Ya tengo mi producto certificado Common Criteria, ¿y ahora qué?

Blog

28
- Sept
2021
Publicado por: José Pulido
[Certificación]
Ya tengo mi producto certificado Common Criteria, ¿y ahora qué?

En primer lugar, felicitarte si has obtenido tu certificado Common Criteria, ¡es un gran reto!

Como laboratorio acreditado y expertos consultores en Common Criteria, una de las mayores preocupaciones de nuestros clientes y, entendemos que de los fabricantes en general, es mantener siempre la última versión del producto (TOE) en la “Lista de Productos Certificados” del portal oficial de Common Criteria.

En jtsec somos conscientes de que los fabricantes y desarrolladores modifican, mejoran y evolucionan sus productos continuamente, por lo que entendemos sus inquietudes en este aspecto. Certificar un producto bajo la norma Common Criteria no es sencillo, puede tener un alto coste tanto económico como en tiempo.

Para intentar dar algo de luz, expondremos las dudas más comunes en lo referente al mantenimiento de un producto dentro del catálogo de “Productos Certificados”.

¿Cuánto tiempo se mantiene mi producto en la “Lista de Productos Certificados”?

El producto se mantiene en la “Lista de Productos Certificados” durante 5 años, siempre y cuando no haya una vulnerabilidad que afecte a la versión certificada y por tanto suponga la revocación del certificado. Una vez que ha pasado ese tiempo desde que se expidió el certificado, el producto pasa a la lista "Productos Certificados Archivados", a menos que el tiempo de validación se extienda usando los procedimientos adecuados para tal fin.

Procedimiento para extender el tiempo de validación de mi producto o mantenerlo en caso de que haya sufrido modificaciones.

Existe un procedimiento llamado “Assurance Continuity” desarrollado para permitir a los fabricantes mantener su producto certificado en la última versión.

El proceso a seguir por el fabricante cuenta con los siguientes pasos:

  • El fabricante hace cambios en el TOE que ha sido certificado

  • Se redacta un Informe de Análisis de Impacto (IAR) que se envía al Organismo de Certificación

  • El Organismo de Certificación examina el IAR y determina si los cambios son “mayores” o “menores”

  • Si se consideran cambios “mayores”, se requiere una re-evaluación y si se consideran “menores” bastaría con un proceso de mantenimiento.

  • Si los cambios son menores se crear un Informe de Mantenimiento (Maintenance Report) y si son mayores se expedirá un nuevo certificado. Fuente original: https://www.commoncriteriaportal.org/files/operatingprocedures/2012-06-01.pdf

    ¿Qué significan cambios “mayores” y “menores” en el TOE?

    El Organismo de Certificación, en base al Common Criteria Recognition Arrangement (CCRA), califica los cambios, que pueden ser de dos tipos atendiendo a cómo afectan a la consistencia de la seguridad del producto:

  • Cambios “mayores”: Son aquellos que afectan a la seguridad del producto, por lo que se requiere una re-evaluación del mismo. Algunos de estos cambios pueden ser cambiar el alcance del TOE o realizar modificaciones en el conjunto de requisitos de seguridad declarados.

  • Cambios “menores”: Considerados aquellos que NO afectan directamente a la seguridad del producto, por lo que no se requiere una re-evaluación sino un proceso de mantenimiento. Algunos de estos cambios pueden ser, por ejemplo, cambios editoriales. Cabe destacar que será el Organismo de Certificación quien, en última instancia, considere si los cambios son de tipo “mayor” o “menor” y, por tanto, requieran o no una re-evaluación.

    ¿Cómo puede ayudarte jtsec a mantener tu producto dentro de la “Lista de Productos Certificados”?

    En jtsec estamos contamos con una dilatada experiencia en Common Criteria, aportando siempre un enfoque orientado a ahorrar el máximo de tiempo y dinero a nuestros clientes, facilitando los procesos y ajustándonos a sus necesidades.

    En todos nuestros proyectos, incluimos la gestión del mantenimiento del certificado sin coste alguno para nuestros clientes. ¿Hablamos?

    • tags
    José Pulido/Consulting Leader

    Consultor senior de las normas Common Criteria, ISO 27001, ENS y SOC2 y desarrollador experto de software de seguridad. Administrador de sistemas y consultor tecnológico con más de 6 años de experiencia en el ámbito de la seguridad informática. Jose es responsable del desarrollo de la herramienta CCGen para la ayuda a la generación de documentación Common Criteria.

    Ha participado en proyectos de evaluación de seguridad de productos tecnológicos de firmas multinacionales, siendo parte tanto de equipos de evaluación como de asesoría al desarrollador, aportando su punto de vista experto en la toma de decisiones estratégicas de cara a la ciberseguridad. En la faceta de desarrollador, ha tomado parte en el desarrollo de proyectos de seguridad integral, realizando trabajos orientados desde las partes más internas de los sistemas hasta la seguridad en la interacción con el usuario.

    Actualmente es parte del equipo de expertos en ciberseguridad de jtsec, enfocando sus labores hacia el campo de la consultoría en ciberseguridad, pero continuando con la gestión de equipos de desarrollo de proyectos software orientados a la seguridad. Su principal motivación para trabajar en ciberseguridad es ayudar a proteger a los usuarios de las ciberamenazas y el robo de información.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
    Enero 17, 2025
    jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
    jtsec & Applus+ Laboratories en el ICCC24
    Nov 14, 2024
    jtsec & Applus+ Laboratories en el ICCC24
    Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
    Oct 14, 2024
    Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
    Common Criteria Statistics 2023
    Junio 17, 2024
    Common Criteria Statistics 2023
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    CATEGORÍAS