Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.

Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Cargando en…3
×

Eche un vistazo a continuación

1 de 24 Anuncio

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.

Descargar para leer sin conexión

Presentación para los Encuentros UNE - Ciberseguridad I: Una necesidad sectorial. Donde analizamos la metodología LINCE para las certificaciones de ciberseguridad en el territorio español, cómo incluir productos en el catálogo CPSTIC y el futuro inmediato del marco de las certificaciones "ligeras" en Europa.

Presentación para los Encuentros UNE - Ciberseguridad I: Una necesidad sectorial. Donde analizamos la metodología LINCE para las certificaciones de ciberseguridad en el territorio español, cómo incluir productos en el catálogo CPSTIC y el futuro inmediato del marco de las certificaciones "ligeras" en Europa.

Anuncio
Anuncio

Más Contenido Relacionado

Presentaciones para usted (15)

Similares a LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC. (20)

Anuncio

Más de Javier Tallón (16)

Anuncio

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.

  1. 1. www.ccn-cert.cni.es#XIIJornadasCCNCERT 1. Antecedentes 2. Metodología de evaluación LINCE 3. LINCE: Iniciativa de norma UNE 4. Adaptación: Nuevas iniciativas en certificación 5. Conclusiones Índice Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  2. 2. www.ccn-cert.cni.es#XIIJornadasCCNCERT Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorialEncuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  3. 3. • Medidas Anexo 2: “Componentes certificados [op.pl.5]”  Categoría ALTA  Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Esquema Nacional de Seguridad (ENS) Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  4. 4. Catálogo de Productos de Seguridad TIC (CPSTIC) AntecedentesAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  5. 5. TEJIDO EMPRESARIAL Certificaciones: un mundo para Grandes Empresas! AntecedentesAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  6. 6. www.ccn-cert.cni.es#XIIJornadasCCNCERT Metodología de Evaluación LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  7. 7. Certificaciones LINCE • LINCE es una metodología de evaluación de productos TIC basada en los principios de Common Criteria • Orientada al análisis de vulnerabilidades y los tests de penetración • Diferencias con Common Criteria: • Esfuerzo, coste y duración acotados • Elimina complejidad • Reconocimiento nacional Introducción a LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  8. 8. • LINCE permite el acceso al catálogo CPSTIC para niveles bajo y medio • Metodología para pruebas complementarias STIC Introducción a LINCE Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  9. 9. • El módulo de evaluación básico es obligatorio y común a todas las evaluaciones (25 días / 8 semanas): • No incluye la preparación de la evaluación ni la formación de los evaluadores • Se requieren evaluadores expertos en la tecnología • El laboratorio debe presentar el plan de evaluación al OC • El laboratorio debe emitir el informe de evaluación Módulos de evaluación Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  10. 10. • Además, LINCE ofrece dos módulos opcionales • Módulo de Evaluación Criptográfica (MEC): • Pruebas sobre algoritmos criptográficos • Validación conformidad de algoritmos • Módulo de evaluación de Código Fuente (MCF) • Pruebas caja blanca • Revisión de código fuente Módulos de evaluación Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  11. 11. Fases de la certificación: CPSTIC Organismo de certificación Laboratorio Desarrollador 1. Formulario de solicitud 2. TOE & ST & Manuales 3. Evaluación de seguridad 4. Emisión ETR 5. Aprobación ETR 6. Emisión certificado 7. Inclusión en el catálogo Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  12. 12. 1. Análisis de la declaración de seguridad (1 día) • Comprobar que la declaración de seguridad del fabricante es correcta • Este documento debe seguir lo establecido en CCN-LINCE-003 2. Instalación del producto (1 día) • Preparar el producto para la realización de las pruebas 3. Análisis de la documentación (2 días) • Analizar la documentación – Ganar conocimiento del producto Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  13. 13. 4. Pruebas funcionales (5 días) • Comprobar que el producto funciona conforme a la funcionalidad declarada 5. Análisis de vulnerabilidades (6 días) • Estudio de vulnerabilidades en el dispositivo. • Sesiones de trabajo con el fabricante. Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  14. 14. 6. Pruebas de penetración del TOE (10 días) • Comprobaciones de la explotación de vulnerabilidades. • Estas pruebas tienen un enfoque de caja negra. Fases de la evaluación: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  15. 15. www.ccn-cert.cni.es#XIIJornadasCCNCERT LINCE: Iniciativa de norma UNE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  16. 16. • FASE 1. Creación del Grupo de Trabajo (líder: José Ruiz, asistente: Amanda Suo, UNE) • CTN 320/SC 03/GT LINCE "METODOLOGÍA DE EVALUACIÓN LINCE PARA PRODUCTOS DE SEGURIDAD DE TIC", está compuesto por los miembros del SC3. • FASE 2. Elaboración del proyecto PNE 320001 (líder: José Ruiz; miembros del SC3) • Con los miembros del SC3, se realizará la elaboración del proyecto PNE 320001 Metodología de Evaluación LINCE para productos de Seguridad de TIC, adaptándolo al modelo normativo. LINCE como norma UNE: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  17. 17. • FASE 3. Aprobación de la (propuesta) Norma nacional UNE-PNE 320001 en el CTN320 (líder: UNE) • Una vez elaborada la (propuesta) Norma nacional, se circulará en el CTN320 para su aprobación. • FASE 4. Aprobación de Información Pública IP de la (propuesta) norma nacional UNE-PNE 320001 (líder: UNE) • FASE 5. Publicación de la norma nacional UNE 320001 • Se publicará oficialmente la norma UNE 320001 LINCE como norma UNE: Certificaciones LINCEAntecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  18. 18. www.ccn-cert.cni.es#XIIJornadasCCNCERT Adaptación: Nuevas iniciativas en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  19. 19. • Esquema de certificación que sea común a todos los países. • Tres niveles de garantía: básico, sustancial y alto. • Este esquema establece directrices de seguridad para cuatro categorías: • Productos y componentes • Servicios ICT • Proveedores de servicios y organizaciones • Profesionales de la seguridad Framework de certificación europeo Adaptación: Nuevas tendencias en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
  20. 20. • SOG-IS CC y Cloud Scheme • CEN/CLC/JTC 13 WG3 • (Lightweight Project) Cybersecurity Evaluation Methodology for ICT Products Nuevos esquemas y ¿“Lince” Europeo? Adaptación: Nuevas tendencias en certificación Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
  21. 21. www.ccn-cert.cni.es#XIIJornadasCCNCERT Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
  22. 22. LINCE • Certificación más ligera & adaptada para PYMES • Menos complejidad y coste • Norma UNE • Europa • Importancia de la certificación de ciberseguridad Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
  23. 23. jtsec: Beyond IT Security Granada & Madrid – Spain hello@jtsec.es @jtsecES www.jtsec.es Contact “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie

Notas del editor

  • Dos tipos de antecedentes – regulatorios y macroeconomicos
  • El año pasado se dió un paso más creando el catalogo CPSTIC que es una herramienta extraordinaria para la administración.
  • En Segundo lugar, España es un pais mayormente de PYMES.

    Eso hace que tenga mucho más merito la importancia de la certificación en España teniendo una industria mucho mas pequeña que en esos paises, dado que la certificación hasta ahora ha sido algo destinado a medianas y grandes empresas.
  • Hemos visto el potencial que tiene España en certificación pero también hemos visto que había algunas deficiencias que cubrir…

    Asi que lo primero era ver que se esta haciendo a nivel internacional para solucionarlo…

×