A certificação NIAP e a certificação EAL lidam com o teste de segurança de produtos de TI. No entanto, eles variam em sua abordagem e critérios. Aprenda a diferença entre esses dois padrões internacionais e por que o NIAP agora é o preferido.
A certificação NIAP vem da National Information Assurance Partnership, que supervisiona testes de segurança, avaliação e validação de produtos e sistemas de TI -; incluindo aqueles usados em sistemas de segurança nacional. O NIAP criou o Esquema de Avaliação e Validação de Critérios Comuns, ou CCEVS. Este padrão internacional permite que os produtos sejam avaliados uma vez e vendidos em vários países. Como parte do Common Criteria Recognition Arrangement, os laboratórios credenciados, independentemente de sua localização geográfica ou afiliação nacional, testam produtos usando os mesmos critérios e metodologia de teste. Os termos “NIAP” e “CCEVS” são comumente usados de forma intercambiável.
A certificação EAL, abreviação de Evaluation Assurance Level, era um sistema de classificação numérica usado para descrever o rigor da avaliação do produto. Cada número de certificação EAL correspondia a uma classificação atribuída a um produto ou sistema de TI, sendo EAL1 o mais básico e EAL7 o mais intenso e caro. Embora os requisitos de garantia para cada produto e sistema fossem os mesmos, os requisitos funcionais eram diferentes e cada produto poderia ter diferentes níveis dentro do mesmo perfil de proteção. Fazer comparações era muito difícil.
A partir de 2013, o NIAP parou de aceitar avaliações baseadas em EAL e fez a transição para perfis de proteção, ou PPs, a fim de fornecer resultados de avaliação alcançáveis, repetíveis e testáveis. Os PPs reduzem a confusão em comparação com a certificação EAL. Os usuários finais e compradores simplesmente procuram produtos que sejam compatíveis com PP para o PP que atenda às suas necessidades.| certificação NIAP | certificação EAL |
|---|---|
| Todos os fornecedores do mesmo tipo de produto devem aderir aos mesmos requisitos de segurança | O fornecedor escolhe individualmente quais requisitos de segurança reivindicar, causando inconsistências em produtos semelhantes |
| Métodos de avaliação aprovados pelo Common Criteria Recognition Arrangement | Reconhecimento limitado do Common Criteria Recognition Arrangement, somente até EAL2 |
| Uma abordagem objetiva em métodos de avaliação | Uma abordagem subjetiva para identificar os requisitos funcionais do produto |
| Resultados relevantes, alcançáveis e repetíveis com modelos de ameaças padrão e requisitos funcionais de segurança que devem ser capturados em um perfil de proteção | Perfis de proteção não usados e resultados não repetíveis em diferentes produtos e fornecedores |
| Perfis de proteção desenvolvidos por comunidades técnicas por meio da comunidade Common Criteria | Requisitos genéricos desenvolvidos por fornecedores individuais |
| Ameaças identificadas e mandatadas pela NSA e outras agências de segurança internacionais; requisitos de hardware baseados em ameaças | Ameaças identificadas após o fornecedor mapear a funcionalidade do produto para Common Criteria, causando requisitos de hardware diferentes e menos garantia |
Saiba mais sobre o transição da certificação EAL para a certificação NIAP
NIAP Common Criteria é um conjunto de diretrizes internacionais para a segurança de produtos de TI. Foi desenvolvido para fornecer garantia ao comprador e usuário final de que a especificação, avaliação e implementação de cada produto foram realizadas de maneira completa e padronizada. Para atender aos requisitos do NIAP Common Criteria, cada produto deve ser testado e verificado por um laboratório de segurança terceirizado. Os Critérios Comuns do NIAP são obrigatórios para o governo federal dos EUA e muitos outros governos internacionais.
O NIAP Common Criteria pode ser aplicado a muitos produtos de TI, como software, switches e roteadores de rede, firewalls, clientes de e-mail e até unidades flash USB . Cada tipo de produto possui um Perfil de Proteção estabelecido que determina os requisitos de segurança para a classe específica de equipamento. O PP especifica critérios de avaliação para confirmar a conformidade do equipamento com o requisito de segurança para aquela família de produtos. Os perfis de proteção estabelecem uma linha de base reconhecida internacionalmente para requisitos e técnicas de segurança.
Saiba mais sobre os Critérios Comuns do NIAP e produtos compatíveis:
