En varias ocasiones hemos comentado en nuestro blog el proceso que se ha de seguir para incluir productos o servicios en el catálogo CPSTIC. El catálogo CPSTIC es una guía de productos de seguridad TIC recomendados por el CCN. Todos los productos y servicios ahí incluidos han superado una evaluación acorde con la metodología LINCE o Common Criteria, por lo que ofrecen unas garantías de seguridad contrastadas por el CCN.
¿Qué es un producto cualificado? Definición y casos.
Son productos de seguridad TIC que han superado con éxito un proceso que cumple con los requisitos establecidos por el CCN para la familia o familias de productos que pertenezca. Por todo ello, estos productos son aptos para ser utilizados en sistemas bajo el alcance del ENS cuya categoría máxima sea la categoría para la cual se han cualificado (ALTA o MEDIA/BÁSICA). Todos los productos que han finalizado el proceso de cualificación poseen, además, un Procedimiento de Empleo Seguro.
Mediante la cualificación se garantiza que la funcionalidad de seguridad que incluye el producto es la adecuada para su uso en la administración. Se puede encontrar el listado de productos y servicios cualificados en el “Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC)” que publica el CCN (CCN-STIC-105 o en https://www.ccn.cni.es/cpstic)
Para cualificar un producto, se debe dar alguna de las siguientes casuísticas:
*Nota: Hay que tener en cuenta que los servicios en la nube no se pueden certificar a día de hoy.
¿Qué es un producto certificado? Definición y casos.
Los productos certificados son aquellos que han superado con éxito un proceso de evaluación realizado por un laboratorio independiente y acreditado, como jtsec.
Para ello se ha de realizar una Declaración de Seguridad, que es el documento base donde se refleja la funcionalidad de seguridad del producto que será evaluado y la descripción de las distintas relaciones entre el producto y el entorno en el cual será utilizado.
Obtener una certificación supone el reconocimiento de la veracidad de su Declaración de Seguridad. Como ya hemos comentado, en la actualidad, se utilizan principalmente dos metodologías de certificación: Common Criteria (de reconocimiento internacional) y LINCE (de reconocimiento nacional).
¿Por qué no se certifican servicios en la nube?
Cuando se certifica un producto, se hace sobre una versión concreta y la evaluación se hace en la modalidad on premise, es decir, se evalúa la seguridad del producto en un momento preciso y pudiendo identificar con exactitud el objeto de la evaluación. Es como si hiciéramos una fotografía de la ciberseguridad del producto en ese instante, en esa versión.
Sin embargo, cada vez existen más productos/servicios desarrollados directamente en la nube (Cloud nativo). Su despliegue se realiza en la nube y normalmente son desarrollos en constante evolución impidiendo identificar con exactitud el objeto de la evaluación.
Por este hecho, no es posible a día de hoy con las metodologías de evaluación existentes certificar un servicio en la nube.
¿Debe mi producto estar obligatoriamente certificado LINCE o Common Criteria para ser incluido en el catálogo CPSTIC?
La respuesta es NO, el producto no debe necesariamente obtener una certificación en LINCE o Common Criteria. Si bien es cierto que debe superar, como mínimo, una evaluación que cumpla con Requisitos Fundamentales de Seguridad (RFS) correspondientes a su familia, definidos por el CCN. Todos los productos y servicios incluidos en el catálogo CPSTIC están cualificados, pero no todos ellos certificados.
Somos expertos en certificar y cualificar productos para el catálogo CPSTIC
En jtsec somo el laboratorio líder en inclusión de soluciones en el catálogo CPSTIC por las diferentes vías posibles.
Si tienes cualquier duda, estamos encantados de ayudarte en tu proceso de certificación/cualificación, aplicando el enfoque que más se ajuste a tus necesidades. ¡Hablemos!
