Organismo de Certificación (OC) STIC

¿Quiénes somos?

Entre las funciones que el Real Decreto 421/2004, de 12 de marzo, asigna al Centro Criptológico Nacional (CCN), está la de "constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, de aplicación a productos y sistemas en su ámbito".

Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articuló mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre, completado por su propia normativa interna adaptada a los requisitos necesarios para ser reconocido tanto a nivel nacional, según la norma UNE-EN ISO/IEC 17065, como a nivel internacional, de acuerdo con el «Arreglo de Reconocimiento de Certificados de Criterios Comunes» (CCRA), como entidad de certificación de la seguridad de las TIC.

Para la certificación criptológica y para la certificación TEMPEST, el Organismo de Certificación se basa en criterios y metodologías propias.


Ámbito de actuación

El ámbito de actuación del OC, en lo referente a certificación funcional de la seguridad de las TI, comprende a las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de la seguridad de las TIC en el marco del Esquema, y a las entidades públicas o privadasfabricantes de productos o sistemas TIC que quieran certificar la seguridad de dichos productos, en el marco del Esquema. Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de actuación del Centro Criptológico Nacional.

En cuanto a la certificación criptológica y a la certificación TEMPEST, el ámbito de actuación del OC es el de los sistemas de la Administración que vayan a manejar información clasificada.

De este modo, en el caso de la acreditación de los laboratorios, el Organismo de Certificación acredita a los mismos según lo establecido en elReglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (Capítulo III. Requisitos de acreditación de laboratorios y Capítulo IV. Acreditación de Laboratorios) y siguiendo el procedimiento operativo PO-006, "Acreditación de laboratorios", de su normativa interna.

En cuanto a los productos y sistemas de Tecnologías de la Información, el OC certifica la seguridad funcional de los mismos, según lo establecido en el citado Reglamento (Capítulo V. Certificación de productos y sistemas y Capítulo VI. Criterios y metodologías de evaluación) y siguiendo el procedimiento operativo PO-005, "Certificación de productos" de su normativa interna.

En el ámbito nacional, el Organismo de Certificación está acreditado por la Entidad Nacional de Acreditación (ENAC), conforme a los criterios recogidos en la Norma UNE-EN ISO/IEC 17065, para la certificación de productos de Tecnologías de la Información y Comunicaciones.