Certificació de productes i acreditació de laboratoris
Sol·licitud per a la certificació de productes o acreditació de laboratoris per part del CCN
Sol·licitud per a la certificació de productes o acreditació de laboratoris per part del CCN
L'Organisme de Certificació certifica la seguretat de productes i sistemes de Tecnologies de la Informació, segons l'establert en el Reglament d'Avaluació i Certificació de la Seguretat de les Tecnologies de la Informació i Comunicacions (Capítol V: Certificació de productes i sistemes) i després de considerar, entre altres proves de la instrucció del procediment, els informes d'avaluació emesos pels laboratoris acreditats i realitzats conforme als criteris, mètodes i normes d'avaluació de la seguretat indicats en el propi reglament (Capítol VI: Criteris i metodologies d'avaluació).
Aquesta certificació és la culminació d'un procés d'avaluació de les funcions de seguretat d'un producte o sistema (objecte d'avaluació) que, seguint una metodologia també estàndard, realitza un laboratori independent, acreditat i capacitat tècnicament per a tal fi. Es tracta de comprovar que l'objecte d'avaluació realitza correcta i eficaçment la funcionalitat de seguretat que es descriu en la seva documentació. Aquesta certificació, per tant, suposa el reconeixement de la veracitat de les propietats de seguretat de la seva corresponent declaració de seguretat. No pressuposa, no obstant això, una declaració d'idoneïtat d'ús en qualsevol escenari o àmbit d'aplicació. Per valorar aquesta idoneïtat hauran de tenir-se en compte altres circumstàncies, incloses les restriccions establertes a la declaració de seguretat per a la correcta interpretació del certificat.
L' OC/CCN ve operant des de finals de l'any 2004 amb diverses normes d'avaluació de la seguretat de les TIC, entre elles, la de major reconeixement internacional, la denominada Common Criteria for Information Technology Security Evaluation (també publicat com a norma ISO/IEC15408). D'ella s'han vingut rebent i tramitant diverses sol·licituds de certificació de productes per al seu possible ús en l'Administració electrònica espanyola. Aquesta norma defineix nivells d'avaluació entre EAL1 i EAL7, sent el CCRA l'acord internacional que dóna cobertura al reconeixement mutu de certificats entre els nivells EAL1 a EAL2.
Convé ressenyar que el Reial decret 3/2010, de 8 de gener, modificat pel RD 951/2015 de 23 d'octubre, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica, referent a la “Adquisició de productes de seguretat i contractació de serveis de seguretat”, en el seu article 18, assenyala:
1. En l'adquisició de productes de seguretat de les tecnologies de la informació i comunicacions que vagin a ser emprats per les Administracions públiques s'utilitzaran, de forma proporcionada a la categoria del sistema i nivell de seguretat determinats, aquells que tinguin certificada la funcionalitat de seguretat relacionada amb l'objecte de la seva adquisició, excepte en aquells casos en què les exigències de proporcionalitat quant als riscos assumits no ho justifiquin segons el parer del responsable de Seguretat.
Aquesta certificació haurà d'estar d'acord amb les normes i estàndards de major reconeixement internacional, i que serà l' OC/CCN qui dins de les seves competències determinarà el criteri a complir en funció de l’ús previst del producte al que es refereixi, en relació amb el nivell d’avaluació i altres certificacions de seguretat addicionals que es requereixen normativament, així com, excepcionalment en els casos en que no existeixin productes certificats.
Documentació necessària
Per poder iniciar aquest procediment, s'ha d'aportar almenys la informació assenyalada a continuació. Els formularis es poden descarregar per al seu emplenament de la web de l'organisme de certificació.
-
Acreditació de laboratori
- Formulari de sol·licitud d'acreditació de laboratori (FOR-005-Solicitud de acreditación de laboratorio)
-
Certificació de producte
- Declaració de seguretat
- Sol·licitud de certificació de producte (FOR-001-Solicitud de Certificación de Producto)
Normativa específica d'aquest procediment
En la pàgina web de l'organisme de certificació es pot trobar la legislació i normativa funcional específica d'aquest procediment.