La certificación NIAP frente a la certificación EAL en las pruebas de seguridad

Las certificaciones NIAP y EAL se emplean para comprobar la seguridad de los productos informáticos. Sin embargo, varían en sus métodos y criterios. Conozca la diferencia entre estos dos estándares internacionales y por qué ahora se prefiere utilizar NIAP.

Certificación NIAP

La certificación NIAP proviene de la National Information Assurance Partnership, que supervisa las pruebas de seguridad, la evaluación y la validación de los productos y sistemas informáticos, incluidos los que se utilizan en los sistemas de seguridad nacionales. NIAP creó el Esquema de Evaluación y Validación de Criterios Comunes, o CCEVS. Esta norma internacional permite que los productos se evalúen una vez y se vendan en varios países. Como parte del acuerdo de reconocimiento de Criterios Comunes, los laboratorios acreditados, independientemente de su ubicación geográfica o afiliación nacional, prueban los productos utilizando los mismos criterios y la misma metodología de prueba. Los términos «NIAP» y «CCEVS» se usan comúnmente de forma intercambiable.

¿Qué es EAL?

La certificación EAL, abreviatura de Evaluación de Nivel de Garantía, fue un sistema de calificación numérica utilizado para describir la profundidad de la evaluación del producto. Cada número de certificación EAL correspondía a un rango asignado a un producto o sistema informático, siendo EAL1 el más básico y EAL7 el más intenso y caro. Si bien los requisitos de seguridad para cada producto y sistema eran los mismos, los requisitos funcionales eran diferentes y cada producto podía tener diferentes niveles dentro del mismo Perfil de Protección. Hacer comparaciones fue muy difícil.

A partir de 2013, NIAP dejó de aceptar evaluaciones basadas en EAL y realizó la transición a los Perfiles de Protección, o PP, con el fin de proporcionar resultados de evaluación alcanzables, repetibles y comprobables. PP reduce la confusión en comparación con la certificación EAL. Los usuarios finales y los compradores simplemente buscan productos que cumplan con los requisitos de PP para el PP que cumpla con sus requisitos.

Cuadro comparativo

Obtenga más información sobre la transición de la certificación EAL a la certificación NIAP

Más información sobre los Criterios Comunes de NIAP

Los Criterios Comunes de NIAP son un conjunto de directrices internacionales para la seguridad de los productos informáticos. Fueron desarrollados para garantizar al comprador y al usuario final que las especificaciones, la evaluación y la instalación de cada producto se realizaran de manera exhaustiva y estandarizada. Para cumplir con los requisitos de los Criterios Comunes de NIAP, cada producto debe ser probado y verificado por un laboratorio de seguridad de terceros. Los Criterios Comunes de NIAP son obligatorios para el Gobierno Federal de los EE. UU. y muchos otros gobiernos internacionales.

Más información sobre los Perfiles de Protección

Los Criterios Comunes de NIAP se pueden aplicar a muchos productos informáticos, como software, conmutadores y routers, cortafuegos, clientes de correo electrónico e incluso unidades flash USB. Cada tipo de producto tiene un Perfil de Protección establecido que determina los requisitos de seguridad para la clase específica de equipo. El PP especifica los criterios de evaluación para confirmar la conformidad del equipo con el requisito de seguridad para esa familia de productos. Los Perfiles de Protección establecen una línea de base internacionalmente reconocible para los requisitos y técnicas de seguridad.

Obtenga más información sobre los Criterios Comunes de NIAP y los productos compatibles:

• https://www.commoncriteriaportal.org/
• https://www.niap-ccevs.org/