La certificación NIAP frente a la certificación EAL en las pruebas de seguridad

Black Box Explains

Las certificaciones NIAP y EAL se emplean para comprobar la seguridad de los productos informáticos. Sin embargo, varían en sus métodos y criterios. Conozca la diferencia entre estos dos estándares internacionales y por qué ahora se prefiere utilizar NIAP.

Certificación NIAP

La certificación NIAP proviene de la National Information Assurance Partnership, que supervisa las pruebas de seguridad, la evaluación y la validación de los productos y sistemas informáticos, incluidos los que se utilizan en los sistemas de seguridad nacionales. NIAP creó el Esquema de Evaluación y Validación de Criterios Comunes, o CCEVS. Esta norma internacional permite que los productos se evalúen una vez y se vendan en varios países. Como parte del acuerdo de reconocimiento de Criterios Comunes, los laboratorios acreditados, independientemente de su ubicación geográfica o afiliación nacional, prueban los productos utilizando los mismos criterios y la misma metodología de prueba. Los términos «NIAP» y «CCEVS» se usan comúnmente de forma intercambiable.

¿Qué es EAL?

La certificación EAL, abreviatura de Evaluación de Nivel de Garantía, fue un sistema de calificación numérica utilizado para describir la profundidad de la evaluación del producto. Cada número de certificación EAL correspondía a un rango asignado a un producto o sistema informático, siendo EAL1 el más básico y EAL7 el más intenso y caro. Si bien los requisitos de seguridad para cada producto y sistema eran los mismos, los requisitos funcionales eran diferentes y cada producto podía tener diferentes niveles dentro del mismo Perfil de Protección. Hacer comparaciones fue muy difícil.

A partir de 2013, NIAP dejó de aceptar evaluaciones basadas en EAL y realizó la transición a los Perfiles de Protección, o PP, con el fin de proporcionar resultados de evaluación alcanzables, repetibles y comprobables. PP reduce la confusión en comparación con la certificación EAL. Los usuarios finales y los compradores simplemente buscan productos que cumplan con los requisitos de PP para el PP que cumpla con sus requisitos.

Cuadro comparativo

Certificación NIAPCertificación EAL
Todos los proveedores dentro del mismo tipo de producto deben cumplir con los mismos requisitos de seguridadEl proveedor elige individualmente qué requisitos de seguridad reclamar, lo que provoca inconsistencias en productos similares
Métodos de evaluación aprobados por el Acuerdo de Reconocimiento de Criterios Comunes.Reconocimiento limitado del Acuerdo de Reconocimiento de Criterios Comunes, solo hasta EAL2
Un enfoque objetivo en los métodos de evaluación.Un enfoque subjetivo para identificar los requisitos funcionales del producto.
Resultados relevantes, alcanzables y repetibles con modelos de amenaza estándar y requisitos funcionales de seguridad que deben ser capturados en un Perfil de ProtecciónPerfiles de Protección no utilizados y los resultados no repetibles en diferentes productos y proveedores
Perfiles de Protección desarrollados por comunidades técnicas a través de la comunidad de Criterios Comunes.Requerimientos genéricos desarrollados por proveedores individuales
Amenazas identificadas y ordenadas por la NSA y otras agencias internacionales de seguridad; Requisitos de hardware basados en amenazasAmenazas identificadas después de que el proveedor asigne la funcionalidad del producto a los Criterios Comunes, lo que provoca diferentes requisitos de hardware y menos seguridad

Obtenga más información sobre la transición de la certificación EAL a la certificación NIAP

Más información sobre los Criterios Comunes de NIAP

Los Criterios Comunes de NIAP son un conjunto de directrices internacionales para la seguridad de los productos informáticos. Fueron desarrollados para garantizar al comprador y al usuario final que las especificaciones, la evaluación y la instalación de cada producto se realizaran de manera exhaustiva y estandarizada. Para cumplir con los requisitos de los Criterios Comunes de NIAP, cada producto debe ser probado y verificado por un laboratorio de seguridad de terceros. Los Criterios Comunes de NIAP son obligatorios para el Gobierno Federal de los EE. UU. y muchos otros gobiernos internacionales.

Más información sobre los Perfiles de Protección

Los Criterios Comunes de NIAP se pueden aplicar a muchos productos informáticos, como software, conmutadores y routers, cortafuegos, clientes de correo electrónico e incluso unidades flash USB. Cada tipo de producto tiene un Perfil de Protección establecido que determina los requisitos de seguridad para la clase específica de equipo. El PP especifica los criterios de evaluación para confirmar la conformidad del equipo con el requisito de seguridad para esa familia de productos. Los Perfiles de Protección establecen una línea de base internacionalmente reconocible para los requisitos y técnicas de seguridad.

Obtenga más información sobre los Criterios Comunes de NIAP y los productos compatibles:

Productos

secure-niap-kvm-switches

Conmutadores KVM Secure NIAP 3.0

Protéjase contra la intrusión cibernética con estos conmutadores seguros

secure-kvm-protector

Secure NIAP 3.0 KVM Protector

Protector KVM que cumple con los estrictos requisitos del último perfil de protección NIAP

secure-niap-kvm-switches

Secure NIAP 3.0 KM Matrix Switches

Los únicos conmutadores matriciales con certificación NIAP 3.0 del mercado

El sitio web de Black Box utiliza cookies. Continuando con el uso del sitio web de Black Box, o cerrando el mensaje a la derecha, 
Usted acepta el uso de cookies en este sitio web.

Más información.