ENISA publica el EUCC 1.1.1 el primer esquema europeo de ciberseguridad para productos TIC.

Blog

26
- Mayo
2021
Publicado por: Javier Tallón
ENISA publica el EUCC 1.1.1 el primer esquema europeo de ciberseguridad para productos TIC.

ENISA ha publicado esta misma semana una actualización del EUCC (Common Criteria based European candidate cybersecurity certification scheme por sus siglas en inglés). Un esquema del que estamos profundamente orgullosos de que se publique, ya que, jtsec ha participado activamente a través del Ad Hoc Working Group y del Stakeholders Cybersecurity Certification Group en la creación del esquema candidato nombrado por ENISA como válido para la certificación de productos TIC.

Además, admite el uso de la metodología de gestión de parches para verificar su validez. Esta gestión de parches es desarrollada en ISO con jtsec como editor de la misma.

¿Qué significa este nuevo esquema en el ámbito europeo?

EL EUCC es el primer esquema publicado según las directrices del CSA (Cybersecurity Act), que plantea la creación de un marco común europeo para la certificación de productos y servicios TIC “ciberseguros”. Se puede considerar un esquema horizontal, ya que puede ser utilizable en varias competencias sectoriales.

EUCC está basado en Common Criteria (ISO/IEC 15408 y ISO/IEC 18045) y está destinado a reemplazar los actuales esquemas nacionales de certificación basados también en Common Criteria (en España ENECSTI).

En el siguiente gráfico observamos el proceso que ha seguido el EUCC hasta llegar a su aprobación por parte de la Comisión Europea.

La existencia de esquemas de ciberseguridad reconocidos por la Comisión Europea supone un marco en el que los laboratorios de ciberseguridad, empresas privadas y administraciones públicas pueden atenerse a la hora de certificar sus productos dentro de Europa, en el caso del EUCC, para productos TIC.

Desde jtsec siempre hemos apostado por la estandarización y unificación de criterios en cuanto a certificaciones de ciberseguridad se refiere, por lo que la creación del EUCC es un gran hito a nivel europeo.

Nuestra colaboración en el desarrollo del EUCC

Javier Tallón, Director Técnico en jtsec Beyond IT Security, ha formado parte del Grupo de Trabajo ENISA ad-hoc Working Group sobre el esquema sucesor de SOG-IS, encargado de desarrollar el esquema EUCC. Por ello, estamos muy orgullosos de que, finalmente, haya sido este esquema candidato el seleccionado por la Comisión Europea para la certificación de ciberseguridad de productos TIC.

Como miembro del AhWG, Javier ha participado activamente en los grupos de trabajo temáticos TG2 y TG5, correspondientes a los “Necessary elements to specify, evaluate and certify products in a harmonised way” y al “Continuity assurance and handling of vulnerabilities” y es Rapporteur del TG7 “Guidance on harmonized interpretations of ISO/IEC 17025 and 17065”.

Por otra parte, ENISA ha confiado en jtsec (en colaboración con Red Alert Labs y KPMG) para la creación de tres nuevas guías:

  • Requisitos del ITSEF para la concesión de licencias para realizar evaluaciones VAN.3

  • Guía sobre los requisitos de los fabricantes

  • Indicaciones sobre la seguridad de la información

    Además, recientemente nuestro CTO, José Ruiz, también ha sido incorporado al AhWG como experto en Common Criteria para la creación de una etiqueta que permita al gran público identificar los productos certificados en el nuevo esquema, no sólo por el nivel de garantía de acuerdo al CSA (Básico / Sustancial / Alto), sino además permitiendo introducir el nivel de garantía utilizando los Requisitos de Seguridad de Common Criteria (EAL4+ALC_FLR.1).

    En este grupo de trabajo colaborará con otros expertos en vigilancia del mercado y etiquetado como los responsables del marcado CE o de la etiqueta PEGI de uso en videojuegos.

    *fuente original ENISA

    Finalmente estamos muy orgullosos que el trabajo que hemos hecho (¡y seguimos!) haciendo en ISO en estos últimos años de un magnífico fruto, permitiendo el uso de la metodología de Gestión de Parches desarrollada en ISO.

    Por supuesto aún queda algún tiempo para que el esquema esté finalizado, así que esperamos poder seguir brindando todo nuestro apoyo a ENISA y al ECCG.

    ¿Cómo se espera que se adapte el nuevo esquema EUCC?

    En las diferentes conversaciones con la Comisión Europea, se ha considerado que el escenario de un "big bang" es el más probable, ya que consiste en lo siguiente:

  • Todos los esquemas existentes cesan en la misma fecha.

  • No hay emisión paralela de certificados EUCC y SOG-IS MRA para los mismos productos TIC durante el periodo de transición. Para minimizar este impacto, ENISA está creando guías de transición que permitirán que laboratorios y fabricantes se adapten a las nuevas condiciones.

    Existirá un periodo de transición, no obstante, que permitirá:

  • Finalización de los proyectos de certificación actuales en el marco de los esquemas existentes, o su fácil conversión en proyectos de la EUCC.

  • Agilización de la transferencia de los certificados que requieran mantenimiento a largo plazo, por lo tanto bajo el esquema EUCC, o la reutilización para evaluaciones y certificaciones compuestas bajo el esquema EUCC.

    Además, el esquema prevé algunas condiciones de reutilización posibles para facilitar la transición (por ejemplo, reutilización de las actividades de certificación o reutilización de los resultados de la evaluación por pares).

    Novedades en la versión 1.1.1

    Los principales cambios se refieren a:

  • Anexión y aclaración de definiciones.

  • Cooperación sistemática con el ECCG para la elaboración de documentos de orientación en apoyo del esquema.

  • Aclaración de las actividades relacionadas con el mantenimiento de los certificados.

  • Aclaración de los plazos asociados al tratamiento de las no conformidades, incumplimientos y vulnerabilidades.

  • Modificación de la situación del nuevo proceso de gestión de parches, ahora en anexo y en fase de prueba.

  • Modificación del logo asociado a los certificados, permitiendo establecer un logo adicional específico para el esquema y mencionar el nivel de evaluación alcanzado además del nivel CSA.

  • Aclaración de los requisitos de la evaluación por pares y simplificación del anexo asociado.

  • Actualización de los anexos 7 y 9 en función de su reciente evolución en el SOG-IS, y adición de un anexo relativo a la limpieza y clarificación de las ST.

    Siguientes pasos

    Esta versión del esquema candidato será la utilizada por la Comisión Europea para la redacción del Implementig Act, por el cual el esquema pasa a formar parte de la legislación europea.

    Este proceso será largo y complejo, y probablemente requiera de nuevas discusiones y guías para facilitar la transición y uso del nuevo esquema, pero el avance es imparable y pronto será una realidad en toda Europa a la que debemos adaptarnos cuanto antes.

    *fuente original ENISA

    ¿Cómo podemos ayudarte a evaluar tu producto cumpliendo con el EUCC?

    Si estás pensando en certificar tu producto TIC bajo el esquema EUCC, no dudes en contactar para que podamos asesorarte. Además, como a laboratorio experto en Common Criteria, te ayudamos a que tu producto obtenga la certificación en el menor tiempo posible, agilizando el proceso gracias a nuestro expertise técnico.

  • Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.