LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de productos TIC.
183 views
24 slides
Jun 15, 2020
Slide 1 of 24
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
About This Presentation
Presentación para los Encuentros UNE - Ciberseguridad I: Una necesidad sectorial. Donde analizamos la metodología LINCE para las certificaciones de ciberseguridad en el territorio español, cómo incluir productos en el catálogo CPSTIC y el futuro inmediato del marco de las certificaciones "...
Slide Content
Antecedentes Metodología de evaluación LINCE LINCE: Iniciativa de norma UNE Adaptación: Nuevas iniciativas en certificación Conclusiones Índice Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Medidas Anexo 2: “Componentes certificados [op.pl.5]” Categoría ALTA Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Esquema Nacional de Seguridad ( ENS) Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Catálogo de Productos de Seguridad TIC (CPSTIC) Antecedentes Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
TEJIDO EMPRESARIAL Certificaciones: un mundo para Grandes Empresas! Antecedentes Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Metodología de Evaluación LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Certificaciones LINCE LINCE es una metodología de evaluación de productos TIC basada en los principios de Common Criteria Orientada al análisis de vulnerabilidades y los tests de penetración Diferencias con Common Criteria: Esfuerzo, coste y duración acotados Elimina complejidad Reconocimiento nacional Introducción a LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
LINCE permite el acceso al catálogo CPSTIC para niveles bajo y medio Metodología para pruebas complementarias STIC Introducción a LINCE Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
El módulo de evaluación básico es obligatorio y común a todas las evaluaciones (25 días / 8 semanas ): No incluye la preparación de la evaluación ni la formación de los evaluadores Se requieren evaluadores expertos en la tecnología El laboratorio debe presentar el plan de evaluación al OC El laboratorio debe emitir el informe de evaluación Módulos de evaluación Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Además, LINCE ofrece dos módulos opcionales Módulo de Evaluación Criptográfica (MEC): Pruebas sobre algoritmos criptográficos Validación conformidad de algoritmos Módulo de evaluación de Código Fuente (MCF) Pruebas caja blanca Revisión de código fuente Módulos de evaluación Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Fases de la certificación: CPSTIC Organismo de certificación Laboratorio Desarrollador 1. Formulario de solicitud 2. TOE & ST & Manuales 3. Evaluación de seguridad 4. Emisión ETR 5 . Aprobación ETR 6 . Emisión certificado 7. Inclusión en el catálogo Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
1. Análisis de la declaración de seguridad (1 día) Comprobar que la declaración de seguridad del fabricante es correcta Este documento debe seguir lo establecido en CCN-LINCE-003 2. Instalación del producto (1 día) Preparar el producto para la realización de las pruebas 3. Análisis de la documentación (2 días) Analizar la documentación – Ganar conocimiento del producto Fases de la evaluación: Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
4. Pruebas funcionales (5 días) Comprobar que el producto funciona conforme a la funcionalidad declarada 5. Análisis de vulnerabilidades (6 días) Estudio de vulnerabilidades en el dispositivo. Sesiones de trabajo con el fabricante. Fases de la evaluación: Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
6. Pruebas de penetración del TOE (10 días) Comprobaciones de la explotación de vulnerabilidades. Estas pruebas tienen un enfoque de caja negra. Fases de la evaluación: Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
LINCE: Iniciativa de norma UNE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
FASE 1. Creación del Grupo de Trabajo (líder: José Ruiz, asistente: Amanda Suo , UNE) CTN 320/SC 03/GT LINCE "METODOLOGÍA DE EVALUACIÓN LINCE PARA PRODUCTOS DE SEGURIDAD DE TIC " , está compuesto por los miembros del SC3. FASE 2. Elaboración del proyecto PNE 320001 (líder: José Ruiz; miembros del SC3) Con los miembros del SC3, se realizará la elaboración del proyecto PNE 320001 Metodología de Evaluación LINCE para productos de Seguridad de TIC, adaptándolo al modelo normativo. LINCE como norma UNE: Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
FASE 3. Aprobación de la (propuesta) Norma nacional UNE-PNE 320001 en el CTN320 (líder: UNE) Una vez elaborada la (propuesta) Norma nacional, se circulará en el CTN320 para su aprobación . FASE 4. Aprobación de Información Pública IP de la (propuesta) norma nacional UNE-PNE 320001 (líder: UNE) FASE 5. Publicación de la norma nacional UNE 320001 Se publicará oficialmente la norma UNE 320001 LINCE como norma UNE: Certificaciones LINCE Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Adaptación: Nuevas iniciativas en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
Esquema de certificación que sea común a todos los países . Tres niveles de garantía: básico, sustancial y alto. Este esquema establece directrices de seguridad para cuatro categorías: Productos y componentes Servicios ICT Proveedores de servicios y organizaciones Profesionales de la seguridad Framework de certificación europeo Adaptación: Nuevas tendencias en certificación Antecedentes Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial
SOG-IS CC y Cloud Scheme CEN/CLC/JTC 13 WG3 ( Lightweight Project) Cybersecurity Evaluation Methodology for ICT Products Nuevos esquemas y ¿“Lince” Europeo? Adaptación: Nuevas tendencias en certificación Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
LINCE Certificación más ligera & adaptada para PYMES Menos complejidad y coste Norma UNE Europa Importancia de la certificación de ciberseguridad Conclusiones Encuentros UNE 10 junio. Ciberseguridad I: Una necesidad sectorial Adaptación: Nuevas tendencias en certificación Antecedentes
j tsec : Beyond IT Security Granada & Madrid – Spain [email protected] @ jtsecES www.jtsec.es Contact “ Any fool can make something complicated . It takes a genius to make it simple.” Woody Guthrie
Download
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 183
- Slides 24
- Age 2017 days
Related Slideshows
1
MGV Residential Design projects for different clients, including a New Mexico Adobe project-1-.pdf
mannyvesa
39 views
16
EUNITED_Advocacy and Public Engagement through Visual Media
GeorgeDiamandis11
44 views
31
DESIGN THINKINGGG PPT 2 TOPIC IDEATION.pptx
HibaZaidi2
37 views
36
DESIGN THINKING CHAPTER 1 PPTT PPT 1.pptx
HibaZaidi2
43 views
112
Hinduism and Its History - PowerPoint Slides.pptx
ConorMcCormack10
40 views
20
Service Attributes of Manufactured Parts.pptx
MustafaEnesKrmac
37 views