La revisión del Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de la Tecnología de la Información (conocido como CCRA) ratificada por los 26 países miembros del mismo, incluyendo a España, y cuyo texto se puede consultar en el siguiente enlace http://www.commoncriteriaportal.org/files/CCRA%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf , fue publicada el 8 de septiembre de 2014.
Por parte de España se ha realizado una firma conjunta entre el Centro Criptológico Nacional y la Secretaría de Estado de Administraciones Públicas.
Esta revisión del Arreglo es el resultado de los trabajos realizados durante los años 2013 y 2014 para producir una nueva versión actualizada acorde a la evolución desde la firma del primer Arreglo el 23 de mayo de 2000.
El Arreglo especifica los requisitos que han de cumplir los Certificados de Criterios Comunes, los Organismos de Certificación y los Centros de Evaluación de la seguridad de las tecnologías de la información. Entre las novedades figuran una mejor colaboración público-privada a través del establecimiento de las denominadas comunidades técnicas internacionales (international Technical Communities (iTCs)) y la definición de requisitos funcionales de seguridad a través de los perfiles de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a productos tales como dispositivos USB, cortafuegos, cifradores de discos, etc.
Los certificados de la seguridad son expedidos por Organismos de Certificación, en España el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TI
El Arreglo tiene interés para el Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero) que, en relación con la adquisición de productos de seguridad, contempla lo siguiente:
- se valore positivamente la certificación de seguridad en la adquisición de productos por parte de las Administraciones Públicas, (art. 18.1)
- se reconoce el papel del Organismo de Certificación nacional (art. 18.3)
- se recoge cómo el uso de productos cuya seguridad se ha certificado contribuye a la satisfacción de requisitos de seguridad de manera proporcionada en las medidas de seguridad para la protección adecuada de la información (Anexo II)
- e incluye un modelo de cláusula para los pliegos de prescripciones técnicas (RD 3/2010, Anexo V).