¿Quiénes somos?

La adquisición de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad implementados en el producto son adecuados para proteger dicha información.

La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) a través del   pdf RD 421/2004 de 12 de Marzo (355 KB) en su Artículo 1 y en su Artículo 2.1, el cual establece la de "constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, de aplicación a productos y sistemas en su ámbito".

El Centro Criptológico Nacional (CCN) recibe múltiples consultas de los diferentes organismos de la Administración sobre qué productos deben emplear para proteger sus sistemas de las tecnologías de la información y la comunicación (TIC).  En este sentido, el Organismo de Certificación (OC) realiza tres tipos de certificación en función de los aspectos de seguridad que se evalúen, pero siempre referidos a productos y sistemas STIC:

Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre, completado por su propia normativa interna adaptada a los requisitos necesarios para ser reconocido tanto a nivel nacional, según la norma UNE-EN ISO/IEC 17065, como a nivel internacional, de acuerdo con el «Arreglo de Reconocimiento de Certificados de Criterios Comunes» (CCRA), como entidad de certificación de la seguridad de las TIC.

Para la certificación criptológica y para la certificación TEMPEST, el Organismo de Certificación se basa en criterios y metodologías propias.

Anualmente se realiza una auditoría interna y una auditoría externa al OC. La auditoría interna la realiza personal del CNI (no perteneciente al CCN), para comprobar que la actividad de certificación se efectúa de acuerdo a las normas y procedimientos establecidos en cada caso.

La auditoría externa la realiza la Entidad Nacional de Acreditación (ENAC), según la correspondiente norma ISO, y es necesaria para que el OC mantenga la acreditación como entidad de certificación de producto.

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información.