O Acordo sobre o Recoñecemento dos Certificados de Criterios Comúns no campo da Seguridade da Tecnoloxía da Información (coñecido polas súas siglas en inglés CCRA) especifica os requisitos que han de cumprir os Certificados de Criterios Comúns, os Organismos de Certificación e os Centros de Avaliación da seguridade das tecnoloxías da información.
O Acordo parte da premisa de que a utilización de produtos e sistemas da tecnoloxía da información (TI) cuxa seguridade foi certificada é unha de salvagárdalas principais para protexer a información e os sistemas que a manexan.
Los certificados de la seguridad son expedidos por Organismos de Certificación reconocidos a productos o sistemas de TI (o a perfiles de protección) que hayan sido satisfactoriamente evaluados por Servicios de Evaluación, conforme a los Criterios Comunes (norma ISO/IEC 15408). En España los certificados son expedidos por el Organismo de Certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das TI.
A versión en vigor do Acordo foi ratificada e publicada o 8 de setembro de 2014 por 26 países, incluíndo a España; por parte do noso país, a ratificación realizouse de forma conxunta entre o Centro Criptolóxico Nacional e a Secretaría de Estado de Administracións Públicas. Os 26 países asinantes son: Alemaña, Australia, Austria, Canadá, Estados Unidos, Dinamarca, España, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Xapón, Malaisia, Países Baixos, Nova Zelandia, Noruega, Paquistán, Reino Unido, República Checa, República de Corea, Singapura , Suecia e Turquía.
Esta nova versión do Acordo persegue facilitar que os resultados da avaliación dos produtos de seguridade das tecnoloxías da información sexan razoables, comparables, reproducibles e eficientes. Tamén promove unha mellor colaboración público-privada a través do establecemento das denominadas comunidades técnicas internacionais (international Technical Communities (iTCs)) e a definición de requisitos funcionais de seguridade a través dos perfís de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a produtos tales como dispositivos USB, devasa, cifradores de discos, etc.
Os beneficiarvos do Acordo
Entre os beneficiarios do Acordo atópanse:
-
As Administracións Públicas, para establecer as bases da seguridade da información e das infraestruturas de TI que a manexan.
-
A industria do sector, para atopar mercados máis amplos aos produtos e sistemas da TI que conten co valor engadido do certificado.
-
Os consumidores (particulares, empresas e AA.PP.), para contar con maior oferta de produtos e sistemas certificados como seguros para protexer a súa información e servizos.
O Acordo ten interese, en particular, para o Esquema Nacional de Seguridade (Real Decreto 311/2022, do 3 de maio) que, en relación coa adquisición de produtos de seguridade, contempla o seguinte:
- utilizaranse, de forma proporcionada á categoría do sistema e o nivel de seguridade determinados, aqueles produtos de seguridade que teñan certificada a funcionalidade de seguridade relacionada co obxecto da súa adquisición, (art. 19.1);
- recoñécese o Organismo de Certificación do Esquema Nacional de Avaliación e Certificación de Seguridade das Tecnoloxías da Información do Centro Criptolóxico Nacional, constituído ao abeiro do disposto no artigo 2.2.c) do Real Decreto 421/2004, do 12 de marzo, polo que se regula o Centro Criptolóxico Nacional (art. 19.2);
- Utilizarase o Catálogo de Produtos e Servizos de Seguridade das Tecnoloxías da Información e Comunicación (Guía CCN-STIC 105, CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y aquellos que se referencien expresamente en las medidas de este real decreto (Anexo II, medida [op.pl.5] Componentes certificados)
Antecedentes
El primer Acuerdo fue ratificado el día 23 de mayo de 2000, en Baltimore (Maryland, Estados Unidos), por parte de Alemania, Australia, Canadá, España, Estados Unidos, Finlandia, Francia, Grecia, Italia, Noruega, Nueva Zelanda, Países Bajos y Reino Unido. Posteriormente se fueron incorporando otros países. En representación del Reino de España suscribió aquel Arreglo el Ministerio de Administraciones Públicas.
A partir do 17 de agosto de 2006, España cambiou o seu status no Acordo e converteuse en participante acreditado para emitir certificados de seguridade da tecnoloxía da información.
Precursor do Acordo foi o Acordo de Recoñecemento Mutuo de Certificados da Avaliación da Seguridade das Tecnoloxías da Información, cuxo ámbito xeográfico se cinguía inicialmente a países europeos e cuxa norma de referencia primeira foi ITSEC, á que posteriormente se engadiu Criterios Comúns.
