Ultimas noticias de Ciber Seguridad del Centro Criptológico Nacional
  • La Guía CCN-STIC 140 está disponible en la parte pública del portal del CCN-CERT.
  • El objetivo de este documento es establecer una taxonomía para la clasificación de productos de Seguridad TIC en torno a diversas categorías y familias, identificando su ámbito y alcance con el objeto de servir como base para la clasificación de productos incluidos en el apartado de Productos Cualificados del CPSTIC, de referencia en el sector público.
  • Anexos sobre Diodo de datos, VPN-IPSec, VPN-SSL, Herramientas para la firma electrónica, Dispositivos móviles y Plataformas de confianza, son algunas de las actualizaciones que se han realizado.

El CCN-CERT ha actualizado la Guía CCN-STIC 140. Taxonomía de referencia para productos de Seguridad TIC para el manejo de Información Clasificada. El documento pretende servir como base a la hora de establecer una taxonomía para la clasificación de productos de Seguridad en las Tecnologías de Información y la Comunicación (TIC) que forman parte activa del sistema TIC, y desarrollan su actividad en el contexto operacional de éste, implementando funcionalidades que permiten incrementar el nivel de seguridad del sistema en alguna de sus dimensiones (disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad).

La guía cuenta con la actualización de varios anexos, disponibles también en la parte pública, sobre los siguientes temas: Diodo de datos (D7 RFS-COM.DIO) y Dispositivos móviles (1 RFS-SER.MOV). Además, se han publicado nuevos anexos, como el de VPN-IPSec (D8.A RFS-COM.VPN.IPSec.), VPN-SSL (D8.B RFS-COM.VPN.SSL), Herramientas para la firma electrónica (E5 RFS-INF.FIR.) y Plataformas de confianza (F6 RFS-SER.PLA.).

Para incluir un producto en el catálogo, el CCN tiene en cuenta una serie de criterios como la clasificación de la información que puede manejar (Difusión Limitada, Confidencial, Reservado, Secreto), las características de seguridad del producto, la categoría del sistema de información en el que puede emplearse −según lo definido en el Esquema Nacional de Seguridad (alta, media, básica)−, las certificaciones aportadas o el entorno donde se vaya a emplear, entre otras cuestiones. En función de esta información, se determinan las pruebas o evaluaciones que deberá superar el producto de seguridad TIC correspondiente.

La guía recoge seis categorías (Control de Acceso, Seguridad en la Explotación, Monitorización de la Seguridad, Protección de las Comunicaciones, Protección de las Información y Soportes de Información, Protección de equipos y servicios) y 36 familias, como sistemas operativos, herramientas anti-spam, tarjetas inteligentes, dispositivos biométricos o sistemas Honeypot.

CCN (06/03/2019)

Guía CCN-STIC 140. Taxonomía de referencia para productos de Seguridad TIC / Anexos


More information