Guía de seguridad de las TIC

info@anyma.io — Mon, 04 Nov 2019 10:31:21 +0000

Guía de seguridad de las TIC Lun, 04/11/2019 - 10:31

Fecha: Octubre 2019
Idioma: Castellano
Procedencia: Ministerio de España – Centro Criptológico Nacional
Web: ver aquí

Objetivo
El objeto de este documento es el de presentar el Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación que recoge un listado de productos aprobados para el manejo de información clasificada o cualificados para el manejo de información sensible, de forma que pueda servir de referencia a la Administración Pública.

Introducción
La adquisición de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad implementados en el producto son adecuados para proteger dicha información.

La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) a través del RD 421/2004 de 12 de marzo en su Artículo 1 y en su Artículo 2.1, el cual establece que el Director del CCN es la autoridad de certificación de la seguridad de las tecnologías de la información y la comunicación y autoridad de certificación criptológica.

[visitante]

Para poder continuar leyendo la introducción de esta guía sobre seguridad TIC y poder descargar el documento completo en PDF debe iniciar sesión o darse de alta en el portal.

[/visitante]

[miembro]

Así mismo, dentro del RD 3/2010 de 8 de enero, modificado por el RD 951/2015, de 23 de octubre, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración electrónica, se indica que el Organismo de Certificación del CCN será el responsable de determinar los requisitos exigibles a cada producto de Seguridad TIC en materia de certificaciones y/o evaluaciones adicionales.

En base a estas competencias, el CCN publica la guía CCN-STIC 105 Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC). Este catálogo tiene como finalidad ofrecer a los organismos de la Administración un conjunto de productos STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas.

De esta forma, el CPSTIC permite proporcionar un nivel mínimo de confianza al usuario final en los productos adquiridos, en base a las mejoras de seguridad derivadas del proceso de evaluación y certificación y a un procedimiento de empleo seguro.

El CPSTIC consta de dos partes: Productos Aprobados y Productos Cualificados. En el apartado de Productos Aprobados se recogen aquellos productos que se consideran adecuados para el manejo de información clasificada, mientras que en el apartado de Productos Cualificados se incluyen aquellos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (Alta, Media y Básica).

Contenido de la guía