Fundamentos de Seguridad Informática

Estandares ISO 15408 Criterios Comunes (CC)

Los CC (Criterios Comunes) su primer versión surgió en el 96, pero Europa paralelamente trabajó en un estándar ISO, esto nos regresaba al problema original, tener criterios diferentes de seguridad dependiendo del continente en el que se encontrará; para el año 2000 se unificaron criterios nuevamente dando lugar a un estándar internacional que puede ser conocido con el nombre de Common Criteria o ISO-15408.

En el año del 2005 se actualizaron los CC dando origen a CC versión 2.2 también conocido como ISO-15408:2005


Pero, ¿porque son tan importantes los CC en la Seguridad de la Información (SI)?. En principio es un estándar internacional aceptado por una gran cantidad de países como son:

  • Canadá
  • Francia
  • Alemania
  • Reino Unido
  • Estados Unidos
  • Australia
  • Nueva Zelanda
  • Finlandia
  • Grecia
  • Italia
  • Holanda
  • Noruega
  • España

Los CC nos ofrecen una norma internacional para evaluar la seguridad de los productos de tecnología de la información. Se puede pensar en tres diferentes perspectivas desde las cuales los podemos abordar: Como consumidores proveen criterios que determinan las necesidades de seguridad que deben cumplir los productos que se deseen adquirir.

Como desarrolladores proveen criterios que permite cubrir requerimientos de seguridad en diferentes niveles.

Como evaluadores proporcionan los productos de seguridad que deben ser cubiertos por los desarrolladores.

Los CC están divididos en 3 partes:

  • Introducción y Modelo General.

  • Requerimientos Funcionales.

  • Requerimientos de Garantía.


A veces se tiene la idea de que no es bueno utilizar CC para implementar un esquema de seguridad, porque se piensa que no son certificables debido a que son muy generales. Por esta razón se usan estándares como pueden ser el ISO-17799 o el ISO-27000.