Metodología de evaluación LINCE

CCN-STIC 2002: metodología de evaluación LINCE explicada

CCN-STIC 2002 describe la metodología de evaluación LINCE: evidencias mínimas, etapas de evaluación, restricciones de esfuerzo y tratamiento de hallazgos durante el proceso.

Qué es CCN-STIC 2002

CCN-STIC 2002 es la guía metodológica de LINCE. Aquí se detallan las evidencias mínimas, las tareas del evaluador y el orden en el que debe ejecutarse la evaluación.

Qué regula dentro de LINCE

Regula el trabajo práctico de evaluación: evidencias mínimas, entorno de pruebas, módulos opcionales, hallazgos, veredicto y resultados.

La metodología fija además un esfuerzo de 25 días y un plazo máximo de 8 semanas desde el inicio de la evaluación.

Lectura rápida

Qué es

La guía del CCN que explica cómo se ejecuta en la práctica una evaluación LINCE.

A quién aplica

Si ya estáis preparando documentación, evidencias y entorno de evaluación.

Qué ayuda a aclarar

Evidencias mínimas, etapas de evaluación, tratamiento de hallazgos y validación de correcciones.

Cuándo resulta más útil

Antes de empezar el proceso de evaluación para asegurarse de que se conoce el proceso.

Etapas de la evaluación

  • Etapa 1: análisis de la declaración de seguridad.
  • Etapa 2: instalación del producto y análisis de las guías de instalación, configuración y operación.
  • Etapa 3: pruebas funcionales.
  • Etapa 4: análisis de vulnerabilidades.
  • Etapa 5: pruebas de penetración del TOE.

Qué debe tener preparado el fabricante

  • Declaración de seguridad y documentación coherente con la versión evaluada.
  • Entregable de la versión exacta del producto que se va a evaluar.
  • Capacidad de corregir hallazgos dentro de tiempos razonables.

Qué cubre la metodología

  • Análisis de la declaración de seguridad.
  • Instalación del producto y revisión de las guías de uso, operación y configuración.
  • Pruebas funcionales, análisis de vulnerabilidades y pruebas de penetración.
  • Módulos opcionales para código fuente, mecanismos criptográficos o biometría cuando proceda.

Límites de la metodología

La propia guía define LINCE como una evaluación de seguridad básica, con alcance y esfuerzo acotados. Está pensada para productos que quieren entrar en la categoría media del ENS.

Documentación mínima esperable

  • Declaración de seguridad con identificación unívoca del TOE y de sus funciones de seguridad.
  • Guías de instalación, configuración y operación del producto para alcanzar su configuración segura.
  • Descripción clara del alcance evaluado, versión y componentes incluidos.
  • Configuración segura de referencia y entorno de pruebas necesario para reproducir el despliegue evaluado.

Bloqueos habituales

  • Documentación inconsistente con la versión que realmente se evalúa.
  • Entornos que no pueden ser reproducidos siguiendo exclusivamente la documentación.
  • Funciones de seguridad no implementadas al completo.
  • Tiempos lentos de respuesta cuando aparecen hallazgos o se necesitan aclaraciones técnicas.

Qué revisa realmente el laboratorio

La evaluación no se limita a ejecutar pruebas. El laboratorio necesita una base documental suficiente para revisar alcance, configuración y funciones de seguridad sin depender de aclaraciones continuas durante el proceso.

Cuando esa base es débil, aparecen iteraciones innecesarias, dudas de alcance y más tiempo de coordinación entre fabricante y laboratorio.

Si aparecen hallazgos

Es parte normal del proceso. Habrá que corregir y verificar que la nueva versión soluciona los problemas identificados.

Antes de empezar

1. Ruta validada

Confirmar que LINCE es la vía correcta y que el producto no debería ir por CICLON.

2. Alcance cerrado

Definir versión, funcionalidades y límites exactos de la evaluación.

3. Evidencias disponibles

Tener preparada la documentación mínima y el entorno necesario para evaluar.

4. Capacidad de reacción

Asegurar que el equipo podrá corregir hallazgos con rapidez cuando aparezcan.

Cómo ayuda CYBSER

Preparamos la declaración de seguridad, revisamos la documentación y ejecutamos la evaluación, reportamos los hallazgos y verificamos las correcciones antes de cerrar el informe para el Organismo de Certificación.

Nos ocupamos de todo el proceso para que podáis seguir centrados en vuestro producto.

Revisar preparación para evaluación LINCE Ver también CCN-STIC 2001

Consulta la guía oficial

Si necesitáis revisar el texto completo, podéis consultar aquí la guía oficial del CCN.

Consultar CCN-STIC 2002 →

Preguntas frecuentes sobre CCN-STIC 2002

¿CCN-STIC 2002 define la preparación mínima del fabricante?
Sí. La guía fija evidencias mínimas como la declaración de seguridad, las guías de instalación, configuración y operación, y el entorno de pruebas necesario para ejecutar el TOE.
¿Qué pasa si aparecen vulnerabilidades durante la evaluación?
Es parte normal del proceso. Habrá que corregir y verificar que la nueva versión soluciona los problemas identificados, y se repiten las comprobaciones necesarias antes de cerrar el informe de la evaluación.
¿CCN-STIC 2002 sirve para estimar plazo y esfuerzo?
Sí. La metodología define un esfuerzo de 25 días y un plazo máximo de 8 semanas desde el inicio. Aun así, el plazo real depende del tipo de producto, del estado de la documentación y de la cantidad de correcciones necesarias.
¿Conviene tener toda la documentación cerrada antes de iniciar la evaluación?
Conviene llegar con una base documental suficiente y coherente. Cuanto más madura esté la documentación de alcance, instalación, operación y funciones de seguridad, más rápido será el proceso.

¿Necesitáis revisar si vuestro producto está listo para la evaluación?

Revisamos alcance, documentación y entorno antes de iniciar la evaluación LINCE.