SlideShare uma empresa Scribd logo

#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración.

Transferir como PPTX, PDF
Ingeniería e Integración Avanzadas (Ingenia)
Ingeniería e Integración Avanzadas (Ingenia)

El Centro Criptológico Nacional (CCN) realiza esta ponencia "CPSTIC: catálogo de productos de seguridad TIC para la Administración", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.

Tecnologia
1 de 22
CPSTIC: Un catálogo de productos de seguridad TIC para la Administración. Centro Criptológico Nacional
EL CPSTIC: UN CATÁLOGO DE PRODUCTOS DE SEGURIDAD TIC PARA LA ADMINISTRACIÓN
https://oc.ccn.cni.eswww.ccn-cert.cni.es Índice 3 1. Introducción 2. ¿Para qué un catálogo de productos? 3. El CPSTIC 4. Estado actual y líneas futuras 5. Conclusiones
https://oc.ccn.cni.es 4 1. Introducción: ¿Qué está pasando?
https://oc.ccn.cni.es Prevención Reacción 5 1. Introducción: ¿Cuánto nos cuesta? Detección Imagen PRESTIGIO Confianza Reputación Negocio DoS Fuga de datos IntegridadValorde marca
https://oc.ccn.cni.es 6 1. Introducción: ¿Qué podemos hacer?  Productos concebidos genéticamente para ser seguros. De seguridad certificada bajo estándares internacionales.
https://oc.ccn.cni.es 7 1. Introducción: El ENS lo tiene claro… Art 18: “En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.” Medidas Anexo 2: “Componentes certificados [op.pl.5]” Categoría ALTA Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
https://oc.ccn.cni.es 8 2. ¿Para qué un Catálogo de productos? ¿Producto certificado producto seguro? Producto certificado: Aquel que ha superado con éxito un proceso de evaluación realizado por un laboratorio independiente y acreditado. Este proceso supone el reconocimiento de la veracidad de su Declaración de Seguridad con un determinado nivel de confianza (EAL).
https://oc.ccn.cni.es 9 2. ¿Para qué un Catálogo de productos? Solo se cumplirá la implicación si la Declaración de Seguridad es… Producto Certificación OJO: ¡La DS la elabora el fabricante!  Completa. Consistente. Técnicamente adecuada.
https://oc.ccn.cni.es 2. ¿Para qué un Catálogo de productos? Corolario: para poder comprobar si un producto reúne las garantías de seguridad requeridas deberíamos:  Exigir certificación del producto de acuerdo a estándares Internacionales (p. ej.: Common Criteria).  Determinar qué funcionalidades de seguridad debe implementar el producto de acuerdo a su naturaleza o uso final.  Comprobar que la certificación incluye esas funcionalidades. Necesidad de un catálogo que facilite esta tarea
https://oc.ccn.cni.es 11 3. El CPSTIC. Alcance  Productos cualificados. Información sensible ENS  Productos aprobados. Información clasificada Aprobados CIFRA (CCN_STIC- 103) Aprobados Cualificados Certificados
https://oc.ccn.cni.es 12 3. El CPSTIC. Alcance  Niveles de exigencia para la catalogación de un producto. (genérico) Aprobados Cualificados Certificados Certificado Cualificado Aprobado
https://oc.ccn.cni.es 3. El CPSTIC. Alcance  Que productos se incluyen?  Productos que Implementan funcionalidades de seguridad en un sistema de forma activa.  Plataformas. Excluidos productos de auditoría de seguridad: análisis de vulnerabilidades, análisis de código, etc.
https://oc.ccn.cni.es 14 CCN- STIC- 140 CCNS- STIC- 106 CCN- STIC- 105 Normativa:  CCN-STIC-140. Taxonomías de referencia para productos de seguridad TIC.  CCN-STIC-106. Procedimiento de inclusión de productos TIC cualificados en el CPSTIC.  CCN-STIC-105. CPSTIC. 3. El CPSTIC. Normativa Cualificación:
https://oc.ccn.cni.es 15 Taxonomía de referencia: 3. El CPSTIC. CCN-STIC 140 • Enrutadores • Cortafuegos • Pasarelas de intercambio de datos • … Protección de interconexiones • Equipos de cifra. • Herramientas de borrado seguro • Dispositivos para gestión de claves • … Confidencialidad e integridad de la información • Dispositivos biométricos • Tarjetas inteligentes • Dispositivos de firma electrónica • … Identificación, autenticación y control de acceso Para cada familia se definen requisitos fundamentales de seguridad (RFS). RFS RFS RFS
https://oc.ccn.cni.es 16 3. El CPSTIC. CCN-STIC 106  Productos con certificación CC. Nivel mínimo EAL requerido. Se comprobará:  Que la DS cumple los RFS.  Que los algoritmos criptográficos son los adecuados.  Análisis de riesgos complementario.  Podrá no exigirse certificación CC cuando:  Producto de interés estratégico para Administración.  No existen productos sustitutivos en el mercado.  Posibilidad de evaluación STIC.
https://oc.ccn.cni.es 17 4. Estado actual Publicado el CPSTIC Dic2017. Última Actualización Jun2018 Si necesito consultarlo… ¿Dónde puedo encontrarlo?.  Guía CCN-STIC-105. Catálogo de Productos de Seguridad TIC (CPSTIC). (https://www.ccn-cert.cni.es/guias.html)  Web del Organismo de Certificación. (https://oc.ccn.cni.es) En crecimiento continuo a medida que se estudien nuevas solicitudes.
https://oc.ccn.cni.es 18 4. Líneas Futuras. Evolución continua  Inclusión de nuevas familias de productos.  Inclusión de nuevos productos.  Mantenimiento de los actuales.
https://oc.ccn.cni.es 19 4. Líneas Futuras  Productos para entornos CLOUD.
https://oc.ccn.cni.es 20 4. Líneas Futuras  Inclusión productos para ENS categoría Media y Básica.  Pendiente de finalización Metodología CBS (Certificación Básica de Seguridad). Menor carga de documentación 25 días / 8 semanas Coste reducido
https://oc.ccn.cni.es 21 5. Conclusiones
https://oc.ccn.cni.es E-Mails ccn-pytec@cni.es itsec.ccn@cni.es organismo.certificacion@cni.es Síguenos en @CCNPYTEC

Recomendados

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
Javier Tallón
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
Javier Tallón
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-es
JTSEC Beyond IT Security
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Javier Tallón
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
Tecnimap
 

Recomendados

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
Javier Tallón
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
Javier Tallón
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-es
JTSEC Beyond IT Security
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Javier Tallón
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
Tecnimap
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Miguel A. Amutio
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
Javier Tallón
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Miguel A. Amutio
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Miguel A. Amutio
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
guesta3f6ce
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
Jose Alberto Medina Vega
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
U.N.S.C
 
17 certdigitalespkcs
17 certdigitalespkcs17 certdigitalespkcs
17 certdigitalespkcs
Roberto Moreno Doñoro
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
.. ..
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
Javier Tallón
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
Camilo Esteban
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
Javier Tallón
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
Juan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
Ramón Salado Lucena
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
Alexander Velasque Rimac
 
sistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionsistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacion
Manuel Fernandez Barcell
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
Ingeniería e Integración Avanzadas (Ingenia)
 
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Ingeniería e Integración Avanzadas (Ingenia)
 
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingeniería e Integración Avanzadas (Ingenia)
 

Mais conteúdo relacionado

Semelhante a #CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración.

La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Miguel A. Amutio
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
.. ..
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
Javier Tallón
 

Semelhante a #CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración. (20)

La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
17 certdigitalespkcs
17 certdigitalespkcs17 certdigitalespkcs
17 certdigitalespkcs
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 
sistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionsistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacion
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 

Mais de Ingeniería e Integración Avanzadas (Ingenia)

Mais de Ingeniería e Integración Avanzadas (Ingenia) (20)

Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
 
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
 
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnologíaIngenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
 
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridadIngenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
 
Estado actual del Cibercrimen (#CibersegAnd19)
Estado actual del Cibercrimen (#CibersegAnd19)Estado actual del Cibercrimen (#CibersegAnd19)
Estado actual del Cibercrimen (#CibersegAnd19)
 
Sin fronteras (#CibersegAnd19)
Sin fronteras (#CibersegAnd19)Sin fronteras (#CibersegAnd19)
Sin fronteras (#CibersegAnd19)
 
El entorno IoT y las amenazas (#CibersegAnd19)
El entorno IoT y las amenazas (#CibersegAnd19)El entorno IoT y las amenazas (#CibersegAnd19)
El entorno IoT y las amenazas (#CibersegAnd19)
 
Ciberseguridad Industrial (#CibersegAnd19)
Ciberseguridad Industrial (#CibersegAnd19)Ciberseguridad Industrial (#CibersegAnd19)
Ciberseguridad Industrial (#CibersegAnd19)
 
#CibersegAnd18. La Ciberseguridad en Blockchain.
#CibersegAnd18. La Ciberseguridad en Blockchain.#CibersegAnd18. La Ciberseguridad en Blockchain.
#CibersegAnd18. La Ciberseguridad en Blockchain.
 
Ingenia, transformación digital en la Administración Pública
Ingenia, transformación digital en la Administración PúblicaIngenia, transformación digital en la Administración Pública
Ingenia, transformación digital en la Administración Pública
 
Ingenia, soluciones para el gobierno electrónico
Ingenia, soluciones para el gobierno electrónicoIngenia, soluciones para el gobierno electrónico
Ingenia, soluciones para el gobierno electrónico
 
Ingenia, transformación digital en la Administración Local
Ingenia, transformación digital en la Administración LocalIngenia, transformación digital en la Administración Local
Ingenia, transformación digital en la Administración Local
 
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
 
El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
 
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la UniversidadIV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
 
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILARIV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
 
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
 
INGENIA: Presentación corporativa 2017
INGENIA: Presentación corporativa 2017 INGENIA: Presentación corporativa 2017
INGENIA: Presentación corporativa 2017
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 

Último (15)

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración.

  • 1. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración. Centro Criptológico Nacional
  • 2. EL CPSTIC: UN CATÁLOGO DE PRODUCTOS DE SEGURIDAD TIC PARA LA ADMINISTRACIÓN
  • 3. https://oc.ccn.cni.eswww.ccn-cert.cni.es Índice 3 1. Introducción 2. ¿Para qué un catálogo de productos? 3. El CPSTIC 4. Estado actual y líneas futuras 5. Conclusiones
  • 5. https://oc.ccn.cni.es Prevención Reacción 5 1. Introducción: ¿Cuánto nos cuesta? Detección Imagen PRESTIGIO Confianza Reputación Negocio DoS Fuga de datos IntegridadValorde marca
  • 6. https://oc.ccn.cni.es 6 1. Introducción: ¿Qué podemos hacer?  Productos concebidos genéticamente para ser seguros. De seguridad certificada bajo estándares internacionales.
  • 7. https://oc.ccn.cni.es 7 1. Introducción: El ENS lo tiene claro… Art 18: “En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.” Medidas Anexo 2: “Componentes certificados [op.pl.5]” Categoría ALTA Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
  • 8. https://oc.ccn.cni.es 8 2. ¿Para qué un Catálogo de productos? ¿Producto certificado producto seguro? Producto certificado: Aquel que ha superado con éxito un proceso de evaluación realizado por un laboratorio independiente y acreditado. Este proceso supone el reconocimiento de la veracidad de su Declaración de Seguridad con un determinado nivel de confianza (EAL).
  • 9. https://oc.ccn.cni.es 9 2. ¿Para qué un Catálogo de productos? Solo se cumplirá la implicación si la Declaración de Seguridad es… Producto Certificación OJO: ¡La DS la elabora el fabricante!  Completa. Consistente. Técnicamente adecuada.
  • 10. https://oc.ccn.cni.es 2. ¿Para qué un Catálogo de productos? Corolario: para poder comprobar si un producto reúne las garantías de seguridad requeridas deberíamos:  Exigir certificación del producto de acuerdo a estándares Internacionales (p. ej.: Common Criteria).  Determinar qué funcionalidades de seguridad debe implementar el producto de acuerdo a su naturaleza o uso final.  Comprobar que la certificación incluye esas funcionalidades. Necesidad de un catálogo que facilite esta tarea
  • 11. https://oc.ccn.cni.es 11 3. El CPSTIC. Alcance  Productos cualificados. Información sensible ENS  Productos aprobados. Información clasificada Aprobados CIFRA (CCN_STIC- 103) Aprobados Cualificados Certificados
  • 12. https://oc.ccn.cni.es 12 3. El CPSTIC. Alcance  Niveles de exigencia para la catalogación de un producto. (genérico) Aprobados Cualificados Certificados Certificado Cualificado Aprobado
  • 13. https://oc.ccn.cni.es 3. El CPSTIC. Alcance  Que productos se incluyen?  Productos que Implementan funcionalidades de seguridad en un sistema de forma activa.  Plataformas. Excluidos productos de auditoría de seguridad: análisis de vulnerabilidades, análisis de código, etc.
  • 14. https://oc.ccn.cni.es 14 CCN- STIC- 140 CCNS- STIC- 106 CCN- STIC- 105 Normativa:  CCN-STIC-140. Taxonomías de referencia para productos de seguridad TIC.  CCN-STIC-106. Procedimiento de inclusión de productos TIC cualificados en el CPSTIC.  CCN-STIC-105. CPSTIC. 3. El CPSTIC. Normativa Cualificación:
  • 15. https://oc.ccn.cni.es 15 Taxonomía de referencia: 3. El CPSTIC. CCN-STIC 140 • Enrutadores • Cortafuegos • Pasarelas de intercambio de datos • … Protección de interconexiones • Equipos de cifra. • Herramientas de borrado seguro • Dispositivos para gestión de claves • … Confidencialidad e integridad de la información • Dispositivos biométricos • Tarjetas inteligentes • Dispositivos de firma electrónica • … Identificación, autenticación y control de acceso Para cada familia se definen requisitos fundamentales de seguridad (RFS). RFS RFS RFS
  • 16. https://oc.ccn.cni.es 16 3. El CPSTIC. CCN-STIC 106  Productos con certificación CC. Nivel mínimo EAL requerido. Se comprobará:  Que la DS cumple los RFS.  Que los algoritmos criptográficos son los adecuados.  Análisis de riesgos complementario.  Podrá no exigirse certificación CC cuando:  Producto de interés estratégico para Administración.  No existen productos sustitutivos en el mercado.  Posibilidad de evaluación STIC.
  • 17. https://oc.ccn.cni.es 17 4. Estado actual Publicado el CPSTIC Dic2017. Última Actualización Jun2018 Si necesito consultarlo… ¿Dónde puedo encontrarlo?.  Guía CCN-STIC-105. Catálogo de Productos de Seguridad TIC (CPSTIC). (https://www.ccn-cert.cni.es/guias.html)  Web del Organismo de Certificación. (https://oc.ccn.cni.es) En crecimiento continuo a medida que se estudien nuevas solicitudes.
  • 18. https://oc.ccn.cni.es 18 4. Líneas Futuras. Evolución continua  Inclusión de nuevas familias de productos.  Inclusión de nuevos productos.  Mantenimiento de los actuales.
  • 19. https://oc.ccn.cni.es 19 4. Líneas Futuras  Productos para entornos CLOUD.
  • 20. https://oc.ccn.cni.es 20 4. Líneas Futuras  Inclusión productos para ENS categoría Media y Básica.  Pendiente de finalización Metodología CBS (Certificación Básica de Seguridad). Menor carga de documentación 25 días / 8 semanas Coste reducido