Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
CPSTIC: Un
catálogo de
productos de
seguridad TIC
para la
Administración.
Centro
Criptológico
Nacional
EL CPSTIC: UN CATÁLOGO DE PRODUCTOS DE
SEGURIDAD TIC PARA LA ADMINISTRACIÓN
https://oc.ccn.cni.eswww.ccn-cert.cni.es
Índice
3
1. Introducción
2. ¿Para qué un catálogo de productos?
3. El CPSTIC
4. E...
https://oc.ccn.cni.es 4
1. Introducción: ¿Qué está pasando?
https://oc.ccn.cni.es
Prevención Reacción
5
1. Introducción: ¿Cuánto nos cuesta?
Detección
Imagen
PRESTIGIO Confianza
Repu...
https://oc.ccn.cni.es 6
1. Introducción: ¿Qué podemos hacer?
 Productos
concebidos
genéticamente para ser
seguros.
De se...
https://oc.ccn.cni.es 7
1. Introducción: El ENS lo tiene claro…
Art 18:
“En la adquisición de productos de seguridad de la...
https://oc.ccn.cni.es 8
2. ¿Para qué un Catálogo de productos?
¿Producto certificado producto
seguro?
Producto certificado...
https://oc.ccn.cni.es 9
2. ¿Para qué un Catálogo de productos?
Solo se cumplirá la implicación si la Declaración
de Seguri...
https://oc.ccn.cni.es
2. ¿Para qué un Catálogo de productos?
Corolario: para poder comprobar si un producto reúne las
gara...
https://oc.ccn.cni.es 11
3. El CPSTIC. Alcance
 Productos cualificados. Información sensible ENS
 Productos aprobados. I...
https://oc.ccn.cni.es 12
3. El CPSTIC. Alcance
 Niveles de exigencia para la catalogación de un producto.
(genérico)
Apro...
https://oc.ccn.cni.es
3. El CPSTIC. Alcance
 Que productos se incluyen?
 Productos que Implementan
funcionalidades de se...
https://oc.ccn.cni.es 14
CCN-
STIC-
140
CCNS-
STIC-
106
CCN-
STIC-
105
Normativa:
 CCN-STIC-140. Taxonomías de
referencia...
https://oc.ccn.cni.es
15
Taxonomía de referencia:
3. El CPSTIC. CCN-STIC 140
• Enrutadores
• Cortafuegos
• Pasarelas de in...
https://oc.ccn.cni.es 16
3. El CPSTIC. CCN-STIC 106
 Productos con certificación CC. Nivel mínimo EAL
requerido. Se compr...
https://oc.ccn.cni.es 17
4. Estado actual
Publicado el CPSTIC Dic2017.
Última Actualización Jun2018
Si necesito consultarl...
https://oc.ccn.cni.es 18
4. Líneas Futuras. Evolución continua
 Inclusión de nuevas familias de productos.
 Inclusión de...
https://oc.ccn.cni.es 19
4. Líneas Futuras
 Productos para entornos CLOUD.
https://oc.ccn.cni.es 20
4. Líneas Futuras
 Inclusión productos para
ENS categoría Media y
Básica.
 Pendiente de
finaliz...
https://oc.ccn.cni.es 21
5. Conclusiones
https://oc.ccn.cni.es
E-Mails
ccn-pytec@cni.es
itsec.ccn@cni.es
organismo.certificacion@cni.es
Síguenos en
@CCNPYTEC
Nächste SlideShare
Wird geladen in …5
×

#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración.

El Centro Criptológico Nacional (CCN) realiza esta ponencia "CPSTIC: catálogo de productos de seguridad TIC para la Administración", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración.

  1. 1. CPSTIC: Un catálogo de productos de seguridad TIC para la Administración. Centro Criptológico Nacional
  2. 2. EL CPSTIC: UN CATÁLOGO DE PRODUCTOS DE SEGURIDAD TIC PARA LA ADMINISTRACIÓN
  3. 3. https://oc.ccn.cni.eswww.ccn-cert.cni.es Índice 3 1. Introducción 2. ¿Para qué un catálogo de productos? 3. El CPSTIC 4. Estado actual y líneas futuras 5. Conclusiones
  4. 4. https://oc.ccn.cni.es 4 1. Introducción: ¿Qué está pasando?
  5. 5. https://oc.ccn.cni.es Prevención Reacción 5 1. Introducción: ¿Cuánto nos cuesta? Detección Imagen PRESTIGIO Confianza Reputación Negocio DoS Fuga de datos IntegridadValorde marca
  6. 6. https://oc.ccn.cni.es 6 1. Introducción: ¿Qué podemos hacer?  Productos concebidos genéticamente para ser seguros. De seguridad certificada bajo estándares internacionales.
  7. 7. https://oc.ccn.cni.es 7 1. Introducción: El ENS lo tiene claro… Art 18: “En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.” Medidas Anexo 2: “Componentes certificados [op.pl.5]” Categoría ALTA Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
  8. 8. https://oc.ccn.cni.es 8 2. ¿Para qué un Catálogo de productos? ¿Producto certificado producto seguro? Producto certificado: Aquel que ha superado con éxito un proceso de evaluación realizado por un laboratorio independiente y acreditado. Este proceso supone el reconocimiento de la veracidad de su Declaración de Seguridad con un determinado nivel de confianza (EAL).
  9. 9. https://oc.ccn.cni.es 9 2. ¿Para qué un Catálogo de productos? Solo se cumplirá la implicación si la Declaración de Seguridad es… Producto Certificación OJO: ¡La DS la elabora el fabricante!  Completa. Consistente. Técnicamente adecuada.
  10. 10. https://oc.ccn.cni.es 2. ¿Para qué un Catálogo de productos? Corolario: para poder comprobar si un producto reúne las garantías de seguridad requeridas deberíamos:  Exigir certificación del producto de acuerdo a estándares Internacionales (p. ej.: Common Criteria).  Determinar qué funcionalidades de seguridad debe implementar el producto de acuerdo a su naturaleza o uso final.  Comprobar que la certificación incluye esas funcionalidades. Necesidad de un catálogo que facilite esta tarea
  11. 11. https://oc.ccn.cni.es 11 3. El CPSTIC. Alcance  Productos cualificados. Información sensible ENS  Productos aprobados. Información clasificada Aprobados CIFRA (CCN_STIC- 103) Aprobados Cualificados Certificados
  12. 12. https://oc.ccn.cni.es 12 3. El CPSTIC. Alcance  Niveles de exigencia para la catalogación de un producto. (genérico) Aprobados Cualificados Certificados Certificado Cualificado Aprobado
  13. 13. https://oc.ccn.cni.es 3. El CPSTIC. Alcance  Que productos se incluyen?  Productos que Implementan funcionalidades de seguridad en un sistema de forma activa.  Plataformas. Excluidos productos de auditoría de seguridad: análisis de vulnerabilidades, análisis de código, etc.
  14. 14. https://oc.ccn.cni.es 14 CCN- STIC- 140 CCNS- STIC- 106 CCN- STIC- 105 Normativa:  CCN-STIC-140. Taxonomías de referencia para productos de seguridad TIC.  CCN-STIC-106. Procedimiento de inclusión de productos TIC cualificados en el CPSTIC.  CCN-STIC-105. CPSTIC. 3. El CPSTIC. Normativa Cualificación:
  15. 15. https://oc.ccn.cni.es 15 Taxonomía de referencia: 3. El CPSTIC. CCN-STIC 140 • Enrutadores • Cortafuegos • Pasarelas de intercambio de datos • … Protección de interconexiones • Equipos de cifra. • Herramientas de borrado seguro • Dispositivos para gestión de claves • … Confidencialidad e integridad de la información • Dispositivos biométricos • Tarjetas inteligentes • Dispositivos de firma electrónica • … Identificación, autenticación y control de acceso Para cada familia se definen requisitos fundamentales de seguridad (RFS). RFS RFS RFS
  16. 16. https://oc.ccn.cni.es 16 3. El CPSTIC. CCN-STIC 106  Productos con certificación CC. Nivel mínimo EAL requerido. Se comprobará:  Que la DS cumple los RFS.  Que los algoritmos criptográficos son los adecuados.  Análisis de riesgos complementario.  Podrá no exigirse certificación CC cuando:  Producto de interés estratégico para Administración.  No existen productos sustitutivos en el mercado.  Posibilidad de evaluación STIC.
  17. 17. https://oc.ccn.cni.es 17 4. Estado actual Publicado el CPSTIC Dic2017. Última Actualización Jun2018 Si necesito consultarlo… ¿Dónde puedo encontrarlo?.  Guía CCN-STIC-105. Catálogo de Productos de Seguridad TIC (CPSTIC). (https://www.ccn-cert.cni.es/guias.html)  Web del Organismo de Certificación. (https://oc.ccn.cni.es) En crecimiento continuo a medida que se estudien nuevas solicitudes.
  18. 18. https://oc.ccn.cni.es 18 4. Líneas Futuras. Evolución continua  Inclusión de nuevas familias de productos.  Inclusión de nuevos productos.  Mantenimiento de los actuales.
  19. 19. https://oc.ccn.cni.es 19 4. Líneas Futuras  Productos para entornos CLOUD.
  20. 20. https://oc.ccn.cni.es 20 4. Líneas Futuras  Inclusión productos para ENS categoría Media y Básica.  Pendiente de finalización Metodología CBS (Certificación Básica de Seguridad). Menor carga de documentación 25 días / 8 semanas Coste reducido
  21. 21. https://oc.ccn.cni.es 21 5. Conclusiones
  22. 22. https://oc.ccn.cni.es E-Mails ccn-pytec@cni.es itsec.ccn@cni.es organismo.certificacion@cni.es Síguenos en @CCNPYTEC

×