Certificações ISO15408

Estava escrevendo na CISSP-BR e acabei me alongando no assunto, achei que ficou razoável para virar um post. Logo, aqui vai:

Algumas vezes vemos discussões sobre produtos certificados sob a ISO15408, onde saem afirmações mais ou menos como "meu EAL4+ é melhor do que o seu". Por que isso acontece?

Dando um resumo meio tosco, a certificação pela 15408 (baseada/copiada do Common Criteria) verifica as funcionalidades de segurança de um produto (agrupadas nos protection profiles, que são mais ou menos como "templates" de avaliação) e o quão confiável foi a implementação delas (o "assurance level", medido em nível, EAL1, 2, etc, até 7).

Uma coisa bastante interessante das avaliações pelo CC é a semelhança com a ISO27001 quanto à escolha de controles e definição de escopo. Com essa flexibilidade você pode obter uma certificação sem avaliar pontos importantes, simplesmente deixando-os de fora do escopo. Logo, assim como ao avaliar uma certificação 27001 você deve olhar o SOA (Statement Of Aplicability), na certificação CC/15408 você tem que saber qual foi o ST (Security Target), normalmente verificando quais os PPs que foram utilizados. O famoso "comparar [fruta de sua escolha] com [mesma fruta da sua escolha]".

Apesar de conceitualmente muito interessantes, tais certificações são complexas e dificultam a comparação entre duas entidades avaliadas. Assim, acho que ainda há espaço para certificações baseadas em padrões mais detalhados, como o PCI, por exemplo. Há o problema da rápida desatualização e aplicabilidade dos controles, mas acho que há espaço para algo do gênero no mercado.