¿Qué es CPSTIC y cuales son las categorías de certificación que mi producto puede alcanzar?
El Catálogo se concibe como una herramienta que ofrece un listado de los productos y servicios de seguridad TIC que han sido evaluados y cualificados según lo establecido en las normativas de seguridad del CCN.
Tanto entidades gubernamentales como organizaciones privadas consultan este catálogo para asegurarse de seleccionar y adquirir soluciones tecnológicas que cumplan con los estándares de seguridad impuestos por el CCN. En este listado se encuentran los productos que poseen certificaciones como LINCE para nivel Medio del ENS o Common Criteria (CC) para nivel Alto del ENS.
¿Cuál es la diferencia entre categoría Media y Alta del ENS?
Dentro de la categoría ENS Media, se engloban aquellos productos certificados que se dirigen a ser integrados con sistemas que, aunque no son críticos, manejan información sensible o realizan funciones importantes para la continuidad de las operaciones de negocios y servicios públicos.
Por otro lado, los productos que se certifican para entrar en la categoría Alta del ENS, son los que ofrecen un nivel más alto de seguridad, pues suelen incluir funcionalidades avanzadas de protección como mecanismos criptográficos robustos. Esta clasificación se recomienda para aquellos productos que se pretendan integrar con sistemas críticos, para prevenir consecuencias graves dentro del sistema de seguridad nacional, de la salud pública o del sector económico.
Un producto en Categoría Alta puede participar en pliegos públicos en Categoría Media, pero no al revés. Por lo que habrá que analizar el mercado y los pliegos para decidir a que categoría dirigir el producto.
Es posible realizar la transición de una certificación de categoría Media a Alta del ENS. Este proceso se detalla más adelante.
¿Cómo puedo incluir mi producto con certificación Common Criteria en la categoría ENS Alta?
Si el producto dispone de una certificación Common Criteria, el proceso de inclusión en el catálogo como producto de categoría ENS Alta requerirá:
- Análisis diferencial: análisis en el que se comparan los aspectos evaluados bajo la certificación Common Criteria contra los requisitos especificados en la taxonomía de categoría ENS Alta de CPSTIC (normalmente se trata de un Perfil de Protección de Common Criteria y algún que otro requisito extra).
- STIC Complementaria: En caso de que el análisis anterior revele la necesidad de pruebas adicionales para cumplir con los estándares de CPSTIC, dichas pruebas se deben realizar a través de una STIC complementaria. Este procedimiento garantiza que el producto cumple con todos los criterios y requisitos necesarios para su aceptación en CPSTIC.
Ambos procesos deben realizarse con un laboratorio acreditado y bajo validación de CCN.
¿Cómo puedo incluir mi producto en categoría ENS Alta sin una certificación Common Criteria?
Los productos aspirantes a la Categoría ALTA del ENS generalmente requieren una certificación Common Criteria + una STIC complementaria, mientras que para la Categoría MEDIA se suele requerir una certificación LINCE. Sin embargo, un producto con certificación LINCE puede optar por la Categoría ALTA del ENS si cumple ciertos requisitos:
- Debe tener certificación LINCE vigente que cubra los requisitos de la Categoría MEDIA.
- La criptografía implementada debe cumplir con los requisitos de la Categoría ALTA.
- Se debe realizar un análisis comparativo (DELTA) de los requisitos evaluados en categoría ENS Media contra los exigidos en ENS Alta (normalmente se trata de un Perfil de Protección de Common Criteria) identificando los requisitos adicionales necesarios que serán probados por el laboratorio.
- Se necesita un compromiso firmado con un laboratorio acreditado para el mantenimiento en Catálogo del producto en Categoría Alta.
¿Qué es el mantenimiento en Catálogo del producto en Categoría Alta?
Un producto que ha entrado en categoría Alta del ENS a través del proceso descrito anteriormente debe realizar cada año un mantenimiento del producto en Categoría Alta. Para ello, el fabricante deberá, en un plazo máximo de un año desde la entrada en Catálogo, realizar un análisis de vulnerabilidades sobre la misma versión del producto cualificado, y realizar las pruebas asociadas si fueran necesarias con un laboratorio acreditado.
Es un proceso obligatorio que se debe repetir año a año para mantener el producto en Categoría Alta del ENS. CPSTIC solicitará un contrato con un laboratorio acreditado a los fabricantes para mantener los productos en Catálogo. La fecha exacta que determina el siguiente periodo de renovación será la fecha en la que se finalice el análisis, es decir, si un producto se revisa un mes antes de su fecha de renovación, la nueva fecha de renovación se ajustará al mismo mes del año siguiente, no al mes en que originalmente se programó la primera renovación (se dispone de un ejemplo en el siguiente diagrama).
Se recomienda programar estos procesos con 2 a 3 meses antes de que cumpla la fecha de renovación. Esto proporciona un margen adecuado para realizar pruebas adicionales o resolver cualquier problema que se pueda identificar, ya que cualquier retraso podría suponer la salida del producto del catálogo.
¿Qué es la Estrategia de Cualificación Continua?
La Estrategia de Cualificación Continua, descrita en la guía CCN-STIC-106, se introduce como solución a los desafíos que plantea la certificación de productos de seguridad TIC bajo esquemas tradicionales. Esta estrategia es planteada por CPSTIC para procurar un equilibrio entre la necesidad de mantener altos estándares de seguridad y la realidad del rápido ciclo de vida del desarrollo tecnológico actual.
La Cualificación Continua consiste en actualizar el Catálogo con una versión del producto posterior a la evaluada. Para ello, se debe realizar, 1) un Análisis diferencial entre la versión evaluada en el pasado y la versión actual + las pruebas asociadas si fueran necesarias; y 2) un análisis de vulnerabilidades + las pruebas asociadas si fueran necesarias.
Ojo, un proceso de cualificación continua eliminará del Catálogo la versión evaluada en el pasado, sustituyéndola por la actual. Si desea mantener la versión evaluada y además introducir en Catálogo una versión más actualizada se deberán realizar dos procesos independientes: un mantenimiento en Catálogo del producto para la versión evaluada en el pasado y una Cualificación Continua para la versión actual.
La Cualificación Continua también debe de renovarse año a año.
¿Hasta cuándo puedo realizar un mantenimiento de mi producto en Catálogo o realizar una Cualificación Continua?
CPSTIC define un plazo de 5 años desde la entrada en Catálogo, por la cual habría que realizar un proceso de evaluación desde 0. Si el producto pierde soporte, o se encuentran vulnerabilidades críticas, el plazo sería menor.
¿Qué sucede si mi solución es cloud?
En este contexto, CPSTIC reconoce que estas soluciones experimentan cambios drásticos por lo que deben someterse a un proceso de recertificación desde 0 cada dos años. Por ello, siempre bajo aprobación de CPSTIC, ciertas soluciones Cloud podrán entrar directamente a Categoría Alta del ENS durante dos años, siempre que cumplan con los requisitos de seguridad que se exigen para la categoría Alta del ENS.
¿Los productos con componentes on-premise y cloud pueden recurrir a estas estrategias?
Los componentes que se despliegan en local (on-premise) pueden recurrir a la cualificación continua o al mantenimiento en Alta, sin embargo, aquellos componentes de la solución que se encuentren en la nube requieren iniciar el proceso de certificación desde el principio como se ha definido en las soluciones cloud.
Para obtener más información sobre esto servicios y cómo puede beneficiar a su organización, le invitamos a ponerse en contacto con nosotros.
