5
marzo
2012

¿Cuál es la diferencia entre certificación y cualificación?

Corantin Giorgetti
0 commentaires
Opinión de los expertos

Cuando se desea adquirir o utilizar un producto sensible en términos de seguridad (sistema operativo, herramienta de firma electrónica, tarjeta inteligente, PKI, etc.), una de las primeras dudas que nos asalta inevitablemente es la siguiente: ¿cómo se evalúa su nivel de seguridad? ¿Y cómo se sabe si esta seguridad es suficiente para satisfacer nuestras necesidades?

Para responder a estas preguntas, es importante poder consultar las etiquetas emitidas por organismos oficiales que ofrecen una evaluación independiente e imparcial de los productos y servicios que uno desea utilizar.

En Francia, la Agencia nacional para la seguridad de los sistemas de información (l’Agence Nationale de la Sécurité des Systèmes d’Information [ANSSI]), se responsabiliza de organizar la emisión y la concesión, en nombre del Primer Ministro, de las etiquetas de seguridad para productos y prestadores de servicios de confianza.

En la actualidad, ANSSI reconoce y entrega dos categorías principales de etiquetas:

  • certificación de productos;
  • cualificación de productos y servicios.

Pero ¿cuál es la diferencia entre ambas? A continuación, se exponen algunas respuestas para aquellos que no son especialistas en seguridad, junto con una descripción de las principales certificaciones y cualificaciones emitidas por ANSSI a día de hoy.

Sobre la «certificación y cualificación de puertas»

Para comprender mejor la diferencia entre estas dos etiquetas, tomemos a modo introductorio, un ejemplo deliberadamente simplista y puramente imaginario del campo de la seguridad física de los edificios: consideremos cuál sería la certificación y la cualificación de una puerta «en el sentido de la seguridad informática».

No todas las puertas tienen el mismo nivel de seguridad según sean sus características y, concretamente, según su número de puntos de cierre: hay puertas con un punto, dos puntos, tres puntos, cinco puntos, etc.

La «certificación de una puerta» en el sentido de seguridad informática consistiría en hacer un documento oficial que mencione su número de puntos de cierre (el objetivo de seguridad) y, a continuación, disponer de un organismo independiente que verifique que la puerta tenga el número puntos de cierre indicado en este documento. Por lo tanto, podemos imaginar poder certificar todas las gamas de puertas (con uno, dos, tres, cinco puntos, etc.).

Por otro lado, la «cualificación de una puerta» se definiría, por ejemplo, con un sistema de referencia oficial solo para puertas con tres puntos de cierre como mínimo. El proceso de cualificación consistiría en la existencia de un organismo independiente que verifique que la puerta tiene tres o más puntos.

En resumen, en este ejemplo, la certificación consiste en «certificar que la puerta tiene el número de puntos de cierre que muestra» y la cualificación consiste en «certificar que la puerta tiene al menos tres puntos de cierre».

En definitiva, que los dos conceptos son cercanos, pero no equivalentes desde el punto de vista de la seguridad.

Certificación del producto

Principio general

La certificación de un producto se realiza en dos etapas:

  1. El primer paso es definir para un «producto determinado» un conjunto de objetivos de seguridad y asociar una serie de reglas y requisitos de seguridad para lograrlos. Todos estos elementos se registran en un documento llamado «especificaciones de seguridad» de acuerdo con un formalismo específico. Este documento hace posible evaluar y posicionar el nivel de seguridad del producto y acordar lo que realmente está certificado (el chip o el lector y el chip, etc.) El fabricante o el proveedor tiene relativa libertad para establecer las especificaciones de seguridad y es el que decide sobre los aspectos más importantes en lo relacionado con la seguridad y alcance del producto. Decir que un producto está certificado no tiene mucho sentido si no especifica el nivel de seguridad o los componentes del producto que han sido validados por la certificación.
  2. El segundo paso consiste simplemente en que un laboratorio independiente y acreditado verifique que el producto cumple con el objetivo de seguridad establecido. Este es el procedimiento de evaluación propiamente dicho.

La certificación Criterios Comunes

La principal certificación de los productos entregados por la ANSSI es la certificación Criterios Comunes (Common Criteria [CC] en inglés). La certificación Criterios Comunes es un estándar de evaluación de seguridad de productos reconocido internacionalmente (puede consultar la lista de países que reconocen la CC pinchando aquí). Este estándar cubre todas las fases del desarrollo de un producto, incluido el diseño de su arquitectura, la solidez de los algoritmos implementados, su entorno de desarrollo, cómo se ejecuta la entrega al usuario final, etc.

La seguridad considerada de forma global. La certificación CC define 7 niveles crecientes de seguridad, señalados desde EAL1 a EAL7. Cada nivel conlleva restricciones de seguridad adicionales. Para confirmar que un producto cumple con las recomendaciones descritas en la norma, se implementa un proceso de certificación. En Francia, este proceso de certificación se encuentra bajo el control de ANSSI, que obliga a los laboratorios especializados independientes, llamados Centros de Evaluación de Seguridad de Tecnología de la Información (CESTI, por sus siglas en francés), a evaluar el producto con respecto al estándar CC.

Los laboratorios deben, por un lado, estar acreditados por el Comité de Acreditación de Francia (COFRAC) de acuerdo con la norma NF EN ISO/IEC 17025 y deben ser ajenos a la empresa que diseñó el producto, para así proporcionar al cliente una confirmación imparcial de que el producto cumple con los criterios establecidos en el objetivo y el estándar.

Los certificados emitidos por ANSSI a través de la delegación del Primer Ministro confirman que los productos certificados cumplen con una especificación técnica sobre seguridad, la cual es una especificación que define un conjunto de mecanismos de seguridad establecidos para el producto. El trabajo del CESTI será evaluar que el producto cumpla con esta especificación. Este es el documento de referencia, la verdadera hoja de ruta e la evaluación.

La certificación Criterios Comunes no impone las características específicas que hay que incluir en el objetivo. Tal y como ya se ha explicado anteriormente, todos tienen la libertad de definir el contenido de su objetivo de seguridad siempre que respeten las reglas definidas en la norma. Sin embargo, para evaluar ciertas «familias» de productos, como los dispositivos de firma electrónica, las tarjetas inteligentes o las aplicaciones del sello de tiempo, en criterios similares y en funciones estandarizadas, existen los «objetivos típicos» que son perfiles de protección que han sido validados por ANSSI o uno de los otros organismos internacionales (BSI, por ejemplo, que es el equivalente en Alemania de ANSSI). La lista de perfiles de protección está disponible en la página web de ANSSI. Un perfil de protección define un conjunto de características de seguridad comunes a cada familia de productos (por ejemplo, para un dispositivo de firma electrónica, una de ellas será requerir que la verificación se realice antes de firmar). Por lo que es posible definir un objetivo de acuerdo con un perfil de protección dado y esta conformidad se evaluará también durante el proceso de evaluación.

Una vez que todas las tareas de evaluación se han completado correctamente, CESTI envía a ANSSI un archivo con todos los resultados y el trabajo de evaluación. A continuación y de acuerdo con este archivo, ANSSI emitirá un certificado que indique, en la fecha de su firma, la conformidad de una versión específica de un producto o sistema con los requisitos enumerados en su objetivo de seguridad. Un certificado debe renovarse de manera oportuna o según el estado de la técnica en términos de seguridad.

La cualificación de productos y servicios

Principio general

La cualificación de los productos y servicios también se realiza en dos etapas :

  1. La primera es establecer un programa en materia de seguridad, con el fin de determinar el nivel de seguridad necesario para obtener una cualificación determinada. Un programa es un conjunto de reglas y buenas prácticas en materia de seguridad. A diferencia de la certificación, la cualificación no permite realizar ajustes en el programa y establece todos los requisitos de seguridad. En otras palabras, en un proceso de cualificación, el desarrollador o proveedor no es libre de decidir sobre los aspectos más importantes en cuanto a seguridad o alcance del producto. Debe cumplir con una serie de requisitos de seguridad bien especificados para obtener la cualificación. Entre estos requisitos, suele aparecer la obtención de una certificación.
  2. El segundo es tener un auditor independiente y acreditado para verificar que el producto cumple con el sistema de referencia asociado a la cualificación. Este es el procedimiento de evaluación propiamente dicho.

La cualificación de un producto

La cualificación de productos de seguridad complementa la certificación Criterios Comunes. Legalmente, corresponde al Capítulo III del decreto n. ° 2010-112 del 2 de febrero de 2010 adoptado para la aplicación de los artículos 9, 10 y 12 de la orden n. ° 20005-1516 de 8 de diciembre de 2005 en relación con los intercambios electrónicos entre las autoridades administrativas y los usuarios. Una cualificación permite certificar la conformidad de un producto de seguridad con el RGS (Sistema de referencia de seguridad general). Este documento y sus numerosos apéndices definen un conjunto de normas de seguridad que se imponen a las administraciones para proteger sus sistemas de información.

La cualificación incluye tres niveles: un nivel básico, un nivel estándar y un nivel reforzado. Nuevamente, es ANSSI la que sigue los registros y certificados de cualificación. El procedimiento en el nivel estándar y el nivel reforzado se basa en los criterios comunes, sin embargo, ANSSI realiza controles adicionales: por un lado, se valida el objetivo de seguridad con respecto a las necesidades de la administración y por otro, realiza pruebas sobre los algoritmos criptográficos y su implementación. El conjunto de algoritmos descritos en el objetivo y la prestación de un servicio de seguridad será analizado y probado (es decir, los ataques), para garantizar su solidez.

La cualificación de un servicio según RGS.

Además de la calificación del producto, ANSSI toma en consideración la cualificación de los servicios de seguridad y de confianza: cuando se opera un servicio, no basta con usar un equipo certificado o incluso cualificado, sino que también es necesario operar con buenas condiciones de seguridad. De hecho, la cualificación de los proveedores de servicios de confianza corresponde al Capítulo IV del decreto n. ° 2010-112 del 2 de febrero de 2010 adoptado para la aplicación de los artículos 9, 10 y 12 de la orden n. ° 20005-1516 de 8 de diciembre de 2005 relacionada con los intercambios electrónicos entre las autoridades administrativas y los usuarios. Prueba que un prestador de servicios de confianza cumple con la normativa de RGS que le es aplicable. La cualificación tiene tres niveles de seguridad (*), (**) o (***).

Una vez que se determina el nivel, un organismo acreditado audita al proveedor del servicio. Hasta la fecha, solo el LSTI ha recibido esta acreditación. El Decreto mencionado anteriormente (artículo 4) establece que el uso de proveedores de servicios de confianza cualificados es una norma general para las administraciones, con excepciones que deben justificarse.

Las cualificaciones sobre la prueba electrónica.

Además, hay otros dos esquemas de cualificación de servicios específicos para el campo de la prueba electrónica:

Uno está relacionado con los proveedores de servicios de certificación electrónica según el Decreto N. º 2001-272 (conocido como «firma electrónica») y aparece en el Decreto del 26 de julio de 2004. Este decreto rige y define el reconocimiento de la cualificación de los prestadores de servicios de certificación electrónica que pueden emitir certificados cualificados para una firma electrónica presuntamente de confianza.

El otro se refiere a los prestadores de servicios del sello de tiempo electrónico según el Decreto N. º 2011-434 (conocido como «sello de tiempo electrónico») y aparece en el decreto del 20 de abril de 2011. Este decreto rige y define el reconocimiento de la cualificación de los proveedores de servicios de sello de tiempo electrónicos capaces de implementar un método de sello de tiempo presuntamente de confianza.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prueba Universign