Centro Nacional de Inteligencia

Solicitude para a certificación de produtos ou acreditación de laboratorios por parte do CCN

O Organismo de Certificación lexitima a seguridade de produtos e sistemas de Tecnoloxías da Información, segundo o establecido no Regulamento de Avaliación e Certificación da Seguridade das Tecnoloxías da Información e Comunicacións (capítulo V: Certificación de produtos e sistemas) e tras considerar, entre outras probas da instrución do procedemento, os informes de avaliación emitidos polos laboratorios acreditados e realizados conforme aos criterios, métodos e normas de avaliación da seguridade indicados no mesmo regulamento (capítulo VIN: Criterios e metodoloxías de avaliación).

Esta certificación é a culminación dun proceso de avaliación das funcións de seguridade dun produto ou sistema (obxecto de avaliación) que, seguindo unha metodoloxía tamén estándar, realiza un laboratorio independente, acreditado e capacitado tecnicamente para tal fin. Trátase de comprobar que o obxecto de avaliación cumpre correcta e eficazmente a funcionalidade de seguridade que se describe na súa documentación. Esta certificación, por tanto, supón o recoñecemento da veracidade das propiedades de seguridade da súa correspondente declaración de seguridade. Non presupón, con todo, unha declaración de idoneidade de uso en calquera escenario ou ámbito de aplicación. Para valorar esta idoneidade deberán terse en conta outras circunstancias, incluídas as restricións establecidas na declaración de seguridade para a correcta interpretación do certificado.

O OC/CCN aplica desde finais do ano 2004 diversas normas de avaliación da seguridade do TIC, entre elas a de maior recoñecemento internacional, a denominada Common Criteria for Information Technology Security Evaluation (tamén publicada como norma ISO/IEC15408). No marco desta norma xa se recibiron e tramitado diversas solicitudes de certificación de produtos para o seu posible uso na Administración electrónica española. Esta norma define niveis de avaliación entre EAL1 e EAL7. O CCRA é o acordo internacional que dá cobertura ao recoñecemento mutuo de certificados entre os niveis EAL1 e EAL2.

Convén apuntar que o Real Decreto 3/2010, de 8 de xaneiro, modificado polo RD 951/2015 de 23 de outubro, polo que se regula o Esquema Nacional de Seguridad no ámbito da Administración Electrónica, no referente á “adquisición de produtos de seguridade e contratación de servizos de seguridade”, no seu artigo 18 sinala:

1. Na adquisición de produtos de seguridade das tecnoloxías da información e comunicacións que vaian ser empregados polas Administracións públicas utilizaranse, de forma proporcionada á categoría do sistema e nivel de seguridade determinados, aqueles que teñan certificada a funcionalidade de seguridade relacionada co obxecto da súa adquisición, salvo naqueles casos en que as esixencias de proporcionalidade en canto aos riscos asumidos non o xustifiquen a xuízo do responsable de Seguridade.

Dita certificación deberá estar de acordo coas normas e estándares de maior recoñecemento internacional, e que será o OC/CCN quen dentro das súas competencias, determinará o criterio a cumprir segundo o uso previsto do produto ao que se refire, en relación co nivel de avaliación e outras certificacións de seguridade adicionais que se requiren normativamente, así como, excepcionalmente nos casos en que non haxa produtos certificados.

Documentación necesaria

Para poder iniciar este procedemento, débese achegar polo menos a información sinalada a continuación. Os formularios pódense descargar da web do organismo de certificación.

• Acreditación de laboratorio

  
  
  • Formulario de solicitude de acreditación de laboratorio (FOR-005-Solicitude de acreditación de laboratorio)

• Certificación de produto

  
  
  • Declaración de seguridade
  • Solicitude de certificación de produto (FOR-001-Solicitude de Certificación de Produto)

Normativa específica deste procedemento

No sitio web do organismo de certificación pódese atopar a lexislación e normativa funcional específica deste procedemento.