políticas, firewalls, VPN).

Os produtos submetidos a avaliações em relação a um perfil de proteção devem atender 100% aos requisitos funcionais especificados no perfil de proteção. Não é aceitável cumprir apenas 99% do perfil de proteção — é necessária conformidade completa e total para obter a certificação. Uma maneira de aumentar sua proteção é ter segurança completa de terminais. Os rígidos requisitos de segurança demonstram a natureza rigorosa e abrangente da certificação Common Criteria mencionada acima. Então, isso nos leva ao último ponto...

Por que o governo se preocupa com os critérios comuns e os perfis de proteção?

Primeiro, para as agências de defesa dos EUA, a certificação Common Criteria é exigida pela política de segurança nacional dos EUA NSTISSP #11, que rege a aquisição de produtos de TI habilitados para IA e garantia da informação pelo governo dos EUA. Resumindo, se você é um fornecedor de TI ou segurança que deseja vender produtos ao DoD com o objetivo de proteger os Sistemas de Segurança Nacional (NSS), você deve ter Critérios Comuns. 

Em seguida, de acordo com o painel de TI do Escritório de Administração e Orçamento (OMB), o Departamento de Defesa dos EUA (DoD) está a caminho de gastar US$ 38 bilhões em contratos de tecnologia da informação não classificados no ano fiscal de 2019. Um dos maiores obstáculos que os fornecedores comerciais precisam superar para vender produtos de TI ao Departamento de Defesa dos EUA é obter as certificações governamentais exigidas e as certificações de segurança de produtos, como os Critérios Comuns. Conforme observado pela NIAP: "Os produtos listados na Lista de Produtos Compatíveis (PCL) da NIAP, que alegam conformidade com os perfis de proteção do governo dos EUA, atendem aos níveis mínimos de segurança considerados apropriados pelo NIST e pela NSA e, em geral, devem ser preferidos em relação aos produtos que não fazem tais alegações."

Além disso, o NIAP declara: " Se existir um perfil de proteção aprovado pelo governo dos EUA para uma área de tecnologia específica, mas nenhum produto validado que esteja em conformidade com o perfil de proteção estiver disponível para uso, a organização adquirente deverá exigir, antes da compra, que os fornecedores enviem seus produtos para avaliação e validação... de acordo com o perfil de proteção aprovado. "

Como você pode ver, a certificação Common Criteria baseada nos perfis de proteção do NIAP serve como uma verificação crítica de conformidade de TI para o governo dos EUA quando se trata da aquisição de produtos e soluções comerciais. 

Finalmente, muito obrigado e parabéns a todas as equipes de desenvolvimento e engenharia de produtos da Illumio por essa importante conquista, bem como à talentosa equipe da Cygnacom Solutions por seu excelente trabalho como laboratório NVLAP da Illumio.

Para obter mais detalhes sobre os Critérios Comuns da Illumio e outras certificações de segurança governamentais, confira: 

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica
Resiliência cibernética

Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica

Descubra como os ataques cibernéticos em infraestruturas críticas estão aumentando em 2025, à medida que as tensões globais aumentam e os grupos apoiados pelo estado atacam serviços públicos, serviços de saúde e muito mais.

Leia mais
Como escolher o melhor fornecedor de cibersegurança
Resiliência cibernética

Como escolher o melhor fornecedor de cibersegurança

Aprenda com um especialista em segurança cibernética sobre os fatores essenciais que as equipes precisam considerar ao escolher um fornecedor de segurança cibernética.

Leia mais
Quando o EDR falha: a importância da contenção na segurança de terminais
Resiliência cibernética

Quando o EDR falha: a importância da contenção na segurança de terminais

Os fornecedores de EDR precisam adotar a segmentação Zero Trust para reduzir o tempo de permanência na cibersegurança e preencher a definição da lacuna de confiança.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais