El documento describe la metodología LINCE para la certificación de productos de seguridad TIC en España. LINCE ofrece una evaluación más ligera que Common Criteria, orientada a PYMES. El documento explica el proceso de certificación LINCE y las iniciativas para convertirla en una norma UNE e integrarla en esquemas de certificación europeos.
4. • Medidas Anexo 2: “Componentes certificados [op.pl.5]”
Categoría ALTA
Se utilizarán sistemas, productos o equipos cuyas
funcionalidades de seguridad y su nivel hayan sido
evaluados conforme a normas europeas o
internacionales y cuyos certificados estén reconocidos
por el Esquema Nacional de Evaluación y Certificación
de la Seguridad de las Tecnologías de la Información.
Esquema Nacional de Seguridad (ENS)
Antecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
5. Catálogo de Productos de Seguridad TIC (CPSTIC)
AntecedentesAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
6. TEJIDO EMPRESARIAL
Certificaciones: un mundo para Grandes Empresas!
AntecedentesAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
8. Certificaciones LINCE
• LINCE es una metodología de evaluación de productos TIC
basada en los principios de Common Criteria
• Orientada al análisis de vulnerabilidades y los tests de
penetración
• Diferencias con Common Criteria:
• Esfuerzo, coste y duración acotados
• Elimina complejidad
• Reconocimiento nacional
Introducción a LINCE
Antecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
9. • LINCE permite el acceso al catálogo CPSTIC
para niveles bajo y medio
• Metodología para pruebas complementarias
STIC
Introducción a LINCE
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
10. • El módulo de evaluación básico es obligatorio y común a todas las
evaluaciones (25 días / 8 semanas):
• No incluye la preparación de la evaluación ni la formación de los
evaluadores
• Se requieren evaluadores expertos en la tecnología
• El laboratorio debe presentar el plan de evaluación al OC
• El laboratorio debe emitir el informe de evaluación
Módulos de evaluación
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
11. • Además, LINCE ofrece dos módulos opcionales
• Módulo de Evaluación Criptográfica (MEC):
• Pruebas sobre algoritmos criptográficos
• Validación conformidad de algoritmos
• Módulo de evaluación de Código Fuente (MCF)
• Pruebas caja blanca
• Revisión de código fuente
Módulos de evaluación
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
12. Fases de la certificación:
CPSTIC
Organismo de
certificación
Laboratorio
Desarrollador
1. Formulario
de solicitud
2. TOE & ST &
Manuales
3. Evaluación
de seguridad
4. Emisión ETR
5. Aprobación ETR
6. Emisión
certificado
7. Inclusión en el catálogo
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
13. 1. Análisis de la declaración de seguridad (1 día)
• Comprobar que la declaración de seguridad del fabricante es correcta
• Este documento debe seguir lo establecido en CCN-LINCE-003
2. Instalación del producto (1 día)
• Preparar el producto para la realización
de las pruebas
3. Análisis de la documentación (2 días)
• Analizar la documentación – Ganar conocimiento del producto
Fases de la evaluación:
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
14. 4. Pruebas funcionales (5 días)
• Comprobar que el producto funciona conforme a la
funcionalidad declarada
5. Análisis de vulnerabilidades (6 días)
• Estudio de vulnerabilidades en el dispositivo.
• Sesiones de trabajo con el fabricante.
Fases de la evaluación:
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
15. 6. Pruebas de penetración del TOE (10 días)
• Comprobaciones de la explotación de vulnerabilidades.
• Estas pruebas tienen un enfoque de caja negra.
Fases de la evaluación:
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
17. • FASE 1. Creación del Grupo de Trabajo (líder: José Ruiz, asistente:
Amanda Suo, UNE)
• CTN 320/SC 03/GT LINCE "METODOLOGÍA DE EVALUACIÓN LINCE
PARA PRODUCTOS DE SEGURIDAD DE TIC", está compuesto por los
miembros del SC3.
• FASE 2. Elaboración del proyecto PNE 320001 (líder: José Ruiz;
miembros del SC3)
• Con los miembros del SC3, se realizará la elaboración del proyecto PNE
320001 Metodología de Evaluación LINCE para productos de Seguridad
de TIC, adaptándolo al modelo normativo.
LINCE como norma UNE:
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
18. • FASE 3. Aprobación de la (propuesta) Norma nacional UNE-PNE
320001 en el CTN320 (líder: UNE)
• Una vez elaborada la (propuesta) Norma nacional, se circulará en el
CTN320 para su aprobación.
• FASE 4. Aprobación de Información Pública IP de la (propuesta)
norma nacional UNE-PNE 320001 (líder: UNE)
• FASE 5. Publicación de la norma nacional UNE 320001
• Se publicará oficialmente la norma UNE 320001
LINCE como norma UNE:
Certificaciones LINCEAntecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
20. • Esquema de certificación que sea común a todos los
países.
• Tres niveles de garantía: básico, sustancial y alto.
• Este esquema establece directrices de seguridad para cuatro
categorías:
• Productos y componentes
• Servicios ICT
• Proveedores de servicios y organizaciones
• Profesionales de la seguridad
Framework de certificación europeo
Adaptación: Nuevas tendencias en
certificación
Antecedentes
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
21. • SOG-IS CC y Cloud Scheme
• CEN/CLC/JTC 13 WG3
• (Lightweight Project) Cybersecurity
Evaluation Methodology for ICT
Products
Nuevos esquemas y ¿“Lince” Europeo?
Adaptación: Nuevas tendencias en
certificación
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Adaptación: Nuevas tendencias en
certificación
Antecedentes
23. LINCE
• Certificación más ligera & adaptada
para PYMES
• Menos complejidad y coste
• Norma UNE
• Europa
• Importancia de la certificación de
ciberseguridad
Conclusiones
Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Adaptación: Nuevas tendencias en
certificación
Antecedentes
24. jtsec: Beyond IT Security
Granada & Madrid – Spain
hello@jtsec.es
@jtsecES
www.jtsec.es
Contact
“Any fool can make something complicated. It takes a
genius to make it simple.”
Woody Guthrie
Notas del editor
Dos tipos de antecedentes – regulatorios y macroeconomicos
El año pasado se dió un paso más creando el catalogo CPSTIC que es una herramienta extraordinaria para la administración.
En Segundo lugar, España es un pais mayormente de PYMES.
Eso hace que tenga mucho más merito la importancia de la certificación en España teniendo una industria mucho mas pequeña que en esos paises, dado que la certificación hasta ahora ha sido algo destinado a medianas y grandes empresas.
Hemos visto el potencial que tiene España en certificación pero también hemos visto que había algunas deficiencias que cubrir…
Asi que lo primero era ver que se esta haciendo a nivel internacional para solucionarlo…