Las listas de productos TIC en España

Blog

29
- Mayo
2020
Publicado por: Javier Tallón
[Comunicación jtsec]
Las listas de productos TIC en España

Las listas de productos TIC en España

Una forma de hacer destacar sobre la competencia y dar valor a un producto o sistema TIC, es demostrar la capacidad de este para manejar información de forma segura, que sea ciberseguro, y para ello lo más recomendable es que un tercero certifique el producto de acuerdo a los diferentes estándares de ciberseguridad.

En España, es el Centro Criptográfico Nacional (CCN) el organismo asignado expedir la aprobación de ciberseguridad en sus diferentes estándares. En el CCN podemos encontrar, entre otras, las siguientes partes integradas: el Organismo de Certificación (OC) y el Catálogo CPSTIC.

¿Qué es el Organismo de Certificación y qué funciones realiza?

Por un lado tenemos el Organismo de Certificación español, que tras el informe de evaluación de un laboratorio acreditado y otras pruebas, expide un certificado garantizando que un producto cumple los requisitos de seguridad de una norma (LINCE, Common Criteria, ISO15408/ISO18045, etc…) de acuerdo a unas especificaciones concretas de seguridad. Estas especificaciones de seguridad del producto o sistema vienen detalladas en la Declaración de Seguridad. La Declaración de Seguridad debe ser pública para permitir conocer al consumidor qué se ha probado exactamente y contra qué metodología. Hay tres tipos de certificación: Funcional, Criptológica y TEMPEST.

Este organismo publica todos los productos certificados en un Listado de productos certificados por el Organismo de Certificación español que se divide en 50 categorías.

Es importante tener en cuenta que existen otros muchos Organismos de Certificación distintos al español que realizan esta misma labor de certificar productos, existiendo acuerdos de reconocimiento mutuo de manera que, si un producto está certificado en España, puedes hacer valer su certificado en otros países, y viceversa. Para más información se puede consultar la lista de todos los productos certificados Common Criteria

La Declaración de Seguridad se encuentra publicada en el Listado de Productos Certificados, es obligatoria su publicación a excepción que sea un producto clasificado, pero si el producto se certifica fuera de España, debemos remitirnos a la web de Common Criteria.

Catálogo de productos CPSTIC

Por otro lado, tenemos al Catálogo CPSTIC, de más reciente creación y que publica un Listado de Productos de Seguridad TIC. La finalidad última del catálogo es que los responsables de compras no tengan que revisar las Declaraciones de Seguridad de cada producto para ver si un producto se adecua a sus necesidades, de manera que el equipo del CPSTIC se implica en la aprobación de las Declaraciones de Seguridad de los productos. Hay que tener en cuenta que, si un producto maneja información clasificada o va a ser adquirido y utilizado por los organismos públicos o empresas privadas que están bajo el Esquema Nacional de Seguridad ENS, necesita que esté incluido en el catálogo CPSTIC.

También el Catálogo CPSTIC realiza una labor de actualización y seguimiento de que los productos incluidos en el catálogo siguen manteniendo sus características de seguridad pese a las nuevas amenazas que aparecen.

El catálogo CPSTIC consta de dos listados:

- El Listado de Productos Cualificados: Recopila los productos que pueden ser usados para el manejo de información sensible bajo el Esquema Nacional de Seguridad (ENS). Los productos de esta lista con clasificación “ALTA”, podrán emplearse en sistemas clasificados como ENS de cualquier categoría, mientras que los productos con clasificación “MEDIA” no pueden ser empleados en sistemas clasificados como ENS categoría ALTA, pero si en MEDIA y BASICA.

En este listado, los productos también se clasifican en Categorías (las categorías de las listas del CPSTIC no están alineadas con las categorías del listado de productos certificados) y familias según las taxonomías de referencia que podemos encontrar en la Guía CCN-STIC 140.

Para cada categoría, Aquí puede encontrar el enlace a los Requisitos Fundamentales de Seguridad (RFS) publicados como anexos aquí.

A veces el certificado expedido para un producto puede no abarcar todas las RFS del anexo aplicable, por lo que el CCN puede exigir que un laboratorio acreditado realice justificaciones profundas o pruebas complementarias.

Puedes encontrar aquí la Lista de Productos Cualificados

- Listado de Productos Aprobados: si un producto maneja información clasificada nacional o de propiedad de otros países u organizaciones internacionales (como OTAN o Unión Europea) este listado es en donde debe aparecer publicado. La información clasificada puede ser de los siguientes tipos: Difusión Limitada, Confidencial, Reservado y Secreto. Los productos aprobados están agrupados en las categorías de: control de acceso, seguridad en la explotación, protección de las comunicaciones, monitoreo de seguridad, protección de la información y soportes de información, protección de equipos y servicios, comunicaciones tácticas seguras y TEMPEST. Puedes encontrar aquí la lista de Productos Aprobados

Tanto para entrar en el Catálogo de Productos Cualificados como para acceder Catálogo de Productos Aprobados es necesario que tu producto o sistema tenga una certificación de ciberseguridad (por ejemplo LINCE o Common Criteria). Desde jtsec recomendamos la certificación LINCE para productos de nivel TIC medio o bajo y la certificación Common Criteria para el nivel alto.

LINCE es una certificación “ligera” y práctica, apta para cualquier empresa, también para las pequeñas empresas que quieren dar difusión a sus primeros productos o filiales españolas de multinacionales. De hecho, jtsec es el primer laboratorio acreditado por ENAC y el CCN para evaluar la seguridad de productos TIC según la metodología LINCE.

Una vez que un producto entra en el catálogo, se requiere que presente en 6 meses (para el caso de Productos Cualificados) o inmediatamente (para el caso de Producto Aprobados) una Guía de Procedimiento de Empleo Seguro, que aparecerá publicada, junto al producto, en la web del cátalogo CPSTIC.

Productos certificados en el Catálogo de Seguridad CPSTIC

Producto Fabricante Categoría
Intercept X Advanced with EDR 2.5.4 BETA/ 10.8.6/2.0.16 BETA. Sophos LTD. Seguridad en la explotación.
MIL2004-2xHSR-L3. 19.12 SoCe System-on-Chip engineering – Novatronic Sistemas Protección de las comunicaciones
ESET Endpoint Security 7.2.2055.3 ESET SPOL S.R.O Protección de las comunicaciones
McAfee Data Loss Prevention (DLP) Endpoint with ePolicy Orchestrator 5.10 11.1 McAfee, LLCO Protección de la Información y los Soportes de información
Stormshield Network Security UTM/NG-Firewall Stormshield SAS Protección de las comunicaciones
Check Point Endpoint Security vE82.40 Check Point Software Technologies Ltd Seguridad en la explotación
McAfee, Inc. Network Security Platform (NS Sensor v 9.1.17.100 and NSM v9.1.21.20.x) McAfee, LLCO Monitorización de la seguridad

tags
Javier Tallón/Director Técnico

Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
Análisis de la Ciberdefensa en España antes de FEINDEF 2025
Mayo 8, 2025
Análisis de la Ciberdefensa en España antes de FEINDEF 2025
Common Criteria Statistics 2024
Febr 24, 2025
Common Criteria Statistics 2024
jtsec - Nuestro LINCE 2024
Febr 3, 2025
jtsec - Nuestro LINCE 2024
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
Enero 17, 2025
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
jtsec & Applus+ Laboratories en el ICCC24
Nov 14, 2024
jtsec & Applus+ Laboratories en el ICCC24
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Oct 14, 2024
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Common Criteria Statistics 2023
Junio 17, 2024
Common Criteria Statistics 2023
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
Abril 23, 2024
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
CATEGORÍAS