Acreditación de laboratorios.
El Organismo de Certificación realiza en Laboratorios Acreditados la evaluación de la seguridad de las tecnologías de información.
La acreditación del Organismo de Certificación requiere, como condición inicial, la acreditación de la competencia técnica del mismo, conforme a la norma UNE-EN 17025, por una Entidad de Acreditación reconocida, como ENAC.
El Organismo de Certificación requerirá para la acreditación de los laboratorios de evaluación de la seguridad de las Tecnologías de la Información el cumplimiento de los siguientes requisitos:
- Capacidad para la evaluación de la seguridad de las tecnologías de la información de productos, demostrada mediante acreditación de la competencia técnica en vigor, cuyo alcance incluya los criterios, métodos y normas de evaluación.
-
Cumplimiento de los requisitos de la gestión de la
seguridad establecidos en el Capítulo III. Requisitos
de acreditación de laboratorios del
Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información . - El desarrollo de las evaluaciones de acuerdo a procedimientos que recojan las obligaciones de información y coordinación con el Organismo de Certificación indicadas en dicho Capítulo III. Requisitos de acreditación de laboratorios.
La comprobación del cumplimiento de estos requisitos se realizará mediante el procedimiento de auditoría y seguimiento indicado en el Capítulo IV. Acreditación de laboratorios. En todo caso, el alcance de la acreditación otorgada por el Organismo de Certificación estará limitada por el alcance de la acreditación de la competencia técnica del laboratorio, y cualificada por el nivel de seguridad del mismo.
Salvo en los casos en que haya una compartimentación organizativa, de medios y procedimientos, aprobada por el Organismo de Certificación, el laboratorio deberá cumplir con los requisitos de la gestión de la seguridad necesarios para la acreditación incluso en el desarrollo de aquellas evaluaciones cuyo objeto final no sea la certificación del producto evaluado por parte del Organismo de Certificación.
Relación de Laboratorios acreditados.
- RESOLUCIÓN 1A0/38264/2010, de 19 de noviembre.
- Nivel de calificación de seguridad: CLASIFICADO
-
Normas y niveles de evaluación:
- Information Technology Security Evaluation Criteria, Office for Official Publications of the European Communities, nivel E4;
- Common Criteria/Common Evaluation Methodology, v3.1, nivel EAL4 + (AVA_VAN.5, ALC_FLR.2).
- Datos de contacto
- RESOLUCIÓN 1A0/38236/2009, de 31 de agosto.
- Nivel de calificación de seguridad: NO CLASIFICADO
-
Normas y niveles de evaluación:
- Common Criteria/Common Evaluation Methodology, v3.1, nivel EAL4 + (AVA_VAN.5, ALC_DVS.2 y ALC_FLR.2).
- Datos de contacto
- RESOLUCIÓN 1A0/38113/2009, de 4 de mayo.
- RESOLUCIÓN 1A0/38041/2011, de 7 de marzo.
- Nivel de calificación de seguridad: CLASIFICADO
-
Normas y niveles de evaluación:
- Common Criteria/Common Evaluation Methodology, v3.1, nivel EAL4 + (AVA_VAN.5, ALC_FLR.2, ALC_DVS.2).
- ISO/IEC 19790:2008 "Requisitos de Seguridad para Módulos Criptográficos" e ISO/IEC 24759:2008 "Requisitos de pruebas para módulos criptográficos", nivel SL3.
- Datos de contacto
SOGIS MRA v3 - Dominio Técnico: Smartcards and Similar devices.
En Marzo del 2010, el Esquema Nacional se incorporó a la nueva versión 3.0 del ``Senior Officials' Group, Information Security - Mutual Recognition Agreement'' (SOGIS MRA) en Europa.
El Esquema Nacional es emisor autorizado de certificados SOGIS MRA v3 para las normas Common Criteria v3.1 EAL1-EAL4 e ITSEC E1-E3.
El MRA v3 define dominios técnicos para tipos de tecnologías específicas, siendo el primero de estos dominios el de "Smartcards and Similar devices".
La relación actual de laboratorios autorizados para trabajar en este dominio SOGIS es la siguiente:
-
Normas y niveles de evaluación:
- Common Criteria/Common Evaluation Methodology, v3.1, EAL4 + (AVA_VAN.5, ALC_DVS.2 y ALC_FLR.2).