LINCE

Certificación Nacional Esencial de Seguridad

Metodología de evaluación y certificación para productos de seguridad TIC

LINCE:
valoración y acreditación de la capacidad de un producto TIC para manejar información de forma segura.

LINCE (Certificación Nacional Esencial de Seguridad) es una metodología de evaluación y certificación para productos de seguridad TIC desarrollada por el CCN (Centro Criptológico Nacional) que permite valorar y acreditar la capacidad de un producto TIC para manejar información de forma segura.

LINCE se crea como respuesta a la necesidad de evaluación de productos cuyo despliegue está previsto en entornos en los cuales el nivel de amenaza es de tipo básico o substancial. Los casos en los que el nivel de amenaza sea más elevado, sigue siendo recomendable metodologías de evaluación como Common Criteria.

La necesidad de la certificación LINCE se establece en el Esquema Nacional de Seguridad, y en concreto en el artículo 18:

 “En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad

Actualmente se dispone de la opción de la certificación de Common Criteria, pero por motivos económicos y de plazo en muchas veces no es la opción optima. La certificación Lince surge para estas ocasiones.

¿Cuáles son las características de la
Certificación LINCE

La Certificación Nacional Esencial de Seguridad LINCE certifica que un producto ha superado exitosamente una evaluación de seguridad (a través de una tercera parte independiente debidamente acreditada). La evaluación LINCE tiene las siguientes características:

  • Debe llevarse a cabo en un tiempo y con una carga de trabajo acotada y predefinida.

  • Debe analizar la conformidad del producto con las funciones de seguridad del producto implementadas por el TOE (Target of Evaluation).
  • Debe medir la resistencia de las funciones de seguridad del producto.

  • Debe estar orientada al análisis de vulnerabilidades y test de penetración.

La certificación LINCE está formada por un paquete base (LINCE) y tres módulos opcionales que permiten incrementar las garantías de seguridad. Estos módulos opcionales son los siguientes:

  • Módulo de Evaluación Criptográfica (MEC)
  • Módulo de Revisión De Código Fuente (MCF)
  • Módulo de Evaluación Biométrica (MEB)

¡NO SE QUEDE ATRÁS Y CERTIFÍQUESE!
De forma sencilla, rápida y económica

Actores y Responsabilidades en la certificación
LINCE

Los siguientes actores están involucrados en el proceso de certificación:

  • Proporciona el producto, la documentación asociada al mismo y la declaración de seguridad
  • Proporciona el entorno de pruebas al evaluador
  • Proporciona cualquier información necesaria y da asistencia técnica a los evaluadores (entrenamiento, pruebas…) y da soporte en las pruebas
  • Firma un contrato con un laboratorio de evaluación acreditado por el CCN para llevar a cabo la evaluación de seguridad
  • Realiza la petición de certificación al CCN

  • El laboratorio de Evaluación es una entidad acreditada
  • Realiza la evaluación del producto de acuerdo con las metodologías definidas en la normativa

  • Elabora el informe de certificación y emite el certificado correspondiente.

¿Cuáles son las fase del proceso de
certificación LINCE?

  • Preparar la Declaración de Seguridad del TOE siguiendo las guías establecidas.
  • Preparar la documentación necesaria para permitir a un usuario final utilizar el producto de manera segura (Guías de uso y de instalación de producto) y preparar el entorno para la realización de las pruebas de evaluación con el laboratorio evaluador.
  • Si es MCF – preparar el código fuente para su entrega.
  • Si es MEC – preparar la documentación que describe dichos mecanismos y preparar el entorno para la realización de las pruebas criptográficas.
  • Si es MEB – preparar la documentación que describe la funcionalidad de reconocimiento biométrico y preparar el entorno para las pruebas biométricas.

  • Firmar acuerdo con el laboratorio de evaluación acreditado.

  • Enviar al Organismo de Certificación la solicitud de certificación y la declaración de seguridad del producto

  1. El laboratorio realizará:
    • Análisis de conformidad respecto de la declaración de seguridad y la documentación asociada (análisis de documentos y pruebas funcionales)
    • Análisis de vulnerabilidades y test de penetración.
  2. El resultado será un Informe Técnico de Evaluación (ETR) que se envía al Organismo de Certificación para su validación técnica.

La evaluación se lleva a cabo bajo unas restricciones estrictas de tiempo y carga de trabajo, cuyo objetivo es limitar el esfuerzo y la duración del proceso (norma general 25 jornadas laborales / 8 horas).

  1. La certificación consiste en:
    • Análisis técnico y validación del ETR (informe técnico de evaluación) mediante estudio y análisis y/o sesiones de análisis.
    • Elaboración del Informe de Certificación.
  2. Emisión del certificado.

El certificado LINCE se emite indicando la versión específica de producto que fue evaluada. Si el producto evoluciona, sus nuevas versiones no serán certificadas por defecto.

El certificado tiene una validez de 24 meses desde su emisión.

CERTIFICACIÓN NACIONAL ESENCIAL DE SEGURIDAD

¿Qué ofrece Ingertec a tu Empresa?

Proceso Online

Consultores Expertos

Auditoría Interna

Certificación Asegurada

Precio Justo

Por qué has de elegir a
Grupo Ingertec

  • Contamos con Directores de Proyecto, Consultores y Auditores acreditados.

  • Conocemos las últimas actualizaciones de normativa y legislación.
  • No abandonamos ningún proyecto hasta su correcta implementación o certificación.

  • Ofrecemos servicios de Auditoría Interna, acompañamiento en Auditoría Externa y Mantenimiento.

  • Precios según mercado.

Pide tu PRESUPUESTO

Completa el formulario y te contactaremos lo más pronto posible