accesskey_mod_content

Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de la Tecnología de la Información.

El Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de la Tecnología de la Información (conocido por sus siglas en inglés CCRA) especifica los requisitos que han de cumplir los Certificados de Criterios Comunes, los Organismos de Certificación y los Centros de Evaluación de la seguridad de las tecnologías de la información.

El Arreglo parte de la premisa de que la utilización de productos y sistemas de la tecnología de la información (TI) cuya seguridad ha sido certificada es una de las salvaguardas principales para proteger la información y los sistemas que la manejan.

Los certificados de la seguridad son expedidos por Organismos de Certificación reconocidos a productos o sistemas de TI (o a perfiles de protección) que hayan sido satisfactoriamente evaluados por Servicios de Evaluación, conforme a los Criterios Comunes (norma ISO/IEC 15408). En España los certificados son expedidos por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TI.(Abre en nueva ventana)

La versión en vigor del Arreglo (Abre en nueva ventana) fue ratificada y publicada el 8 de septiembre de 2014 por 26 países, incluyendo a España; por parte de nuestro país, la ratificación se realizó de forma conjunta entre el Centro Criptológico Nacional y la Secretaría de Estado de Administraciones Públicas. Los 26 países firmantes son: Alemania, Australia, Austria, Canadá, Estados Unidos, Dinamarca, España, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Japón, Malasia, Países Bajos, Nueva Zelanda, Noruega, Paquistán, Reino Unido, República Checa, República de Corea, Singapur , Suecia y Turquía.

Esta nueva versión del Arreglo persigue facilitar que los resultados de la evaluación de los productos de seguridad de las tecnologías de la información sean razonables, comparables, reproducibles y eficientes. También promueve una mejor colaboración público-privada a través del establecimiento de las denominadas comunidades técnicas internacionales (international Technical Communities (iTCs)) y la definición de requisitos funcionales de seguridad a través de los perfiles de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a productos tales como dispositivos USB, cortafuegos, cifradores de discos, etc.

Entre los beneficiarios del Arreglo se encuentran:

  • Las Administraciones Públicas, para establecer las bases de la seguridad de la información y de las infraestructuras de TI que la manejan.
  • La industria del sector, para encontrar mercados más amplios a los productos y sistemas de la TI que cuenten con el valor añadido del certificado.
  • Los consumidores (particulares, empresas y AA.PP.), para contar con mayor oferta de productos y sistemas certificados como seguros para proteger su información y servicios.

El Arreglo tiene interés, en particular, para el Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero) que, en relación con la adquisición de productos de seguridad, contempla lo siguiente:

  • se valore positivamente la certificación de seguridad en la adquisición de productos por parte de las Administraciones Públicas, (art. 18.1);
  • se reconoce el papel del Organismo de Certificación nacional (art. 18.3);
  • se recoge cómo el uso de productos cuya seguridad se ha certificado contribuye a la satisfacción de requisitos de seguridad de manera proporcionada en las medidas de seguridad para la protección adecuada de la información (Anexo II);
  • se incluye un modelo de cláusula para los pliegos de prescripciones técnicas (RD 3/2010, Anexo V).

Antecedentes

El primer Arreglo fue ratificado el día 23 de mayo de 2000, en Baltimore (Maryland, Estados Unidos), por parte de Alemania, Australia, Canadá, España, Estados Unidos, Finlandia, Francia, Grecia, Italia, Noruega, Nueva Zelanda, Países Bajos y Reino Unido. Posteriormente se fueron incorporando otros países. En representación del Reino de España suscribió aquel Arreglo el Ministerio de Administraciones Públicas.

A partir del 17 de agosto de 2006, España cambió su estatus en el Arreglo y se convirtió en participante acreditado para emitir certificados de seguridad de la tecnología de la información.

Precursor del Arreglo fue el Acuerdo de Reconocimiento Mutuo de Certificados de la Evaluación de la Seguridad de las Tecnologías de la Información, cuyo ámbito geográfico se ceñía inicialmente a países europeos y cuya norma de referencia primera fue ITSEC, a la que posteriormente se añadió Criterios Comunes.

Punto de Acceso General
Punto de Acceso General