Applus+ Laboratories proporciona servicios de evaluación para obtener la certificación LINCE, una de las vías para incluir productos de tecnologías de la información y la comunicación en el catálgo CPSTIC.

¿Qué es la certificación Lince y cómo obtenerla?

La Certificación Nacional Esencial de Seguridad (LINCE) ha sido desarrollada por el Centro Criptológico Nacional (CCN) español, para disponer de una metodología de evaluación más ligera que el Common Criteria, adecuada a productos que gestionan información sensible sin un nivel de amenaza alto. 

El esquema LINCE certifica que un producto ha superado exitosamente una evaluación de seguridad autorizada por el CCN, que actúa como organismo de certificación. La certificación LINCE es una de las vías para incluir el producto en el Catálogo de productos STIC español.

La evaluación tiene las siguientes características principales:

  • Debe de ser llevada a cabo en un tiempo y con una carga de trabajo acotados y predefinidos.
  • Debe analizar la conformidad del producto con sus requisitos fundamentales de seguridad conforme a lo definido en las guías [CCN-STIC-140].
  • Debe medir la resistencia de las funciones de seguridad del producto.
  • Debe estar orientada al análisis de vulnerabilidades y test de penetración.

La Certificación LINCE está formada por un paquete base y dos módulos opcionales que permiten incrementar las garantías de seguridad. Estos módulos opcionales son los siguientes: 

  • Módulo de Evaluación Criptográfica (MEC): el objetivo de este módulo es evaluar funcionalmente los mecanismos criptográficos implementados en un producto. 
  • Módulo de Revisión de Código Fuente (MCF): el objetivo de este módulo es incluir la revisión de código fuente y evaluar el producto con mayor grado de profundidad, al realizarse una evaluación de “Caja blanca”. 

Por lo tanto, se podrán realizar los siguientes tipos de evaluación como parte de la Certificación Nacional Esencial de Seguridad (LINCE): 

  • Básica: Evaluación LINCE
  • Básica + MEC: Evaluación LINCE + Evaluación Criptográfica
  • Básica + MCF: Evaluación LINCE + Revisión de Código fuente
  • Básica + MEC + MCF: Evaluación LINCE + Evaluación Criptográfica + Revisión de Código Fuente

Como norma general, una evaluación LINCE debe llevarse a cabo con una carga de trabajo estimada de 25 jornadas laborables de una persona, con un periodo de realización máximo de 8 semanas.

Para los módulos opcionales (MCF y MEC), se añaden 5 jornadas de esfuerzo y 2 semanas de duración máxima adicionales para cada uno de los módulos. 

Incluyendo los dos módulos, una certificación LINCE debe llevarse a cabo con un esfuerzo de 35 jornadas laborables por una persona, y con una duración máxima de 12 semanas.
 

¿Qué es el Catálogo de productos de Seguridad TIC (CPSTIC)? 

El Catálogo es el listado de productos de seguridad TIC recomendados por el Departamento de Productos y Tecnologías del Centro Criptológico Nacional, CCN-PYTEC, para ser usados por la Administración en la protección de sus activos TI. 

Los productos listados han sido evaluados bajo esquemas de certificación de ciberseguridad por laboratorios acreditados e independientes, y bajo la supervisión del CCN, para asegurar que cumplen los más altos estándares de seguridad.

El catalogo tiene por objetivo ser una referencia para el sector público español, y las empresas que le dan servicio, en las licitaciones y compras de productos TIC. Para ello, el catálogo diferencia dos tipos de productos: 

 



PRODUCTOS CUALIFICADOS: Son productos que tienen certificadas sus funcionalidades de seguridad, y son aptos para ser utilizados en sistemas conformes con el Esquema Nacional de Seguridad (ENS) español en las categorías Alta y Media. Los productos de categoría Básica no forman parte del Catálogo. 


PRODUCTOS APROBADOS: Son productos cuyo uso está aprobado en sistemas que manejen información clasificada.

La certificación LINCE dará acceso al catálogo STIC de productos cualificados de Categoría ENS Media, mientras que la certificación Common Criteria dará acceso a la Categoría ENS Alta. Para más información sobre la inclusión en el catálogo de productos cualificados de Categoria Alta, consulta nuestro Guía sobre el Catalogo STIC.

 

*Excepto en casos excepcionales

Applus+ Laboratories, expertos en evaluaciones de ciberseguridad

Los diferentes laboratorios de ciberseguridad de Applus+ poseen los recursos y acreditaciones, así como una amplia y demostrada experiencia en evaluaciones de seguridad y en procesos de certificación. Para más información sobre la ruta más óptima para conseguir la inclusión de su producto en el catálogo de productos de seguridad TIC, contacta con nuestros expertos y plantéanos tus dudas y necesidades.

Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando aquí.

Panel de configuración de cookies