SlideShare una empresa de Scribd logo

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.

Descargar como PPTX, PDF
Javier Tallón
Javier Tallón

El documento describe la metodología LINCE para la certificación de productos de seguridad TIC en España. LINCE ofrece una evaluación más ligera que Common Criteria, orientada a PYMES. El documento explica el proceso de certificación LINCE y las iniciativas para convertirla en una norma UNE e integrarla en esquemas de certificación europeos.

Internet
1 de 24
www.ccn-cert.cni.es#XIIJornadasCCNCERT 1. Antecedentes 2. Metodología de evaluación LINCE 3. LINCE: Iniciativa de norma UNE 4. Adaptación: Nuevas iniciativas en certificación 5. Conclusiones Índice Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
www.ccn-cert.cni.es#XIIJornadasCCNCERT Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorialEncuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• Medidas Anexo 2: “Componentes certificados [op.pl.5]”  Categoría ALTA  Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Esquema Nacional de Seguridad (ENS) Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Catálogo de Productos de Seguridad TIC (CPSTIC) AntecedentesAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
TEJIDO EMPRESARIAL Certificaciones: un mundo para Grandes Empresas! AntecedentesAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
www.ccn-cert.cni.es#XIIJornadasCCNCERT Metodología de Evaluación LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Certificaciones LINCE • LINCE es una metodología de evaluación de productos TIC basada en los principios de Common Criteria • Orientada al análisis de vulnerabilidades y los tests de penetración • Diferencias con Common Criteria: • Esfuerzo, coste y duración acotados • Elimina complejidad • Reconocimiento nacional Introducción a LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• LINCE permite el acceso al catálogo CPSTIC para niveles bajo y medio • Metodología para pruebas complementarias STIC Introducción a LINCE Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• El módulo de evaluación básico es obligatorio y común a todas las evaluaciones (25 días / 8 semanas): • No incluye la preparación de la evaluación ni la formación de los evaluadores • Se requieren evaluadores expertos en la tecnología • El laboratorio debe presentar el plan de evaluación al OC • El laboratorio debe emitir el informe de evaluación Módulos de evaluación Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• Además, LINCE ofrece dos módulos opcionales • Módulo de Evaluación Criptográfica (MEC): • Pruebas sobre algoritmos criptográficos • Validación conformidad de algoritmos • Módulo de evaluación de Código Fuente (MCF) • Pruebas caja blanca • Revisión de código fuente Módulos de evaluación Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Fases de la certificación: CPSTIC Organismo de certificación Laboratorio Desarrollador 1. Formulario de solicitud 2. TOE & ST & Manuales 3. Evaluación de seguridad 4. Emisión ETR 5. Aprobación ETR 6. Emisión certificado 7. Inclusión en el catálogo Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
1. Análisis de la declaración de seguridad (1 día) • Comprobar que la declaración de seguridad del fabricante es correcta • Este documento debe seguir lo establecido en CCN-LINCE-003 2. Instalación del producto (1 día) • Preparar el producto para la realización de las pruebas 3. Análisis de la documentación (2 días) • Analizar la documentación – Ganar conocimiento del producto Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
4. Pruebas funcionales (5 días) • Comprobar que el producto funciona conforme a la funcionalidad declarada 5. Análisis de vulnerabilidades (6 días) • Estudio de vulnerabilidades en el dispositivo. • Sesiones de trabajo con el fabricante. Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
6. Pruebas de penetración del TOE (10 días) • Comprobaciones de la explotación de vulnerabilidades. • Estas pruebas tienen un enfoque de caja negra. Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
www.ccn-cert.cni.es#XIIJornadasCCNCERT LINCE: Iniciativa de norma UNE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• FASE 1. Creación del Grupo de Trabajo (líder: José Ruiz, asistente: Amanda Suo, UNE) • CTN 320/SC 03/GT LINCE "METODOLOGÍA DE EVALUACIÓN LINCE PARA PRODUCTOS DE SEGURIDAD DE TIC", está compuesto por los miembros del SC3. • FASE 2. Elaboración del proyecto PNE 320001 (líder: José Ruiz; miembros del SC3) • Con los miembros del SC3, se realizará la elaboración del proyecto PNE 320001 Metodología de Evaluación LINCE para productos de Seguridad de TIC, adaptándolo al modelo normativo. LINCE como norma UNE: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• FASE 3. Aprobación de la (propuesta) Norma nacional UNE-PNE 320001 en el CTN320 (líder: UNE) • Una vez elaborada la (propuesta) Norma nacional, se circulará en el CTN320 para su aprobación. • FASE 4. Aprobación de Información Pública IP de la (propuesta) norma nacional UNE-PNE 320001 (líder: UNE) • FASE 5. Publicación de la norma nacional UNE 320001 • Se publicará oficialmente la norma UNE 320001 LINCE como norma UNE: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
www.ccn-cert.cni.es#XIIJornadasCCNCERT Adaptación: Nuevas iniciativas en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• Esquema de certificación que sea común a todos los países. • Tres niveles de garantía: básico, sustancial y alto. • Este esquema establece directrices de seguridad para cuatro categorías: • Productos y componentes • Servicios ICT • Proveedores de servicios y organizaciones • Profesionales de la seguridad Framework de certificación europeo Adaptación: Nuevas tendencias en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
• SOG-IS CC y Cloud Scheme • CEN/CLC/JTC 13 WG3 • (Lightweight Project) Cybersecurity Evaluation Methodology for ICT Products Nuevos esquemas y ¿“Lince” Europeo? Adaptación: Nuevas tendencias en certificación Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
www.ccn-cert.cni.es#XIIJornadasCCNCERT Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
LINCE • Certificación más ligera & adaptada para PYMES • Menos complejidad y coste • Norma UNE • Europa • Importancia de la certificación de ciberseguridad Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
jtsec: Beyond IT Security Granada & Madrid – Spain hello@jtsec.es @jtsecES www.jtsec.es Contact “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie

Recomendados

Kimia Fisika Organik
Kimia Fisika OrganikKimia Fisika Organik
Kimia Fisika Organik
Tb Didi Supriadi
 
document.pdf
document.pdfdocument.pdf
document.pdf
KristenFoster12
 
ISO 9001_2015 Overview Presentation_Hawkeye
ISO 9001_2015 Overview Presentation_HawkeyeISO 9001_2015 Overview Presentation_Hawkeye
ISO 9001_2015 Overview Presentation_Hawkeye
Katie Freeman
 
Analisi idrocarburi nelle acque p.1
Analisi idrocarburi nelle acque p.1Analisi idrocarburi nelle acque p.1
Analisi idrocarburi nelle acque p.1
Davide Facciabene
 
Gestion de calidad
Gestion de calidadGestion de calidad
Gestion de calidad
Maria1814
 
Sistema gestion laboratorios
Sistema gestion laboratoriosSistema gestion laboratorios
Sistema gestion laboratorios
ISOTALDE
 
metode pengujian sifat fisika minyak bumi 2014
metode pengujian sifat fisika minyak bumi 2014metode pengujian sifat fisika minyak bumi 2014
metode pengujian sifat fisika minyak bumi 2014
ebenezerskl
 
MISRA C in an ISO 26262 context
MISRA C in an ISO 26262 contextMISRA C in an ISO 26262 context
MISRA C in an ISO 26262 context
AdaCore
 

Recomendados

Kimia Fisika Organik
Kimia Fisika OrganikKimia Fisika Organik
Kimia Fisika Organik
Tb Didi Supriadi
 
document.pdf
document.pdfdocument.pdf
document.pdf
KristenFoster12
 
ISO 9001_2015 Overview Presentation_Hawkeye
ISO 9001_2015 Overview Presentation_HawkeyeISO 9001_2015 Overview Presentation_Hawkeye
ISO 9001_2015 Overview Presentation_Hawkeye
Katie Freeman
 
Analisi idrocarburi nelle acque p.1
Analisi idrocarburi nelle acque p.1Analisi idrocarburi nelle acque p.1
Analisi idrocarburi nelle acque p.1
Davide Facciabene
 
Gestion de calidad
Gestion de calidadGestion de calidad
Gestion de calidad
Maria1814
 
Sistema gestion laboratorios
Sistema gestion laboratoriosSistema gestion laboratorios
Sistema gestion laboratorios
ISOTALDE
 
metode pengujian sifat fisika minyak bumi 2014
metode pengujian sifat fisika minyak bumi 2014metode pengujian sifat fisika minyak bumi 2014
metode pengujian sifat fisika minyak bumi 2014
ebenezerskl
 
MISRA C in an ISO 26262 context
MISRA C in an ISO 26262 contextMISRA C in an ISO 26262 context
MISRA C in an ISO 26262 context
AdaCore
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...
CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...
CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...
Alarcos Quality Center
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
Javier Tallón
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
Xiva Sandoval
 
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
Alarcos Quality Center
 
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
Alarcos Quality Center
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
Javier Tallón
 
ATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_NormasATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_Normas
Coatzozon20
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad
univ of pamplona
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
NYCE
 
SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000
SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000
SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000
Alarcos Quality Center
 
Presentacion1
Presentacion1Presentacion1
Presentacion1
Isaac Dx
 
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
Alarcos Quality Center
 
PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...
PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...
PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...
Alarcos Quality Center
 
Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.
Isabel Gómez
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
Claudis Muñoz
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
Annie Mrtx
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
Claudis Muñoz
 
Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
Javier Tallón
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 

Más contenido relacionado

Similar a LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.

Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
Xiva Sandoval
 
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
Alarcos Quality Center
 
ATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_NormasATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_Normas
Coatzozon20
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad
univ of pamplona
 

Similar a LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC. (20)

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...
CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...
CIBSE 2015 - Experiencias en la Industria del Software: Certificación del Pro...
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
 
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
 
ATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_NormasATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_Normas
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
 
SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000
SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000
SSTQB 2015 - Evaluación y Certificación del Producto Software con ISO/IEC 25000
 
Presentacion1
Presentacion1Presentacion1
Presentacion1
 
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
 
PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...
PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...
PROMEDESOFT 2015 - Evaluación y Certificación de la calidad del producto soft...
 
Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.Documentacion de las pruebas normas y certificaciones de software.
Documentacion de las pruebas normas y certificaciones de software.
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 

Más de Javier Tallón

Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
Javier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
Javier Tallón
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
Javier Tallón
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
Javier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
Javier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
Javier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
Javier Tallón
 

Más de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.

  • 1.
  • 2. www.ccn-cert.cni.es#XIIJornadasCCNCERT 1. Antecedentes 2. Metodología de evaluación LINCE 3. LINCE: Iniciativa de norma UNE 4. Adaptación: Nuevas iniciativas en certificación 5. Conclusiones Índice Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 3. www.ccn-cert.cni.es#XIIJornadasCCNCERT Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorialEncuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 4. • Medidas Anexo 2: “Componentes certificados [op.pl.5]”  Categoría ALTA  Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Esquema Nacional de Seguridad (ENS) Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 5. Catálogo de Productos de Seguridad TIC (CPSTIC) AntecedentesAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 6. TEJIDO EMPRESARIAL Certificaciones: un mundo para Grandes Empresas! AntecedentesAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 8. Certificaciones LINCE • LINCE es una metodología de evaluación de productos TIC basada en los principios de Common Criteria • Orientada al análisis de vulnerabilidades y los tests de penetración • Diferencias con Common Criteria: • Esfuerzo, coste y duración acotados • Elimina complejidad • Reconocimiento nacional Introducción a LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 9. • LINCE permite el acceso al catálogo CPSTIC para niveles bajo y medio • Metodología para pruebas complementarias STIC Introducción a LINCE Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 10. • El módulo de evaluación básico es obligatorio y común a todas las evaluaciones (25 días / 8 semanas): • No incluye la preparación de la evaluación ni la formación de los evaluadores • Se requieren evaluadores expertos en la tecnología • El laboratorio debe presentar el plan de evaluación al OC • El laboratorio debe emitir el informe de evaluación Módulos de evaluación Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 11. • Además, LINCE ofrece dos módulos opcionales • Módulo de Evaluación Criptográfica (MEC): • Pruebas sobre algoritmos criptográficos • Validación conformidad de algoritmos • Módulo de evaluación de Código Fuente (MCF) • Pruebas caja blanca • Revisión de código fuente Módulos de evaluación Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 12. Fases de la certificación: CPSTIC Organismo de certificación Laboratorio Desarrollador 1. Formulario de solicitud 2. TOE & ST & Manuales 3. Evaluación de seguridad 4. Emisión ETR 5. Aprobación ETR 6. Emisión certificado 7. Inclusión en el catálogo Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 13. 1. Análisis de la declaración de seguridad (1 día) • Comprobar que la declaración de seguridad del fabricante es correcta • Este documento debe seguir lo establecido en CCN-LINCE-003 2. Instalación del producto (1 día) • Preparar el producto para la realización de las pruebas 3. Análisis de la documentación (2 días) • Analizar la documentación – Ganar conocimiento del producto Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 14. 4. Pruebas funcionales (5 días) • Comprobar que el producto funciona conforme a la funcionalidad declarada 5. Análisis de vulnerabilidades (6 días) • Estudio de vulnerabilidades en el dispositivo. • Sesiones de trabajo con el fabricante. Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 15. 6. Pruebas de penetración del TOE (10 días) • Comprobaciones de la explotación de vulnerabilidades. • Estas pruebas tienen un enfoque de caja negra. Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 16. www.ccn-cert.cni.es#XIIJornadasCCNCERT LINCE: Iniciativa de norma UNE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 17. • FASE 1. Creación del Grupo de Trabajo (líder: José Ruiz, asistente: Amanda Suo, UNE) • CTN 320/SC 03/GT LINCE "METODOLOGÍA DE EVALUACIÓN LINCE PARA PRODUCTOS DE SEGURIDAD DE TIC", está compuesto por los miembros del SC3. • FASE 2. Elaboración del proyecto PNE 320001 (líder: José Ruiz; miembros del SC3) • Con los miembros del SC3, se realizará la elaboración del proyecto PNE 320001 Metodología de Evaluación LINCE para productos de Seguridad de TIC, adaptándolo al modelo normativo. LINCE como norma UNE: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 18. • FASE 3. Aprobación de la (propuesta) Norma nacional UNE-PNE 320001 en el CTN320 (líder: UNE) • Una vez elaborada la (propuesta) Norma nacional, se circulará en el CTN320 para su aprobación. • FASE 4. Aprobación de Información Pública IP de la (propuesta) norma nacional UNE-PNE 320001 (líder: UNE) • FASE 5. Publicación de la norma nacional UNE 320001 • Se publicará oficialmente la norma UNE 320001 LINCE como norma UNE: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 19. www.ccn-cert.cni.es#XIIJornadasCCNCERT Adaptación: Nuevas iniciativas en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 20. • Esquema de certificación que sea común a todos los países. • Tres niveles de garantía: básico, sustancial y alto. • Este esquema establece directrices de seguridad para cuatro categorías: • Productos y componentes • Servicios ICT • Proveedores de servicios y organizaciones • Profesionales de la seguridad Framework de certificación europeo Adaptación: Nuevas tendencias en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  • 21. • SOG-IS CC y Cloud Scheme • CEN/CLC/JTC 13 WG3 • (Lightweight Project) Cybersecurity Evaluation Methodology for ICT Products Nuevos esquemas y ¿“Lince” Europeo? Adaptación: Nuevas tendencias en certificación Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
  • 22. www.ccn-cert.cni.es#XIIJornadasCCNCERT Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
  • 23. LINCE • Certificación más ligera & adaptada para PYMES • Menos complejidad y coste • Norma UNE • Europa • Importancia de la certificación de ciberseguridad Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
  • 24. jtsec: Beyond IT Security Granada & Madrid – Spain hello@jtsec.es @jtsecES www.jtsec.es Contact “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie

Notas del editor

  1. Dos tipos de antecedentes – regulatorios y macroeconomicos
  2. El año pasado se dió un paso más creando el catalogo CPSTIC que es una herramienta extraordinaria para la administración.
  3. En Segundo lugar, España es un pais mayormente de PYMES. Eso hace que tenga mucho más merito la importancia de la certificación en España teniendo una industria mucho mas pequeña que en esos paises, dado que la certificación hasta ahora ha sido algo destinado a medianas y grandes empresas.
  4. Hemos visto el potencial que tiene España en certificación pero también hemos visto que había algunas deficiencias que cubrir… Asi que lo primero era ver que se esta haciendo a nivel internacional para solucionarlo…