SlideShare a Scribd company logo

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?

Download as PPTX, PDF
Javier Tallón
Javier Tallón

Incluir productos y servicios en el catálogo de ciberseguridad de referencia para la Administración Pública no resulta sencillo. Se ha de superar una evaluación LINCE o Common Criteria para poder acceder a dicho catálogo. En el catálogo CPSTIC se pueden incluir tanto para soluciones on premise como en la nube, siendo una gran ventaja para aquellos desarrolladores cloud native. En esta presentación explicamos las diferentes maneras de incluir una solución en el catálogo CPSTIC, así como los pasos a seguir.

Technology
1 of 18
¿Quién soy? Servicios Laboratorio acreditado LINCE y Common Criteria por ENAC y CCN Cualificación de productos en el catálogo CPSTIC / CCN-STIC-105 Hitos 1º Laboratorio acreditado LINCE Líder en certificaciones LINCE Único laboratorio español miembro del SCCG y del EUCC ad-hoc Working Group  José Ruiz Gualda:  Co-Fundador & CTO  Experto en Common Criteria, LINCE y FIPS 140-2 & FIPS 140-3  Miembro del SCCG (Stakeholder Cybersecurity Certification Group) en la Comisión Europea  Secretario del SC3 en CTN320  Editor de LINCE como norma UNE
Catálogo CPSTIC / CCN-STIC-105 - Referencia en productos y servicios ciberseguros El catálogo de Productos de Seguridad TIC (CPSTIC o CCN-STIC-105) ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional. Este catálogo incluye los productos aprobados para manejar información nacional clasificada y los productos cualificados de seguridad TIC para uso en el ENS (CCN-STIC-140).
Beneficios de incluir tu producto en el catálogo  Mejora la ciberseguridad de tu producto  Potente herramienta de marketing  Posiciona tu producto en la Administración Pública  Obtienes un certificado emitido por CCN
Certificaciones válidas para acceder al catálogo Nivel medio – bajo ENS Nivel alto ENS Security Target
Fases del proyecto de evaluación Análisis de la declaración de seguridad Disponer de acceso al producto/servicio para realizar pruebas Análisis de documentación Pruebas funcionales Análisis de vulnerabilidades Pruebas de penetración del TOE
Quien participa en el proceso? JTSEC CCN FABRICANTE/ DESARROLLADOR • Responsables de toma de decisiones. • Equipo legal. • Project managers / Equipo de certificación. • Técnicos/Desarrolladores. Equipo de ventas Primer contacto, primeros pasos, contrato, decisiones alto nivel. Equipo de consultoría Le guía durante el proceso. Generación de toda la documentación necesaria (Declaración de Seguridad). Comunicación con el cliente y con otros equipos de jtsec y CCN. Equipo de evaluación Realiza las pruebas de seguridad. Genera el informe de pruebas de evaluación (ETR). Independencia crítica. Mantiene el catálogo STIC; aprueba la DS y otra documentación. Crea taxonomías, normas... Aprueba el ETR y el trabajo de laboratorio.
Tipología de productos incluidos en el catálogo y evaluados por jtsec Servicios en la nube Enrutadores Hiperconvergencia Cortafuegos Captura, monitorización y Análisis de Tráfico Switches Anti-virus/EPP & EDR Redes privadas virtuales: IPSec Gestión de Acceso Privilegiado (PAM) Herramientas de videoconferencia Herramientas de videoidentificación Dispositivos de prevención y detección de intrusiones
Casos de éxito de uso del catálogo
Caso de éxito nº 1: Herramientas de Video Identificación.  Primera vez que se utiliza una orden ministerial (Orden ETD/465/2021, de 6 de mayo) para introducir productos en el catálogo, creando un precedente, la Administración se anticipa a los fabricantes  Nueva taxonomía creada en el catálogo.  Nuevos requisitos fundamentales de seguridad  Documento de apoyo a la evaluación Anexo F-11
Caso de éxito nº 2: Cumplimiento del ENS – Cualificación de un cortafuegos  En este caso, la Diputación de Málaga decide asegurarse que el producto (cortafuegos) que utiliza supera unos estándares de ciberseguridad para cumplir con el ENS.  Es la propia Administración y no el desarrollador la que solicita y patrocina la certificación/cualificación.  El producto solicitado por la Administración se encuentra incluido en el catálogo.
Caso de éxito nº 3: Cargadores de vehículos eléctricos  Pliego publicado por una empresa privada, Iberdrola, refleja la obligatoriedad de que los proveedores de cargadores de vehículos eléctricos se certifiquen en LINCE, dando para ello un plazo de tiempo.  El hackeo de cargadores eléctricos podría suponer un problema para la red eléctrica a nivel europeo, tal y como recoge el Foro Económico Mundial de 2019, (consideración de infraestructura crítica)  Proyecto innovador a nivel mundial, creando la taxonomía desde 0, ya que nunca se ha evaluado este tipo de productos
Caso de éxito nº 4: Software de gestión portuaria.  Software que gestiona todos los activos de un puerto  El fabricante quiere consolidar su posición en el mercado.  Potenciar la ciberseguridad en el sector portuario (Consideración de infraestructura crítica)  Proyecto pionero a nivel nacional
Caso de éxito nº 5: Evaluaciones cloud nativas.  Ya existen soluciones cloud nativas cualificadas en el catálogo por diferentes fabricantes como AWS o Proofpoint  España es el primer país en evaluar productos en la nube. Siendo jtsec laboratorio pionero en este tipo de evaluaciones.  La metodología LINCE cuenta con una Guía de Seguridad específica para productos en la nube: CCN-STIC 140, Anexo G  El sistema que suministra el servicio en la nube deberá disponer de una Certificación ENS MEDIA o ALTA
Conclusiones  Tanto la Administración como la empresa privada cada vez potencian más el uso de productos ciberseguros, por lo tanto, de productos que estén incluidos en el catálogo CPSTIC / CCN-STIC 105.  El crecimiento de productos, familias y categorías en el catálogo es una gran noticia.  España es pionera en la evaluación y cualificación de productos como cargadores de vehículos eléctricos, herramientas de video identificación o gestión portuaria.
Confían en nosotros SMARTCARDS LABs AND CBs SOFTWARE HARDWARE OTHERS
jtsec Beyond IT Security Granada & Madrid hola@jtsec.es www.jtsec.es Contacto “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie

Recommended

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...Ingeniería e Integración Avanzadas (Ingenia)
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 

Recommended

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...Ingeniería e Integración Avanzadas (Ingenia)
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJTSEC Beyond IT Security
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...Alarcos Quality Center
 
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...Alarcos Quality Center
 
Primer trabajo calidad
Primer trabajo calidadPrimer trabajo calidad
Primer trabajo calidadRolySteveRiveraFernn
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ensMiguel A. Amutio
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
 
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...Alarcos Quality Center
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...Ingeniería e Integración Avanzadas (Ingenia)
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAngela Gutierrez Vilca
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAngela Gutierrez Vilca
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Hector Gerardo Perozo Flores
 
Análisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episAnálisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episPrevencionar
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidaduniv of pamplona
 
Ica Corporate 09 V021 V97
Ica Corporate 09 V021 V97Ica Corporate 09 V021 V97
Ica Corporate 09 V021 V97Carla
 
Mod04 certificado digital-final e
Mod04 certificado digital-final eMod04 certificado digital-final e
Mod04 certificado digital-final eInstituto Nacional de Administración Pública
 
Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
 

More Related Content

Similar to ¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?

Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...Alarcos Quality Center
 
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...Alarcos Quality Center
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ensMiguel A. Amutio
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
 
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...Alarcos Quality Center
 
Análisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episAnálisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episPrevencionar
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidaduniv of pamplona
 
Ica Corporate 09 V021 V97
Ica Corporate 09 V021 V97Ica Corporate 09 V021 V97
Ica Corporate 09 V021 V97Carla
 

Similar to ¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)? (20)

Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-es
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
ITGSM 2014 - Evaluación, mejora y certificación del Producto Software: un cas...
 
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
JIISIC-CEIS 2015: Certificación de la Mantenibilidad del Producto Software. U...
 
Primer trabajo calidad
Primer trabajo calidadPrimer trabajo calidad
Primer trabajo calidad
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
itSMF Vision13 - ISO/IEC 25000: Evaluación y Certificación de la Calidad del ...
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
 
Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)
 
Análisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episAnálisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre epis
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad
 
Ica Corporate 09 V021 V97
Ica Corporate 09 V021 V97Ica Corporate 09 V021 V97
Ica Corporate 09 V021 V97
 
Mod04 certificado digital-final e
Mod04 certificado digital-final eMod04 certificado digital-final e
Mod04 certificado digital-final e
 

More from Javier Tallón

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNJavier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and productsJavier Tallón
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfJavier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaJavier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesJavier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Javier Tallón
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...Javier Tallón
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria Javier Tallón
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easyJavier Tallón
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics reportJavier Tallón
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationJavier Tallón
 

More from Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentation
 

Recently uploaded

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Recently uploaded (11)

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?

  • 1.
  • 2. ¿Quién soy? Servicios Laboratorio acreditado LINCE y Common Criteria por ENAC y CCN Cualificación de productos en el catálogo CPSTIC / CCN-STIC-105 Hitos 1º Laboratorio acreditado LINCE Líder en certificaciones LINCE Único laboratorio español miembro del SCCG y del EUCC ad-hoc Working Group  José Ruiz Gualda:  Co-Fundador & CTO  Experto en Common Criteria, LINCE y FIPS 140-2 & FIPS 140-3  Miembro del SCCG (Stakeholder Cybersecurity Certification Group) en la Comisión Europea  Secretario del SC3 en CTN320  Editor de LINCE como norma UNE
  • 3.
  • 4. Catálogo CPSTIC / CCN-STIC-105 - Referencia en productos y servicios ciberseguros El catálogo de Productos de Seguridad TIC (CPSTIC o CCN-STIC-105) ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional. Este catálogo incluye los productos aprobados para manejar información nacional clasificada y los productos cualificados de seguridad TIC para uso en el ENS (CCN-STIC-140).
  • 5. Beneficios de incluir tu producto en el catálogo  Mejora la ciberseguridad de tu producto  Potente herramienta de marketing  Posiciona tu producto en la Administración Pública  Obtienes un certificado emitido por CCN
  • 6. Certificaciones válidas para acceder al catálogo Nivel medio – bajo ENS Nivel alto ENS Security Target
  • 7. Fases del proyecto de evaluación Análisis de la declaración de seguridad Disponer de acceso al producto/servicio para realizar pruebas Análisis de documentación Pruebas funcionales Análisis de vulnerabilidades Pruebas de penetración del TOE
  • 8. Quien participa en el proceso? JTSEC CCN FABRICANTE/ DESARROLLADOR • Responsables de toma de decisiones. • Equipo legal. • Project managers / Equipo de certificación. • Técnicos/Desarrolladores. Equipo de ventas Primer contacto, primeros pasos, contrato, decisiones alto nivel. Equipo de consultoría Le guía durante el proceso. Generación de toda la documentación necesaria (Declaración de Seguridad). Comunicación con el cliente y con otros equipos de jtsec y CCN. Equipo de evaluación Realiza las pruebas de seguridad. Genera el informe de pruebas de evaluación (ETR). Independencia crítica. Mantiene el catálogo STIC; aprueba la DS y otra documentación. Crea taxonomías, normas... Aprueba el ETR y el trabajo de laboratorio.
  • 9. Tipología de productos incluidos en el catálogo y evaluados por jtsec Servicios en la nube Enrutadores Hiperconvergencia Cortafuegos Captura, monitorización y Análisis de Tráfico Switches Anti-virus/EPP & EDR Redes privadas virtuales: IPSec Gestión de Acceso Privilegiado (PAM) Herramientas de videoconferencia Herramientas de videoidentificación Dispositivos de prevención y detección de intrusiones
  • 10. Casos de éxito de uso del catálogo
  • 11. Caso de éxito nº 1: Herramientas de Video Identificación.  Primera vez que se utiliza una orden ministerial (Orden ETD/465/2021, de 6 de mayo) para introducir productos en el catálogo, creando un precedente, la Administración se anticipa a los fabricantes  Nueva taxonomía creada en el catálogo.  Nuevos requisitos fundamentales de seguridad  Documento de apoyo a la evaluación Anexo F-11
  • 12. Caso de éxito nº 2: Cumplimiento del ENS – Cualificación de un cortafuegos  En este caso, la Diputación de Málaga decide asegurarse que el producto (cortafuegos) que utiliza supera unos estándares de ciberseguridad para cumplir con el ENS.  Es la propia Administración y no el desarrollador la que solicita y patrocina la certificación/cualificación.  El producto solicitado por la Administración se encuentra incluido en el catálogo.
  • 13. Caso de éxito nº 3: Cargadores de vehículos eléctricos  Pliego publicado por una empresa privada, Iberdrola, refleja la obligatoriedad de que los proveedores de cargadores de vehículos eléctricos se certifiquen en LINCE, dando para ello un plazo de tiempo.  El hackeo de cargadores eléctricos podría suponer un problema para la red eléctrica a nivel europeo, tal y como recoge el Foro Económico Mundial de 2019, (consideración de infraestructura crítica)  Proyecto innovador a nivel mundial, creando la taxonomía desde 0, ya que nunca se ha evaluado este tipo de productos
  • 14. Caso de éxito nº 4: Software de gestión portuaria.  Software que gestiona todos los activos de un puerto  El fabricante quiere consolidar su posición en el mercado.  Potenciar la ciberseguridad en el sector portuario (Consideración de infraestructura crítica)  Proyecto pionero a nivel nacional
  • 15. Caso de éxito nº 5: Evaluaciones cloud nativas.  Ya existen soluciones cloud nativas cualificadas en el catálogo por diferentes fabricantes como AWS o Proofpoint  España es el primer país en evaluar productos en la nube. Siendo jtsec laboratorio pionero en este tipo de evaluaciones.  La metodología LINCE cuenta con una Guía de Seguridad específica para productos en la nube: CCN-STIC 140, Anexo G  El sistema que suministra el servicio en la nube deberá disponer de una Certificación ENS MEDIA o ALTA
  • 16. Conclusiones  Tanto la Administración como la empresa privada cada vez potencian más el uso de productos ciberseguros, por lo tanto, de productos que estén incluidos en el catálogo CPSTIC / CCN-STIC 105.  El crecimiento de productos, familias y categorías en el catálogo es una gran noticia.  España es pionera en la evaluación y cualificación de productos como cargadores de vehículos eléctricos, herramientas de video identificación o gestión portuaria.
  • 17. Confían en nosotros SMARTCARDS LABs AND CBs SOFTWARE HARDWARE OTHERS
  • 18. jtsec Beyond IT Security Granada & Madrid hola@jtsec.es www.jtsec.es Contacto “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie