ISO-IEC 15408
ISO/IEC 15408 (Common Criteria - CC) - Resumo para Concursos
1. Conceito e Objetivo
A ISO/IEC 15408, conhecida como Common Criteria (CC), é um padrão internacional para avaliação de segurança de produtos e sistemas de TI. Seu objetivo principal é fornecer critérios padronizados para:
- Avaliar a confiabilidade de produtos/sistemas
- Garantir que atendam a requisitos de segurança específicos
- Permitir comparações entre soluções de segurança
2. Estrutura Básica
Dividido em três partes principais:
- Parte 1: Introdução e modelo geral (conceitos, estrutura)
- Parte 2: Requisitos funcionais de segurança (classes, famílias, componentes)
- Parte 3: Requisitos de garantia de segurança (níveis de avaliação - EAL)
3. Componentes Principais
- TOE (Target of Evaluation): Produto/sistema sendo avaliado
- PP (Protection Profile): Conjunto de requisitos para uma categoria de produtos
- ST (Security Target): Especificação de segurança para um TOE específico
- EAL (Evaluation Assurance Level): Níveis de garantia (de EAL1 a EAL7)
4. Níveis de Avaliação (EAL)
Escala crescente de rigor na avaliação:
- EAL1 a EAL4: Avaliações básicas a metódicas
- EAL5 a EAL7: Avaliações semiformais a formalmente verificadas (alto rigor)
5. Importância para Concursos
- Base para certificações de segurança no Brasil (ex: critérios do INMETRO)
- Referência em editais para áreas de TI e segurança da informação
- Foco comum em perguntas sobre: estrutura do CC, EAL, PP/ST e aplicações
6. Vantagens
- Padronização internacional
- Redução de custos por evitar avaliações múltiplas
- Facilita o reconhecimento mútuo de certificações