Qué regula
- El procedimiento de inclusión de productos cualificados en CPSTIC.
- El procedimiento de inclusión de servicios cualificados en CPSTIC.
- Las evidencias exigibles según categoría ENS, certificación de partida y riesgos detectados.
Procedimiento CPSTIC
CCN-STIC 106: inclusión de productos y servicios en el Catálogo CPSTIC
CCN-STIC 106 define qué hay que presentar, cómo revisa el CCN las evidencias y qué rutas existen para cualificar productos y servicios en el Catálogo CPSTIC.
Qué es CCN-STIC 106
CCN-STIC 106 es la guía que define el procedimiento de inclusión de productos y servicios STIC cualificados en el Catálogo CPSTIC. Para un fabricante o proveedor, es el documento que ordena la solicitud, la revisión del Centro Criptológico Nacional (CCN) y las vías de cualificación.
Conviene leerla junto con CCN-STIC 140, que define familias y Requisitos Fundamentales de Seguridad, y con la ruta de evaluación que corresponda: LINCE o CICLON.
Matiz importante
La guía es de abril de 2024 y, en servicios cloud, todavía usa la nomenclatura de evaluación STIC. Hoy esa parte debe aterrizarse con CICLON, sin confundirlo con la desaparición de la evaluación STIC en otros escenarios.
Lectura rápida
Qué regula
La inclusión de productos y servicios cualificados en CPSTIC.
A quién aplica
Fabricantes, proveedores y equipos que preparan entrada o renovación en CPSTIC.
Qué aclara
Documentación, RFS, ITC, RITC, PES, categoría ENS, excepcionalidad y evidencias.
Qué leer también
CCN-STIC 140, LINCE para producto on-prem y CICLON para servicios cloud.
Anexos que importan
- Estrategia de cualificación continua.
- Evaluaciones STIC complementarias.
- Cualificación de series de productos.
- Cualificación de versiones.
Cómo arranca la inclusión de productos
La solicitud puede ser de nueva inclusión o de renovación, y puede presentarla el fabricante, un suministrador o un organismo de la Administración. Si la solicitud de fabricante o suministrador está avalada formalmente por una Administración, el CCN la considera prioritaria. Ese aval es obligatorio en el supuesto excepcional de productos sin certificación Common Criteria o LINCE que se consideren de interés estratégico para la Administración y no tengan un producto equivalente ya cualificado en CPSTIC por una vía ordinaria.
Antes de hablar de evaluación, el producto debe quedar encuadrado en una o varias familias de CCN-STIC 140, porque ahí están los RFS que se usarán como referencia. Si no existe una familia que se adapte correctamente al producto o servicio, la propia estructura del CPSTIC contempla el encaje como Otras herramientas, con una lectura más específica del alcance y de las evidencias.
Documentación mínima
- Declaración de Seguridad de la certificación Common Criteria o LINCE.
- Informe Preliminar de Conformidad con los RFS, preparado por el solicitante.
- Política de versionado del producto.
- Procedimiento de Empleo Seguro (PES), obligatorio para cerrar la inclusión. Si la inclusión se concede de forma provisional, el PES debe entregarse en un plazo máximo de seis meses.
Qué revisa el CCN
El CCN revisa la documentación, realiza un análisis de riesgos complementario y emite el Informe Técnico de Cualificación (ITC). El resultado se comunica mediante el Resultado del Informe Técnico de Cualificación (RITC), que puede ser favorable o desfavorable.
Los tres casos que contempla la guía
Caso 1
Los RFS ya están cubiertos
Si las certificaciones o evaluaciones previas ya cubren los RFS aplicables y el análisis del CCN no detecta riesgos complementarios sin cubrir, no hace falta una evaluación adicional en laboratorio externo.
Caso 2
Supuesto de excepcionalidad
Aplica a productos sin CC o LINCE, de interés estratégico para la Administración y sin equivalente en el catálogo fuera de esa vía.
Caso 3
Certificación o STIC complementaria
Si no encaja en los casos anteriores, el CCN puede pedir nueva certificación Common Criteria o LINCE, o una evaluación STIC complementaria.
Qué cambia según la categoría ENS
Para productos que optan a categoría ALTA, la vía general suele partir de una certificación Common Criteria. Aun así, CCN-STIC 106 contempla la cualificación en categoría ALTA a partir de una certificación LINCE en vigor mediante una evaluación STIC complementaria. En esa evaluación se analizan los RFS de categoría ALTA y MEDIA, y se prueban los que no estén cubiertos por la certificación de partida. En CYBSER lo gestionamos dentro del servicio de inclusión en el Catálogo CPSTIC. Para categorías MEDIA y BÁSICA, la referencia mínima suele ser LINCE.
Criptografía
Cuando se usan algoritmos criptográficos, el CCN validará que son aceptables para el ENS y que se ajustan a CCN-STIC 807.
Acrónimos que conviene tener claros
RFS
Requisitos Fundamentales de Seguridad. Marcan las funcionalidades que debe implementar el producto dentro de la familia CCN-STIC 140 que le corresponda.
ITC
Informe Técnico de Cualificación. Recoge la revisión del CCN y las evidencias adicionales que puede exigir.
RITC
Resultado del Informe Técnico de Cualificación. Es la comunicación del resultado favorable o desfavorable.
PES
Procedimiento de Empleo Seguro. Debe estar disponible para cerrar la inclusión en CPSTIC.
Servicios cloud
En servicios de seguridad en la nube, el expediente no es igual al de producto on-prem. La guía exige referencia a certificación ENS, DAS, Declaración de Seguridad, declaración responsable de capacidad de suministro de logs e Informe de Transparencia.
Lectura actual
Para productos y servicios cloud, CCN-STIC 106 debe combinarse con CICLON y CCN-STIC 2010, donde hoy se aterrizan la evaluación, la monitorización, el DAS, la DS y las evidencias propias del servicio cloud.
Cualificación y exclusión
Con un RITC favorable, el producto o servicio se considera cualificado desde la notificación del CCN, aunque todavía no aparezca publicado. La guía también define causas de exclusión: caducidad o revocación de certificaciones, vulnerabilidades críticas no corregidas, falta de PES o fin de soporte de seguridad, entre otras.
Cualificación continua
La estrategia de cualificación continua ayuda a gestionar nuevas funcionalidades, nuevos modelos hardware y nuevas versiones con diferencias menores frente a una certificación de partida.
Cómo ayuda CYBSER
Revisamos el producto, el encaje en las familias CPSTIC, la certificación de partida y las pruebas necesarias para cubrir los RFS aplicables. También coordinamos documentación, revisión de DS, evaluaciones STIC complementarias, certificación LINCE o CICLON y preparación del PES cuando corresponda.
Preguntas frecuentes sobre CCN-STIC 106
¿CCN-STIC 106 sustituye a CCN-STIC 140?
No. CCN-STIC 106 define el procedimiento de inclusión en CPSTIC. CCN-STIC 140 define las familias y los Requisitos Fundamentales de Seguridad (RFS) que se usan como referencia. Si no hay una familia que encaje, puede valorarse el bloque de Otras herramientas.
¿CCN-STIC 106 sigue aplicando a servicios cloud?
Sí, pero debe leerse junto con CICLON y CCN-STIC 2010. La guía todavía usa referencias a evaluación STIC para servicios cloud, pero la metodología específica actual para productos y servicios cloud es CICLON.
¿La inclusión en CPSTIC empieza cuando aparece publicado el producto?
No necesariamente. Cuando el RITC es favorable, el producto o servicio se considera cualificado desde la notificación del CCN, aunque todavía no aparezca en la siguiente edición publicada del catálogo.
¿Puede una certificación LINCE servir para categoría ALTA?
Sí, en ciertos casos. La regla general para productos de categoría ALTA suele apuntar a Common Criteria, pero CCN-STIC 106 contempla la cualificación en categoría ALTA a partir de una certificación LINCE en vigor mediante una evaluación STIC complementaria. En esa evaluación se analizan los RFS de categoría ALTA y MEDIA, y se prueban los que no estén cubiertos. Podemos gestionarlo dentro del servicio de inclusión en el Catálogo CPSTIC.
¿Queréis validar la ruta de entrada en CPSTIC?
Analizamos el producto, su encaje en CCN-STIC 140 y la ruta de evaluación más eficiente antes de abrir el expediente.