FAQ CPSTIC

¿Un producto Cualificado es lo mismo que uno con Certificación Common Criteria?

La respuesta es NO, por los motivos que explicamos a continuación.

Que un producto disponga de una certificación funcional Common Criteria significa que ha superado con éxito un proceso de evaluación en un laboratorio independiente acreditado, a partir del cual se puede afirmar que su Declaración de Seguridad es cierta con un determinado nivel de confianza o “aseguramiento” (EAL, en sus siglas en inglés).

Es decir, que durante el proceso de evaluación y posterior certificación se comprueba que las funcionalidades de seguridad declaradas para el producto se encuentran correctamente implementadas, sin entrar en valoraciones de si éstas son suficientes para que el producto sea considerado seguro para un determinado caso de uso como puede ser el previsto en el ENS.

Partiendo de la base de que la Declaración de Seguridad la elabora el fabricante, podría darse el caso de que la certificación no incluya todas las funcionalidades de seguridad consideradas necesarias por el CCN para un determinado tipo de producto.

No hay que olvidar que Common Criteria aporta una metodología de evaluación, responde al ¿cómo? pero no dice nada del ¿qué?, por ello, cabría preguntarse: ¿qué funcionalidades de seguridad incluyo en mi certificación?

A lo largo de los últimos meses el CCN ha hecho un notable esfuerzo en contestar a esta pregunta. Partiendo de una taxonomía de productos de seguridad TIC organizados en familias, se ha definido para cada una de ellas un listado con los Requisitos Fundamentales de Seguridad (RFS) que como mínimo debe incluir en su certificación un producto que pertenezca a esta familia para que pueda estar en el CPSTIC. Tanto la taxonomía como los RFS correspondientes a cada familia están incluidos en la guía   default CCN-STIC-140 "Taxonomía de referencia para productos STIC" .

En resumen, por regla general podemos decir que un Producto Cualificado será aquel que cumpla los siguientes requisitos:

1. Poseer una certificación Common Criteria en vigor.

2. Que esta certificación incluya los requisitos definidos por el CCN en la default guía CCN-STIC-140 y default anexos para esta familia de productos.

3.Que el fabricante o cualquier organismo del Sector Público interesado en que éste sea incluido en el CPSTIC lo haya solicitado formalmente al CCN.

Además, como medida excepcional, y en aras de resolver el vacío existente al no disponer de productos certificados para algunas familias, el CCN contempla la posibilidad de cualificar productos que no dispongan de certificación CC o que ésta esté incompleta cuando se cumplan las siguientes condiciones:

  1. No existen productos certificados de una determinada familia.
  2. No existe un fabricante que promueva la certificación desde el punto de vista técnico y económico.
  3. El producto se considera de interés estratégico para la Administración.
  4. Ha superado con éxito un proceso de evaluación de seguridad TIC previamente acordado con el CCN.

 

Figura 1 Productos Certificados vs. Productos Cualificados

 

¿Es obligatorio el uso del catálogo para la adquisición de productos para el ENS?

El uso del CPSTIC no es obligatorio, aunque sí conveniente. Partimos de la base de que la utilización de productos certificados debería estar dentro de los manuales de buenas prácticas a la hora de adquirir tecnología. Básicamente porque han sido evaluados por un laboratorio acreditado para ello, lo que contribuye a la detección y corrección de múltiples vulnerabilidades que incrementan las garantías de seguridad del producto.

Además, como ya hemos adelantado anteriormente, cuando el sistema en que se vaya a utilizar el producto esté afectado por el ENS deberá cumplir con la normativa que lo regula, en la que se establece de manera específica la obligatoriedad de utilizar productos que tengan certificadas las funcionalidades de seguridad relacionadas con el objeto de su adquisición cuando el sistema esté clasificado como Categoría ALTA, y la conveniencia, con carácter general, de utilizarlos para el resto de sistemas.

Por lo tanto, cualquier responsable de la adquisición de productos TIC para un sistema de los expuestos debería no solo comprobar que está certificado, sino que esta certificación es completa, consistente y técnicamente adecuada. Esta es una premisa difícil de cumplir, básicamente por dos motivos:

  1. Salvo casos excepcionales, estos responsables no suelen estar familiarizados con la terminología Common Criteria.
  2. Es inviable, salvo que se dedique un esfuerzo considerable, tener un conocimiento profundo de las implementaciones concretas de la amplia gama de productos TIC actualmente en el mercado, cuanto más decidir qué requisitos deben exigírsele.

 Por todo ello, con el desarrollo del CPSTIC se cumple una doble función:

  1. La de realizar esta labor de análisis de certificaciones y discriminar así las que son adecuadas y cumplen los requisitos definidos para esa familia de productos.
  2. La de homogeneizar los criterios a la hora de definir qué funcionalidades debe implementar mi producto.

¿Dónde puedo encontrar productos para un sistema clasificado?

En el caso de que el sistema maneje información nacional clasificada, se podrán emplear los productos publicados en el apartado de productos aprobados de la default guía CCN-STIC-105 "Catálogo de productos STIC", la  pdf guía CCN-STIC 103 (52 KB) “Catálogo de productos con certificación criptológica” y la  default guía CCN-STIC 104 “Catálogo de productos con certificación ZONING”.

Si no existe un producto en estos catálogos que se adecue a las necesidades del sistema, se deberá solicitar autorización escrita al CCN expresando el producto que se quiere emplear y justificando dicha necesidad.

¿Qué relación tiene este Catálogo de productos con el de Contratación Centralizada del Ministerio de Hacienda y Función Pública?

No tienen ninguna relación, no son excluyentes y podrían utilizarse conjuntamente cuando así lo requiriesen los procedimientos administrativos de adquisición de productos.

El CPSTIC es un catálogo de seguridad meramente técnico que recoge una serie de productos que ofrecen ciertos niveles de garantías para ser utilizados en sistemas que manejan información sensible o clasificada, mientras que el de Contratación Centralizada es un catálogo administrativo desarrollado en base a una serie de convenios marcos negociados con empresas con el objetivo de obtener mejoras de contratación y homogeneización de los niveles de calidad de los servicios y suministros adquiridos por la AGE.

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información.