.png)
O que são critérios comuns e como obter a certificação
Há quase dois anos, tive a sorte de me juntar à equipe da Illumio como gerente federal de produtos. A primeira tarefa foi adquirir as certificações de produto necessárias exigidas pelo governo federal, incluindo DICAS 140-2 e conformidade com a Seção 508 da GSA. Recentemente, o Illumio Core obteve outra importante certificação de segurança governamental chamada Common Criteria. Com essa certificação, a Illumio se tornou a primeira fornecedora de segurança corporativa a ser certificada em conformidade com o Perfil de Proteção Padrão da National Information Assurance Partnership (NIAP) para Gerenciamento de segurança corporativa, gerenciamento de políticas v2.1, que se concentra na definição e gerenciamento de políticas de controle de acesso.
À medida que agências governamentais (e organizações não federais) buscam proteger seus ativos de alto valor contra ameaças persistentes avançadas, a necessidade de dissociar a segurança da arquitetura de rede para implantar com eficácia a segmentação baseada em host tornou-se uma prioridade máxima. Núcleo Illumio separa a segurança da rede e dos segmentos no host, permitindo que os clientes criem e apliquem políticas de segmentação que protejam aplicativos essenciais onde quer que sejam executados.
Então, o que exatamente é Common Criteria? O que são perfis de proteção NIAP? E por que isso importa para o governo federal? Vamos nos aprofundar um pouco...
O que são critérios comuns?
Listas de critérios comuns um conjunto internacionalmente reconhecido de padrões de segurança que são usados para avaliar a Garantia da Informação (IA) de produtos de TI oferecidos ao governo por fornecedores comerciais. O Common Criteria Recognition Arrangement (CCRA) é composto por 30 países membros, incluindo EUA, Austrália, França, Reino Unido, Alemanha, Holanda, Coreia do Sul e outros. Os produtos de TI avaliados pelo CCRA são mutuamente reconhecidos por todos os países membros, permitindo que as empresas avaliem os produtos uma vez e os vendam para vários países. É parte da avaliação de capacidades e recursos dos produtos de segurança de TI para requisitos de garantia.
A avaliação de segurança é rigorosa e abrangente e é conduzida por laboratórios independentes terceirizados aprovados. O teste de IA foi projetado para avaliar os riscos associados ao uso, processamento, armazenamento e transmissão de informações ou dados que entram ou saem do produto que está sendo avaliado. Parte do perfil de proteção é que um produto deve estar em conformidade com todos os requisitos de PP.
Existem alguns conceitos-chave importantes dos Critérios Comuns:
- Meta de segurança: As capacidades do projeto em avaliação devem ser explicitamente declaradas
- Perfil de proteção: um modelo usado para um conjunto padrão de requisitos para uma classe específica de produtos relacionados
- Níveis de garantia de avaliação: defina o produto e a forma como ele é testado. Os EALs variam de 1 a 7, com 7 sendo o máximo e 1 sendo o mínimo
- Alvo da avaliação: O sistema ou dispositivo que deve ser revisado para a certificação Common Criteria
- Requisitos funcionais de segurança: requisitos que se referem a funções de segurança exclusivas
Para o Illumio Core, uma parte importante da avaliação se concentrou no conjunto repleto de recursos de auditoria e segurança. Em Common Criteria, o fornecedor define as declarações de funcionalidade de segurança a serem avaliadas por meio da elaboração de uma meta de segurança. Dentro da Meta de Segurança, o escopo da avaliação é identificado por meio da Meta de Avaliação (TOE). No caso do Illumio Core, o TOE (ou escopo de avaliação) incluiu o Policy Compute Engine (PCE) e o Node de fiscalização virtual (VEN).
O que são perfis de proteção NIAP?
Em 2009, a National Information Assurance Partnership (NIAP), o esquema dos Estados Unidos para avaliações de critérios comuns, atualizou sua política para exigir que todas as certificações da Common Criteria cumpram os requisitos de segurança diretamente dos perfis de proteção aprovados pelo NIAP. Anteriormente, os requisitos funcionais do Common Criteria eram definidos por fornecedores individuais por meio da estrutura Evaluation Assurance Level (EAL). Com a mudança nos perfis de proteção do NIAP, os requisitos funcionais do Common Criteria são personalizados para atender aos requisitos de segurança e teste de uma classe de tecnologia específica (por exemplo, gerenciamento de políticas, firewalls, VPN).
Os produtos submetidos a avaliações em relação a um perfil de proteção devem atender 100% aos requisitos funcionais especificados no perfil de proteção. Não é aceitável cumprir apenas 99% do perfil de proteção — conformidade completa e total é necessária para obter a certificação. Uma maneira de aumentar sua proteção é completando segurança de terminais. Os rígidos requisitos de segurança demonstram a natureza rigorosa e abrangente da certificação Common Criteria mencionada acima. Então, isso nos leva ao último ponto...
Por que o governo se preocupa com os critérios comuns e os perfis de proteção?
Primeiro, para agências de defesa dos EUA, a certificação Common Criteria é exigida pela política de segurança nacional dos EUA NSTISSP #11, que rege a aquisição de produtos de TI habilitados para garantia da informação e IA pelo governo dos EUA. Resumindo, se você é um fornecedor de TI ou segurança que deseja vender produtos ao DoD com o objetivo de proteger os Sistemas de Segurança Nacional (NSS), você deve ter Critérios Comuns.
Próximo, de acordo com a TI do Escritório de Gestão e Orçamento painel de controle, o Departamento de Defesa dos EUA (DoD) está a caminho de gastar $38 bilhões em contratos de tecnologia da informação não classificados no ano fiscal de 2019. Um dos maiores obstáculos que os fornecedores comerciais precisam superar para vender produtos de TI ao Departamento de Defesa é obter as certificações governamentais exigidas de conformidade e segurança de produtos, como a Common Criteria. Conforme observado por BELISCAR: “Os produtos listados na Lista de Produtos Compatíveis (PCL) do NIAP, que afirmam estar em conformidade com os perfis de proteção do governo dos EUA, atendem aos níveis mínimos de segurança considerados apropriados pelo NIST e pela NSA e geralmente devem ter preferência sobre produtos que não fazem tais alegações.”
Além disso, BELISCAR afirma: “Se existir um perfil de proteção aprovado pelo governo dos EUA para uma área de tecnologia específica, mas nenhum produto validado que esteja em conformidade com o perfil de proteção estiver disponível para uso, a organização adquirente deverá exigir, antes da compra, que os fornecedores enviem seus produtos para avaliação e validação... de acordo com o perfil de proteção aprovado.”
Como você pode ver, a certificação Common Criteria baseada nos perfis de proteção do NIAP serve como uma verificação crítica de conformidade de TI para o governo dos EUA quando se trata da aquisição de produtos e soluções comerciais.
Finalmente, muito obrigado e parabéns a todo o pessoal do Produto Illumio equipes de desenvolvimento e engenharia para essa importante conquista, bem como a talentosa equipe da Cygnacom Solutions por seu excelente trabalho como laboratório NVLAP da Illumio.
Para obter mais detalhes sobre os Critérios Comuns da Illumio e outras certificações de segurança governamentais, confira:
