Certificar un producto bajo la metodología Common Criteria no es sencillo, existen múltiples variables, sobre todo en el inicio del proyecto, que son claves para que la evaluación se desarrolle de forma adecuada.
Una de las decisiones importantes a tomar es la verificar si el producto se adapta a las características y requisitos de un Perfil de Protección (PP) existente o no.
Pero, ¿qué es un Perfil de Protección (PP)?
Un Perfil de Protección (PP) no es más que un documento que se puede utilizar como parte del proceso de certificación de un producto según la norma Common Criteria (ISO/IEC 15408). Se desarrolla por un usuario o una comunidad de usuarios, creando de forma genérica un Declaración de Seguridad (DS) para la tecnología en cuestión. Todo Perfil de Protección incluye actividades de garantía con el objetivo de lograr evaluaciones factibles, repetible y verificables dentro de cada categoría.
¿Cómo certificar un producto que SÍ se ajusta a un Perfil de Protección?
Actualmente existen 223 PPs divididos en 14 categorías según la web oficial de Common Criteria. Estos PPs se van ajustando al mercado según aumenta el número de productos que desarrollan los fabricantes y que, debido al continuo desarrollo de nuevas tecnologías, demandan nuevos PPs de certificación que no se encuentran desarrollados.
Si su producto se encuentra dentro de los parámetros de un PP concreto, el proceso de la certificación de tu producto se agiliza al contar ya con:
¿Cómo certificar un producto que NO se ajusta a un Perfil de Protección?
El desarrollo de los PPs surge en su mayoría por la demanda del propio mercado, del tipo de soluciones que el mercado demanda certificar bajo el estándar Common Criteria. Pero puede darse el caso de que se requiera certificar un producto con una tecnología novedosa en el mercado, o que, simplemente, nunca se haya certificado ese tipo de solución bajo la metodología Common Criteria.
Si surge esta casuística, la consultora de ciberseguridad y la propia empresa desarrolladora del producto son las pioneras en crear La Declaración de Seguridad (DS) específica para esa categoría, por lo que conlleva más trabajo y tiempo. Es posible que, en el futuro, esa Declaración de Seguridad que se ha desarrollado se adopte como parte de un Perfil de Protección de ese tipo de producto.
