Iso 15408La ISO/IEC 15408 está conformada por 3 normas, surgió por la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers (probadores) sobre qué requisitos de seguridad cumple un determinado producto.

Se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs)

Perfil de Protección

Conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al usuario. Se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.

Objeto de Evaluación

Es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Pueden ser; una aplicación, una aplicación en conjunto con un sistema operativo, un sistema operativo en conjunto con una estación de trabajo, etc.

Objetivo de Seguridad

Conjunto de requisitos de seguridad instanciados para una implementación concreta. Es la base para el acuerdo entre todas las partes acerca de la seguridad.

Nivel de Evaluación de Seguridad

Es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.