El Centro Criptológico Nacional (CCN) realiza esta ponencia "CPSTIC: catálogo de productos de seguridad TIC para la Administración", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.
6. https://oc.ccn.cni.es 6
1. Introducción: ¿Qué podemos hacer?
Productos
concebidos
genéticamente para ser
seguros.
De seguridad
certificada bajo
estándares
internacionales.
7. https://oc.ccn.cni.es 7
1. Introducción: El ENS lo tiene claro…
Art 18:
“En la adquisición de productos de seguridad de las tecnologías de
la información y comunicaciones que vayan a ser empleados por las
Administraciones públicas se utilizarán, de forma proporcionada a la categoría
del sistema y nivel de seguridad determinados, aquellos que tengan
certificada la funcionalidad de seguridad relacionada con el
objeto de su adquisición, salvo en aquellos casos en que las exigencias de
proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del
responsable de Seguridad.”
Medidas Anexo 2: “Componentes certificados [op.pl.5]”
Categoría ALTA
Se utilizarán sistemas, productos o equipos cuyas funcionalidades de
seguridad y su nivel hayan sido evaluados conforme a normas
europeas o internacionales y cuyos certificados estén reconocidos por
el Esquema Nacional de Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información.
8. https://oc.ccn.cni.es 8
2. ¿Para qué un Catálogo de productos?
¿Producto certificado producto
seguro?
Producto certificado: Aquel que ha superado
con éxito un proceso de evaluación realizado
por un laboratorio independiente y acreditado.
Este proceso supone el reconocimiento de la
veracidad de su Declaración de Seguridad con
un determinado nivel de confianza (EAL).
9. https://oc.ccn.cni.es 9
2. ¿Para qué un Catálogo de productos?
Solo se cumplirá la implicación si la Declaración
de Seguridad es…
Producto
Certificación
OJO: ¡La DS la elabora el
fabricante!
Completa.
Consistente.
Técnicamente
adecuada.
10. https://oc.ccn.cni.es
2. ¿Para qué un Catálogo de productos?
Corolario: para poder comprobar si un producto reúne las
garantías de seguridad requeridas deberíamos:
Exigir certificación del producto de acuerdo a estándares
Internacionales (p. ej.: Common Criteria).
Determinar qué funcionalidades de seguridad debe
implementar el producto de acuerdo a su naturaleza o uso final.
Comprobar que la certificación incluye esas funcionalidades.
Necesidad de un catálogo que
facilite esta tarea
12. https://oc.ccn.cni.es 12
3. El CPSTIC. Alcance
Niveles de exigencia para la catalogación de un producto.
(genérico)
Aprobados
Cualificados
Certificados
Certificado
Cualificado
Aprobado
13. https://oc.ccn.cni.es
3. El CPSTIC. Alcance
Que productos se incluyen?
Productos que Implementan
funcionalidades de seguridad
en un sistema de forma activa.
Plataformas.
Excluidos productos de auditoría de
seguridad: análisis de vulnerabilidades,
análisis de código, etc.
15. https://oc.ccn.cni.es
15
Taxonomía de referencia:
3. El CPSTIC. CCN-STIC 140
• Enrutadores
• Cortafuegos
• Pasarelas de intercambio de datos
• …
Protección de
interconexiones
• Equipos de cifra.
• Herramientas de borrado seguro
• Dispositivos para gestión de claves
• …
Confidencialidad
e integridad de la
información
• Dispositivos biométricos
• Tarjetas inteligentes
• Dispositivos de firma electrónica
• …
Identificación,
autenticación y
control de acceso
Para cada familia se definen requisitos
fundamentales de seguridad (RFS).
RFS
RFS
RFS
16. https://oc.ccn.cni.es 16
3. El CPSTIC. CCN-STIC 106
Productos con certificación CC. Nivel mínimo EAL
requerido. Se comprobará:
Que la DS cumple los RFS.
Que los algoritmos criptográficos son los adecuados.
Análisis de riesgos complementario.
Podrá no exigirse certificación CC cuando:
Producto de interés estratégico para Administración.
No existen productos sustitutivos en el mercado.
Posibilidad de evaluación STIC.
17. https://oc.ccn.cni.es 17
4. Estado actual
Publicado el CPSTIC Dic2017.
Última Actualización Jun2018
Si necesito consultarlo… ¿Dónde puedo encontrarlo?.
Guía CCN-STIC-105. Catálogo de Productos de Seguridad TIC
(CPSTIC). (https://www.ccn-cert.cni.es/guias.html)
Web del Organismo de Certificación. (https://oc.ccn.cni.es)
En crecimiento continuo a medida que se estudien nuevas
solicitudes.
18. https://oc.ccn.cni.es 18
4. Líneas Futuras. Evolución continua
Inclusión de nuevas familias de productos.
Inclusión de nuevos productos.
Mantenimiento de los actuales.
20. https://oc.ccn.cni.es 20
4. Líneas Futuras
Inclusión productos para
ENS categoría Media y
Básica.
Pendiente de
finalización Metodología
CBS (Certificación Básica de
Seguridad).
Menor carga de
documentación
25 días
/ 8
semanas
Coste
reducido