Certificación de productos y acreditación de laboratorios
Solicitud para la certificación de productos o acreditación de laboratorios por parte del CCN
Solicitud para la certificación de productos o acreditación de laboratorios por parte del CCN
El Organismo de Certificación legitima la seguridad de productos y sistemas de Tecnologías de la Información, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y Comunicaciones (capítulo V: Certificación de productos y sistemas) y tras considerar, entre otras pruebas de la instrucción del procedimiento, los informes de evaluación emitidos por los laboratorios acreditados y realizados conforme a los criterios, métodos y normas de evaluación de la seguridad indicados en el mismo reglamento (capítulo VI: Criterios y metodologías de evaluación).
Esta certificación es la culminación de un proceso de evaluación de las funciones de seguridad de un producto o sistema (objeto de evaluación) que, siguiendo una metodología también estándar, realiza un laboratorio independiente, acreditado y capacitado técnicamente para tal fin. Se trata de comprobar que el objeto de evaluación cumple correcta y eficazmente la funcionalidad de seguridad que se describe en su documentación. Esta certificación, por tanto, supone el reconocimiento de la veracidad de las propiedades de seguridad de su correspondiente declaración de seguridad. No presupone, sin embargo, una declaración de idoneidad de uso en cualquier escenario o ámbito de aplicación. Para valorar esta idoneidad deberán tenerse en cuenta otras circunstancias, incluidas las restricciones establecidas en la declaración de seguridad para la correcta interpretación del certificado.
El OC/CCN aplica desde finales del año 2004 diversas normas de evaluación de la seguridad de las TIC, entre ellas la de mayor reconocimiento internacional, la denominada Common Criteria for Information Technology Security Evaluation (también publicada como norma ISO/IEC15408). En el marco de esta norma ya se han recibido y tramitado diversas solicitudes de certificación de productos para su posible uso en la Administración electrónica española. Esta norma define niveles de evaluación entre EAL1 y EAL7. El CCRA es el acuerdo internacional que da cobertura al reconocimiento mutuo de certificados entre los niveles EAL1 y EAL2.
Conviene reseñar que el Real Decreto 3/2010, de 8 de enero, modificado por el RD 951/2015 de 23 de octubre, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en lo referente a la “adquisición de productos de seguridad y contratación de servicios de seguridad”, en su artículo 18 señala:
1. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.
Dicha certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, y que será el OC/CCN quien dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación y otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente en los casos en que no existan productos certificados.
Documentación necesaria
Para poder iniciar este procedimiento, se debe aportar al menos la información señalada a continuación. Los formularios se pueden descargar de la web del organismo de certificación.
-
Acreditación de laboratorio
-
Formulario de solicitud de acreditación de laboratorio (FOR-005-Solicitud de acreditación de laboratorio)
-
-
Certificación de producto
- Declaración de seguridad
- Solicitud de certificación de producto (FOR-001-Solicitud de Certificación de Producto)
Normativa específica de este procedimiento
En el sitio web del organismo de certificación se puede encontrar la legislación y normativa funcional específica de este procedimiento