ENISA publica el EUCC 1.1.1 el primer esquema europeo de ciberseguridad para productos TIC.

Blog

26
- Mayo
2021
Publicado por: Javier Tallón
[Certificación]
ENISA publica el EUCC 1.1.1 el primer esquema europeo de ciberseguridad para productos TIC.

ENISA ha publicado esta misma semana una actualización del EUCC (Common Criteria based European candidate cybersecurity certification scheme por sus siglas en inglés). Un esquema del que estamos profundamente orgullosos de que se publique, ya que, jtsec ha participado activamente a través del Ad Hoc Working Group y del Stakeholders Cybersecurity Certification Group en la creación del esquema candidato nombrado por ENISA como válido para la certificación de productos TIC.

Además, admite el uso de la metodología de gestión de parches para verificar su validez. Esta gestión de parches es desarrollada en ISO con jtsec como editor de la misma.

¿Qué significa este nuevo esquema en el ámbito europeo?

EL EUCC es el primer esquema publicado según las directrices del CSA (Cybersecurity Act), que plantea la creación de un marco común europeo para la certificación de productos y servicios TIC “ciberseguros”. Se puede considerar un esquema horizontal, ya que puede ser utilizable en varias competencias sectoriales.

EUCC está basado en Common Criteria (ISO/IEC 15408 y ISO/IEC 18045) y está destinado a reemplazar los actuales esquemas nacionales de certificación basados también en Common Criteria (en España ENECSTI).

En el siguiente gráfico observamos el proceso que ha seguido el EUCC hasta llegar a su aprobación por parte de la Comisión Europea.

La existencia de esquemas de ciberseguridad reconocidos por la Comisión Europea supone un marco en el que los laboratorios de ciberseguridad, empresas privadas y administraciones públicas pueden atenerse a la hora de certificar sus productos dentro de Europa, en el caso del EUCC, para productos TIC.

Desde jtsec siempre hemos apostado por la estandarización y unificación de criterios en cuanto a certificaciones de ciberseguridad se refiere, por lo que la creación del EUCC es un gran hito a nivel europeo.

Nuestra colaboración en el desarrollo del EUCC

Javier Tallón, Director Técnico en jtsec Beyond IT Security, ha formado parte del Grupo de Trabajo ENISA ad-hoc Working Group sobre el esquema sucesor de SOG-IS, encargado de desarrollar el esquema EUCC. Por ello, estamos muy orgullosos de que, finalmente, haya sido este esquema candidato el seleccionado por la Comisión Europea para la certificación de ciberseguridad de productos TIC.

Como miembro del AhWG, Javier ha participado activamente en los grupos de trabajo temáticos TG2 y TG5, correspondientes a los “Necessary elements to specify, evaluate and certify products in a harmonised way” y al “Continuity assurance and handling of vulnerabilities” y es Rapporteur del TG7 “Guidance on harmonized interpretations of ISO/IEC 17025 and 17065”.

Por otra parte, ENISA ha confiado en jtsec (en colaboración con Red Alert Labs y KPMG) para la creación de tres nuevas guías:

  • Requisitos del ITSEF para la concesión de licencias para realizar evaluaciones VAN.3

  • Guía sobre los requisitos de los fabricantes

  • Indicaciones sobre la seguridad de la información

    Además, recientemente nuestro CTO, José Ruiz, también ha sido incorporado al AhWG como experto en Common Criteria para la creación de una etiqueta que permita al gran público identificar los productos certificados en el nuevo esquema, no sólo por el nivel de garantía de acuerdo al CSA (Básico / Sustancial / Alto), sino además permitiendo introducir el nivel de garantía utilizando los Requisitos de Seguridad de Common Criteria (EAL4+ALC_FLR.1).

    En este grupo de trabajo colaborará con otros expertos en vigilancia del mercado y etiquetado como los responsables del marcado CE o de la etiqueta PEGI de uso en videojuegos.

    *fuente original ENISA

    Finalmente estamos muy orgullosos que el trabajo que hemos hecho (¡y seguimos!) haciendo en ISO en estos últimos años de un magnífico fruto, permitiendo el uso de la metodología de Gestión de Parches desarrollada en ISO.

    Por supuesto aún queda algún tiempo para que el esquema esté finalizado, así que esperamos poder seguir brindando todo nuestro apoyo a ENISA y al ECCG.

    ¿Cómo se espera que se adapte el nuevo esquema EUCC?

    En las diferentes conversaciones con la Comisión Europea, se ha considerado que el escenario de un "big bang" es el más probable, ya que consiste en lo siguiente:

  • Todos los esquemas existentes cesan en la misma fecha.

  • No hay emisión paralela de certificados EUCC y SOG-IS MRA para los mismos productos TIC durante el periodo de transición. Para minimizar este impacto, ENISA está creando guías de transición que permitirán que laboratorios y fabricantes se adapten a las nuevas condiciones.

    Existirá un periodo de transición, no obstante, que permitirá:

  • Finalización de los proyectos de certificación actuales en el marco de los esquemas existentes, o su fácil conversión en proyectos de la EUCC.

  • Agilización de la transferencia de los certificados que requieran mantenimiento a largo plazo, por lo tanto bajo el esquema EUCC, o la reutilización para evaluaciones y certificaciones compuestas bajo el esquema EUCC.

    Además, el esquema prevé algunas condiciones de reutilización posibles para facilitar la transición (por ejemplo, reutilización de las actividades de certificación o reutilización de los resultados de la evaluación por pares).

    Novedades en la versión 1.1.1

    Los principales cambios se refieren a:

  • Anexión y aclaración de definiciones.

  • Cooperación sistemática con el ECCG para la elaboración de documentos de orientación en apoyo del esquema.

  • Aclaración de las actividades relacionadas con el mantenimiento de los certificados.

  • Aclaración de los plazos asociados al tratamiento de las no conformidades, incumplimientos y vulnerabilidades.

  • Modificación de la situación del nuevo proceso de gestión de parches, ahora en anexo y en fase de prueba.

  • Modificación del logo asociado a los certificados, permitiendo establecer un logo adicional específico para el esquema y mencionar el nivel de evaluación alcanzado además del nivel CSA.

  • Aclaración de los requisitos de la evaluación por pares y simplificación del anexo asociado.

  • Actualización de los anexos 7 y 9 en función de su reciente evolución en el SOG-IS, y adición de un anexo relativo a la limpieza y clarificación de las ST.

    Siguientes pasos

    Esta versión del esquema candidato será la utilizada por la Comisión Europea para la redacción del Implementig Act, por el cual el esquema pasa a formar parte de la legislación europea.

    Este proceso será largo y complejo, y probablemente requiera de nuevas discusiones y guías para facilitar la transición y uso del nuevo esquema, pero el avance es imparable y pronto será una realidad en toda Europa a la que debemos adaptarnos cuanto antes.

    *fuente original ENISA

    ¿Cómo podemos ayudarte a evaluar tu producto cumpliendo con el EUCC?

    Si estás pensando en certificar tu producto TIC bajo el esquema EUCC, no dudes en contactar para que podamos asesorarte. Además, como a laboratorio experto en Common Criteria, te ayudamos a que tu producto obtenga la certificación en el menor tiempo posible, agilizando el proceso gracias a nuestro expertise técnico.

    • tags
    Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    ENS & CPSTIC – Juntos somos más fuertes
    Ago 23, 2023
    ENS & CPSTIC – Juntos somos más fuertes
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    Mayo 9, 2023
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    jtsec obtiene la certificación ENS Alta.
    Mayo 1, 2023
    jtsec obtiene la certificación ENS Alta.
    Common Criteria Statistics Report para 2022
    Marzo 20, 2023
    Common Criteria Statistics Report para 2022
    CATEGORÍAS