Certificación Funcional de la seguridad de las Tecnologías de la Información

Certificación Funcional

El Organismo de Certificación certifica la seguridad de productos y sistemas de Tecnologías de la Información, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y Comunicaciones (Capítulo V Certificación de productos y sistemas) y tras considerar, entre otras pruebas de la instrucción del procedimiento, los informes de evaluación emitidos por los laboratorios acreditados y realizados conforme a los criterios, métodos y normas de evaluación de la seguridad indicados en el propio Reglamento (Capítulo VI. Criterios y metodologías de evaluación).

Esta certificación es la culminación de un proceso de evaluación de las funciones de seguridad de un producto o sistema (objeto de evaluación) que, siguiendo una metodología también estándar, realiza un laboratorio independiente, acreditado y capacitado técnicamente para tal fin. Se trata de comprobar que el objeto de evaluación realiza correcta y eficazmente la funcionalidad de seguridad que se describe en su documentación. Esta certificación, por tanto, supone el reconocimiento de la veracidad de las propiedades de seguridad de su correspondiente Declaración de Seguridad. No presupone, sin embargo, una declaración de idoneidad de uso en cualquier escenario o ámbito de aplicación. Para valorar esta idoneidad deberán tenerse en cuenta otras circunstancias, incluidas las restricciones establecidas en la Declaración de Seguridad para la correcta interpretación del certificado.

El OC/CCN viene operando desde finales del año 2004 con diversas normas de evaluación de la seguridad de las TIC, entre ellas, la de mayor reconocimiento internacional, la denominada Common Criteria for Information Technology Security Evaluation (también publicado como norma ISO/IEC15408). De ella se han venido recibiendo y tramitando diversas solicitudes de certificación de productos para su posible uso en la Administración electrónica española. Esta norma define niveles de evaluación entre EAL1 y EAL7, siendo el CCRA el acuerdo internacional que da cobertura al reconocimiento mutuo de certificados entre los niveles EAL1 a EAL2.

Conviene reseñar que el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en lo referente a la adquisición de productos de seguridad, en su artículo 18, señala que en las adquisiciones de productos que vayan a ser utilizados por las administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Dicha certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, y que será el OC/CCN quien dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados.