jtsec | Blog | Componentes del IACS Esquema de Certificación de Ciberseguridad (ICCS)

- Sept

2020

Publicado por: José Ruiz

Componentes del IACS Esquema de Certificación de Ciberseguridad (ICCS)

El sector industrial viene exigiendo desde hace tiempo un plan específico de ciberseguridad para anticipar y preparar sus infraestructuras, sabiendo que éstas son objetivos críticos y potenciales para los ciberataques. .

Por esta razón, en 2016 se creó la ERNCIP, un grupo temático basado en "Estudios de casos para la ciberseguridad del IACS", que propuso una hoja de ruta para el establecimiento de un plan de cumplimiento y certificación de la ciberseguridad para los componentes del IACS en Europa.

ERNCIP ha publicado recientemente un informe sobre las Recomendaciones para la aplicación de un plan de certificación de la ciberseguridad de los componentes del IACS en Europa (ICCS) elaborado con una referencia y coherencia estrecha a la Ley de seguridad cibernética de la Unión Europea (CSA).

Este informe pretende ser la base más sólida para un futuro Esquema de Certificación de Ciberseguridad Europea dedicado a los Componentes de Sistemas de Automatización y Control Industrial.

Un nuevo esquema para el Sector Industrial

A continuación se resumen los principales aspectos de las recomendaciones del esquema de la ICCS:

Centrarse en la certificación de los productos. El alcance del esquema no abarcará el sistema o los servicios.

3 Niveles de Garantía han sido definidos con un mapeo directo del CSA.

Cumple plenamente con el CSA.

Las actividades de evaluación se definen de manera agnóstica y la terminología utilizada no está sesgada por una norma. Corresponderá al grupo ad hoc definir la norma o conjunto de normas que puedan utilizarse para cumplir los requerimimientos del ICCS. Se proporcionan referencias a diferentes normas, como por ejemplo Common Criteria, IEC 62443, LINCE, CSPN pero las recomendaciones contemplan la posibilidad de la coexistencia de diferentes vías de certificación.

La ICCS implica tres niveles de certificación de seguridad (basic, substancial y high), dependiendo del nivel en el que se quiera certificar el producto. Todas las certificaciones necesitan un tercero acreditado, no así la Declaración de Conformidad, que basta con una autoevaluación:

Dependiendo del nivel en que el vendedor quiera certificar el producto, los elementos necesarios para la evaluación varían:

Cada nivel de certificación requiere diferentes actividades de evaluación como podemos ver a continuación:

Puede encontrar más información relacionada con el ICCS en la web del IACS Components Cybersecurity Certification Scheme o en el reporte.

Cómo puede jtsec ayudarle con su ICCS?

José Ruiz, nuestro CTO, ha sido el Co-Coordinator y Editor at en el grupo temático estando muy involucrado en el desarrollo del proyecto. En jtsec estamos para ayudarle y responder cualquier pregunta que pueda tener, por lo tanto, no dude en contactar si desea más información.

tags

José Ruiz/CTO

José es consultor experto en el estándar Common Criteria con más de 10 años de experiencia. Posee una amplia experiencia en normas de seguridad en el campo de la tecnología de la información como FIPS 140-2, GP TEE o FIDO y ha servido como evaluador, líder técnico y consultor para Epoche & Espri y como gerente de laboratorio de CC y Cyber Security Service Manager para Applus +. Su experiencia lo ha llevado a participar como ponente en varias ediciones de la ICCC (International Common Criteria Conference), ICMC (International Cryptographic Module Conference) y Securmatica. Es el “Chairmande un subgrupo dentro de la iniciativa ISCI WG1 Eurosmart para desarrollar la Metodología CC. Ha sido nombrado revisor por la comisión europea del grupo ERNCIP \IACS Cybersecurity certification".

En 2017 funda con Javier lo que hoy se conoce como jtsec. Actualmente es el encargado de potenciar la expansión comercial de la empresa desde la sede en Madrid como Jefe de Desarrollo de Negocio (CBDO). Además, representa a jtsec en diversos foros nacionales e internacionales y es el responsable de calidad.