Las certificaciones NIAP y EAL se emplean para comprobar la seguridad de los productos informáticos. Sin embargo, varían en sus métodos y criterios. Conozca la diferencia entre estos dos estándares internacionales y por qué ahora se prefiere utilizar NIAP.
Certificación NIAP
La certificación NIAP proviene de la National Information Assurance Partnership, que supervisa las pruebas de seguridad, la evaluación y la validación de los productos y sistemas informáticos, incluidos los que se utilizan en los sistemas de seguridad nacionales. NIAP creó el Esquema de Evaluación y Validación de Criterios Comunes, o CCEVS. Esta norma internacional permite que los productos se evalúen una vez y se vendan en varios países. Como parte del acuerdo de reconocimiento de Criterios Comunes, los laboratorios acreditados, independientemente de su ubicación geográfica o afiliación nacional, prueban los productos utilizando los mismos criterios y la misma metodología de prueba. Los términos «NIAP» y «CCEVS» se usan comúnmente de forma intercambiable.
¿Qué es EAL?
La certificación EAL, abreviatura de Evaluación de Nivel de Garantía, fue un sistema de calificación numérica utilizado para describir la profundidad de la evaluación del producto. Cada número de certificación EAL correspondía a un rango asignado a un producto o sistema informático, siendo EAL1 el más básico y EAL7 el más intenso y caro. Si bien los requisitos de seguridad para cada producto y sistema eran los mismos, los requisitos funcionales eran diferentes y cada producto podía tener diferentes niveles dentro del mismo Perfil de Protección. Hacer comparaciones fue muy difícil.
A partir de 2013, NIAP dejó de aceptar evaluaciones basadas en EAL y realizó la transición a los Perfiles de Protección, o PP, con el fin de proporcionar resultados de evaluación alcanzables, repetibles y comprobables. PP reduce la confusión en comparación con la certificación EAL. Los usuarios finales y los compradores simplemente buscan productos que cumplan con los requisitos de PP para el PP que cumpla con sus requisitos.
Cuadro comparativo
| Certificación NIAP | Certificación EAL |
|---|
| Todos los proveedores dentro del mismo tipo de producto deben cumplir con los mismos requisitos de seguridad | El proveedor elige individualmente qué requisitos de seguridad reclamar, lo que provoca inconsistencias en productos similares |
| Métodos de evaluación aprobados por el Acuerdo de Reconocimiento de Criterios Comunes. | Reconocimiento limitado del Acuerdo de Reconocimiento de Criterios Comunes, solo hasta EAL2 |
| Un enfoque objetivo en los métodos de evaluación. | Un enfoque subjetivo para identificar los requisitos funcionales del producto. |
| Resultados relevantes, alcanzables y repetibles con modelos de amenaza estándar y requisitos funcionales de seguridad que deben ser capturados en un Perfil de Protección | Perfiles de Protección no utilizados y los resultados no repetibles en diferentes productos y proveedores |
| Perfiles de Protección desarrollados por comunidades técnicas a través de la comunidad de Criterios Comunes. | Requerimientos genéricos desarrollados por proveedores individuales |
| Amenazas identificadas y ordenadas por la NSA y otras agencias internacionales de seguridad; Requisitos de hardware basados en amenazas | Amenazas identificadas después de que el proveedor asigne la funcionalidad del producto a los Criterios Comunes, lo que provoca diferentes requisitos de hardware y menos seguridad |
Obtenga más información sobre la transición de la certificación EAL a la certificación NIAP
Más información sobre los Criterios Comunes de NIAP
Los Criterios Comunes de NIAP son un conjunto de directrices internacionales para la seguridad de los productos informáticos. Fueron desarrollados para garantizar al comprador y al usuario final que las especificaciones, la evaluación y la instalación de cada producto se realizaran de manera exhaustiva y estandarizada. Para cumplir con los requisitos de los Criterios Comunes de NIAP, cada producto debe ser probado y verificado por un laboratorio de seguridad de terceros. Los Criterios Comunes de NIAP son obligatorios para el Gobierno Federal de los EE. UU. y muchos otros gobiernos internacionales.
Más información sobre los Perfiles de Protección
Los Criterios Comunes de NIAP se pueden aplicar a muchos productos informáticos, como software, conmutadores y routers, cortafuegos, clientes de correo electrónico e incluso unidades flash USB. Cada tipo de producto tiene un Perfil de Protección establecido que determina los requisitos de seguridad para la clase específica de equipo. El PP especifica los criterios de evaluación para confirmar la conformidad del equipo con el requisito de seguridad para esa familia de productos. Los Perfiles de Protección establecen una línea de base internacionalmente reconocible para los requisitos y técnicas de seguridad.
Obtenga más información sobre los Criterios Comunes de NIAP y los productos compatibles: