Firmando

Procesando
 Por favor, espere
Acceso sede icono cerrar ventana

icono señalizador

icono señalizador

Datos del Trámite

Certificación funcional de productos y acreditación de laboratorios (CCN)

 

El Organismo de Certificación certifica la seguridad de productos y sistemas de Tecnologías de la Información, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y Comunicaciones (Capítulo V Certificación de productos y sistemas) y tras considerar, entre otras pruebas de la instrucción del procedimiento, los informes de evaluación emitidos por los laboratorios acreditados y realizados conforme a los criterios, métodos y normas de evaluación de la seguridad indicados en el propio Reglamento (Capítulo VI. Criterios y metodologías de evaluación).

Esta certificación es la culminación de un proceso de evaluación de las funciones de seguridad de un producto o sistema (objeto de evaluación) que, siguiendo una metodología también estándar, realiza un laboratorio independiente, acreditado y capacitado técnicamente para tal fin. Se trata de comprobar que el objeto de evaluación realiza correcta y eficazmente la funcionalidad de seguridad que se describe en su documentación. Esta certificación, por tanto, supone el reconocimiento de la veracidad de las propiedades de seguridad de su correspondiente Declaración de Seguridad. No presupone, sin embargo, una declaración de idoneidad de uso en cualquier escenario o ámbito de aplicación. Para valorar esta idoneidad deberán tenerse en cuenta otras circunstancias, incluidas las restricciones establecidas en la Declaración de Seguridad para la correcta interpretación del certificado.

El OC/CCN viene operando desde finales del año 2004 con diversas normas de evaluación de la seguridad de las TIC, entre ellas, la de mayor reconocimiento internacional, la denominada Common Criteria for Information Technology Security Evaluation (también publicado como norma ISO/IEC15408). De ella se han venido recibiendo y tramitando diversas solicitudes de certificación de productos para su posible uso en la Administración electrónica española. Esta norma define niveles de evaluación entre EAL1 y EAL7, siendo el CCRA el acuerdo internacional que da cobertura al reconocimiento mutuo de certificados entre los niveles EAL1 a EAL2.

Conviene reseñar que el Real Decreto 3/2010, de 8 de enero, modificado por el RD 951/2015 de 23 de octubre, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en lo referente a la “Adquisición de productos de seguridad y contratación de servicios de seguridad”, en su artículo 18, señala:

«1. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.»

Dicha certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, y que será el OC/CCN quien dentro de sus compete


  • Normativa
    • Legislación
    • En el sitio web del organismo de certificación se puede encontrar la legislación específica de este trámite.

    • Normativa Funcional
    • La normativa funcional regula la actuación del Organismo de Certificación y garantiza el cumplimiento de los requisitos exigidos por la norma UNE-EN ISO/IEC 17065 así como los derivados del CCRA. Aquí puedes encontrar el "PO-005 Certificación de productos" y el "PO-006 Acreditación de laboratorios".

  • Preguntas Frecuentes
    • ¿Cuánto cuesta certificar un producto?
    • El proceso de CERTIFICACIÓN, como proceso administrativo entre el solicitante de la certificación y el CCN es gratuito. Aunque la Disposición adicional única del Reglamento recoge posibilidad de establecer tasas por la emisión del certificado, el Organismo de Certificación no lo ha hecho por el momento.

      Lo que sí tiene un coste es el trabajo de evaluación del laboratorio, que termina con la emisión de un Informe Técnico de Evaluación y que está regulado por un contrato entre el solicitante y el laboratorio.
    • ¿Cuánto tiempo se tarda en certificar un producto?
    • Depende de muchos factores y de muchos actores:

      . Complejidad del producto
      . Nivel de evaluación
      . Carga de trabajo del laboratorio y del Organismo de Certificación
      . Disponibilidad del producto y de la documentación del mismo exigida en la evaluación y capacidad de respuesta del solicitante para resolver las incidencias que surgen en el proceso de evaluación.
    • ¿Qué tipo de productos se certifican en este Esquema?
    • Se certifica el nivel de seguridad de productos de tecnologías de la información y comunicaciones, ya sean software o hardware y según las normas aprobadas en el Esquema: ITSEC, Common Criteria, ISO15408/ISO18045 e ISO19790/ISO24759.

    • ¿Qué validez tiene la certificación?
    • El certificado obtenido según la norma Common Criteria está reconocido por todos los países firmantes del acuerdo CCRA (www.commoncriteriaportal.org) y no tiene fecha de expiración mientras se cumplan las condiciones en las que se emitió. De la misma manera, cualquier certificado emitido por un país autorizado dentro del acuerdo CCRA es reconocido por España. En ambos casos, sólo hasta nivel EAL2.

  • Forma de presentación
    • Por correo electrónico
    • On-line
  • Información adicional a la forma de presentación
    •  El correo electrónico de contacto es organismo.certificacion@cni.es.

bannerPie

TODAS LAS SECCIONES

TODOS LOS PERFILES

TODAS LAS CATEGORÍAS

Administración Electrónica
CIF: S2830146C.  |   Avda. Padre Huidobro s/n 28023 Madrid, España.  |   28080 Madrid Madrid   |   913725000.  |   web@cni.es