Desde que en 2018 se creara el Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) y, teniendo en cuenta la gran evolución del mismo desde su nacimiento, han sido muchas las dudas que nos han realizado diferentes fabricantes, consultores o laboratorios.
Poniendo siempre de relieve nuestro propósito de contribuir a un mundo más ciberseguro, tanto en empresas como en Administraciones Públicas, responder a las cuestiones que surjan en todo lo relativo al catálogo, es una manera de aportar nuestro granito de arena.
Por ello, hemos recopilado las preguntas y respuestas más comunes relativas al catálogo CPSTIC que puedan servir de guía o resolver las dudas relativas al catálogo CSPTIC
¿Qué certificaciones permiten acceder al catálogo CPSTIC?
Sólo existen dos certificaciones que permiten incluir un producto en el catálogo, LINCE y Common Criteria. Hemos de tener en cuenta que, un producto que obtenga una certificación Common Criteria, se le puede requerir una serie de pruebas complementarias por parte del catálogo para permitir el acceso al mismo, las denominadas evaluaciones complementarias STIC.
¿Qué es una evaluación complementaria STIC?
Es un tipo de evaluación que se requiere para algunos productos que cuentan con una certificación Common Criteria y que pretenden entrar en el catálogo. Básicamente consiste en complementar la certificación original con pruebas funcionales y test de penetración.
La STIC complementaria se requiere en el caso de que el alcance de la evaluación original (presentado en la declaración de seguridad) no cumpla con los RFS (Requisitos fundamentales de seguridad) determinados para una determinada familia de la taxonomía.
¿Qué tipos de productos se incluyen en el catálogo CPSTIC dependiendo del nivel de seguridad que se escoja?
El catálogo CPSTIC contempla dos tipos de productos dependiendo del nivel de seguridad (alto, medio o bajo) que el fabricante desee adquirir para su producto:
Si mi producto no encaja dentro de la taxonomía ofrecida por el catálogo CPSTIC, ¿puedo incluirlo?
El catálogo se encuentra en constante evolución, por lo que va incorporando paulatinamente nuevas familias y categorías si así lo estima oportuno. En este caso, hay que acordar con el catálogo los requisitos fundamentales de seguridad del producto y crear la Declaración de Seguridad para su aprobación.
En estos, el catálogo puede tomar dos opciones: crear una taxonomía si considera que puede haber un número considerable de productos similares que se certifiquen, o, simplemente, recomendar su inclusión en la categoría “Otros”.
En jtsec hemos colaborado en la inserción de varios productos que, por su naturaleza, no podían incluirse en ninguna categoría de las existentes.
¿Qué proceso he de seguir para incluir mi producto en el catálogo?
El primer paso es analizar tu producto y los recursos internos de tu empresa, ya que obtener una certificación requiere un esfuerzo considerable. Lo segundo es analizar qué nivel de seguridad quieres alcanzar y qué mercado quieres abarcar. Si tu deseo es alcanzar el nivel de seguridad ENS alto y un mercado internacional, has de superar una evaluación Common Criteria para acceder al catálogo, si no es así, quizá sea mejor idea superar una evaluación LINCE que es más asequible en coste y tiempo, aunque su alcance se limita al mercado nacional.
Una vez tomada la decisión comienza la parte de consultoría del producto para la creación de la declaración de seguridad y en el caso de CC del resto de documentación requerida. Una vez aprobada la declaración de seguridad por parte del catálogo CPSTIC, se inicia la fase de evaluación (laboratorio) donde se le realizará la evaluación del producto incluyendo las pruebas funcionales, análisis de vulnerabilidades y test de penetración.
Al terminar la evaluación, se inicia la fase de validación por parte del Organismo de Certificación. Si la validación es considera de manera satisfactoria, se emite el certificado y se incluye el producto en el catálogo CPSTIC.
El siguiente gráfico puede ayudarte visualmente:
¿Cómo mantener actualizada la versión de mi producto en el catálogo CPSTIC?
Uno de los objetivos principales de CCN es mantener el catálogo CPSTIC lo más actualizado posible, para ello, lo más lógico es agilizar la cualificación e inclusión de los productos en dicho catálogo mediante el Proceso de Cualificación Continua. Para tener una idea más certera sobre este proceso, os recomendamos revisar el post que creamos específicamente para esta temática. Este proceso tan dinámico de actualización de versiones, permite una gran flexibilidad a los fabricantes para que su producto certificado no se quede obsoleto en el catálogo.
¿Tiene que estar mi producto en el catálogo para poder trabajar con la Administración Pública?
A día de hoy NO es un requisito indispensable, aunque, bien es cierto, que es muy recomendable que esté. Todo apunta a que, en un futuro próximo, teniendo en cuenta la presencia e importancia que está tomando el catálogo y la cantidad de ciberataques sufridos por la Administración Pública, lo más lógico es que se priorice el uso de productos que hayan superado una evaluación de ciberseguridad, por lo tanto, unos requisitos mínimos de seguridad.
Además, se observa un aumento en el número de pliegos, tanto de la empresa privada como de la Administración Pública, que requieren a los solicitantes ofertar productos que estén incluidos en el catálogo. Esto supondrá una gran ventaja competitiva para aquellos fabricantes que ya cuenten con productos en el catálogo.
¿Qué laboratorios de ciberseguridad pueden realizar las pruebas de evaluación?
CCN reconoce una serie de laboratorios acreditados tanto para realizar evaluaciones LINCE como para las evaluaciones Common Criteria. Únicamente los laboratorios acreditados por el CCN tienen la capacidad para llevar a cabo las pruebas pertinentes para cualquiera de las dos metodologías de evaluación. jtsec es laboratorio acreditado para LINCE y para Common Criteria por ENAC.
¿Es necesario realizar el Informe Preliminar de Conformidad de los Requisitos Fundamentales de Seguridad (RFS)?
No es obligatorio, pero es altamente recomendable realizar este informe, ya que ahorra tiempo y evita posibles futuros problemas una vez iniciado el proceso. Permite saber en qué estado se encuentra el producto en relación al catálogo, hablando siempre en términos de seguridad. Cumplir de forma adecuada con los Requisitos Fundamentales de Seguridad que requiere el catálogo es importante, pero no absolutamente imprescindible cumplir con todos.
¿Qué sucede si mi producto no cumple con un RFS de la taxonomía?
Lo recomendable es cumplir con todos los Requisitos Funcionales de Seguridad, sin embargo, muchas veces, las taxonomías no casan perfectamente con todos los productos.
En esos casos hay que justificar a CPSTIC que existen otras medidas que hagan que el incumplimiento de ese requisito no afecte a la seguridad del producto.
¿Es posible cualificar un servicio en la nube?
Sí, como antes hemos comentado, CCN trabaja firmemente en la actualización y expansión del catálogo CPSTIC, por lo que ha añadido una nueva categoría a la taxonomía relativa a servicios en la nube. De hecho, los primeros proyectos piloto ya están en marcha.
¿Alguna duda sobre alguna cuestión en particular que no hayamos tratado en el blog?
En jtsec somos expertos en evaluaciones LINCE y Common Criteria, con amplia experiencia la inclusión de productos en el catálogo CPSTIC. Por ello, si te surge cualquier duda sobre cómo incluir tu producto en el catálogo CPSTIC, estaremos encantados de atenderla, envíanos tus dudas a hola@jtsec.es
