El CCN (Centro Criptológico Nacional) ha publicado en su página web, a fecha de 25/10/2017, las guías CCN-STIC 102 y 106 en las que se recogen los pasos a seguir para la Aprobación de los productos de Seguridad TIC para el manejo de información nacional clasificada y su inclusión en el Catálogo de Productos de Seguridad TIC (CPSTIC).
Estas guías se encuadran dentro de la serie de documentos CCN-STIC, en la que el CCN viene elaborando y difundiendo guías de seguridad de las tecnologías de la información y la comunicación (STIC). El objetivo de estas guías es facilitar el cumplimiento de los requisitos de seguridad de los sistemas TIC de la Administración, en el contexto del Esquema Nacional de Seguridad. Con esta serie de guías CCN-STIC, se pretende establecer un marco de referencia que sirva de apoyo para que el personal de la Administración a la hora de proporcionar seguridad a los sistemas TIC bajo su responsabilidad.
Los productos de seguridad que estén destinados a trabajar con información nacional clasificada deben cumplir un conjunto de garantías de seguridad sobre la información, las cuales deben quedar acreditadas mediante un proceso de evaluación y certificación de producto. En España, el Centro Criptológico Nacional (CCN) es el responsable de evaluar y certificar este tipo de productos. Para superar adecuadamente el proceso de certificación es aconsejable contar con asesoramiento experto en la materia. Este es uno de los servicios especializados que ofrecemos en jtsec, y que puede ahorrar mucho tiempo y dinero debido a las evaluaciones no superadas por deficiencias en la seguridad del producto o su documentación.
En la primera de las dos guías publicadas, la Guía CCN-STIC 102, se describe el procedimiento a seguir para la Aprobación de los productos de Seguridad TIC para el manejo de información nacional clasificada y su inclusión en el Catálogo de Productos de Seguridad TIC (CPSTIC). Esta guía es aplicable a productos que vayan a ser adquiridos para utilizarse en sistemas que procesen información nacional clasificada. Algunos puntos a destacar dentro del contenido de esta guía son los siguientes:
- La evaluación y certificación de un producto de seguridad TIC abarcará aspectos relativos a la implementación de los requisitos funcionales de seguridad de dicho producto, así como otros aspectos del producto que aumentan su seguridad y la mantengan a lo largo de la vida útil del mismo.
- Los productos que utilicen criptografía para proteger la confidencialidad, integridad, autenticidad y/o el no repudio de la información nacional clasificada, debe tratar la seguridad criptológica de los algoritmos empleados, su implementación en el sistema donde se incluyan, y la eficacia de sus mecanismos de autoprotección.
- Los productos de seguridad TIC que superen los mínimos requisitos de seguridad exigibles, deberán verificar también su seguridad frente a emanaciones no deseadas (TEMPEST).
- En los productos de seguridad TIC que necesiten de otros productos de seguridad para su funcionamiento, estos últimos deberán incluirse en el proceso de aprobación o encontrarse ya aprobados para el mismo nivel de clasificación o superior.
Los aspectos relativos a la seguridad de los productos en el tratamiento de la información, que son considerados durante la evaluación y certificación del producto, deben ser revisados y analizados por expertos en el campo de la seguridad. De lo contrario, las probabilidades de no superar el proceso de evaluación son elevadas. En jtsec contamos con amplia experiencia en este campo, pues hemos llevado a cabo labores de consultoría para ayudar a superar procesos de certificación de seguridad a gran cantidad de productos.
La segunda de las guías publicadas, la Guía CCN-STIC 106, incluye el procedimiento y las evaluaciones requeridas a un producto de seguridad TIC para ser incluido en el apartado de Productos Cualificados, dentro del Catálogo de Productos de Seguridad TIC (CPSTIC). Este catálogo, que se publicará próximamente bajo la denominación CCN-STIC 105, es un listado de referencia de productos de seguridad TIC supervisado por el CCN que proporcione un nivel mínimo de confianza al usuario final en los productos adquiridos, con las mejoras de seguridad derivadas del proceso de evaluación y certificación, y en su empleo seguro en las redes de la Administración garantizado por un Procedimiento de Empleo.
Según la Guía CCN-STIC 106, para la inclusión de un producto en el catálogo, el CCN tendrá en cuenta una serie de criterios, como:
- La clasificación de la información que puede manejar (Difusión Limitada, Confidencial, Reservado, Secreto)
- Las características de seguridad del producto
- La categoría del sistema de información en el que puede emplearse (alta, media, básica)
- Las certificaciones aportadas
- El entorno donde se vaya a emplear
En función de esta información, se determinarán las pruebas o evaluaciones que deberá superar el producto de seguridad TIC correspondiente.
Varios de los productos incluidos en el Catálogo de Productos de Seguridad TIC (CPSTIC) han contado con el apoyo de jtsec para superar las evaluaciones requeridas para su inclusión, a través de un trabajo de consultoría profesional, fundamental para el éxito en la evaluación
Ambas guías pueden consultarse en el portal del CCN-CERT.
