accesskey_mod_content

Arranjament sobre el Reconeixement dels Certificats de Criteris Comuns en el camp de la Seguretat de la Tecnologia de la Informació.

L'Arranjament sobre el Reconeixement dels Certificats de Criteris Comuns en el camp de la Seguretat de la Tecnologia de la Informació (conegut per les seves sigles en anglès CCRA) especifica els requisits que han de complir els Certificats de Criteris Comuns, els Organismes de Certificació i els Centres d'Avaluació de la seguretat de les tecnologies de la informació.

L'Arranjament parteix de la premissa que la utilització de productes i sistemes de la tecnologia de la informació (TU) la seguretat de la qual ha estat certificada és una de les salvaguardes principals per protegir la informació i els sistemes que la manegen.

Els certificats de la seguretat són expedits per Organismes de Certificació reconeguts a productes o sistemes de TU (o a perfils de protecció) que hagin estat satisfactòriament avaluats per Serveis d'Avaluació, conforme als Criteris Comuns (norma ISO/IEC 15408). A Espanya els certificats són expedits per l'Organisme Organisme de Certificació de l'Esquema Nacional d'Avaluació i Certificació de la Seguretat de les TU.(Obre en nova finestra)

La versió en vigor de l'Arranjament (Obre en nova finestra) va ser ratificada i publicada el 8 de setembre de 2014 per 26 països, incloent a Espanya; per part del nostre país, la ratificació es va realitzar de forma conjunta entre el Centre Criptològic Nacional i la Secretaria d'Estat d'Administracions Públiques. Els 26 països signataris són: Alemanya, Austràlia, Àustria, Canadà, Estats Units, Dinamarca, Espanya, Finlàndia, França, Grècia, Hongria, Índia, Israel, Itàlia, Japó, Malàisia, Països Baixos, Nova Zelanda, Noruega, Paquistán, Regne Unit, República Txeca, República de Corea, Singapur , Suècia i Turquia.

Aquesta nova versió de l'Arranjament persegueix facilitar que els resultats de l'avaluació dels productes de seguretat de les tecnologies de la informació siguin raonables, comparables, reproduïbles i eficients. També promou una millor col·laboració públic-privada a través de l'establiment de les denominades comunitats tècniques internacionals (international Technical Communities (iTCs)) i la definició de requisits funcionals de seguretat a través dels perfils de protecció col·laboratius (collaborative Protection Profiles (cPPs)) aplicables a productes tals com a dispositius USB, tallafocs, cifradores de discos, etc.

Entre els beneficiaris de l'Arranjament es troben:

  • Les Administracions Públiques, per establir les bases de la seguretat de la informació i de les infraestructures de TU que la manegen.
  • La indústria del sector, per trobar mercats més amplis als productes i sistemes de la TU que comptin amb el valor afegit del certificat.
  • Els consumidors (particulars, empreses i AA.PP.), per comptar amb major oferta de productes i sistemes certificats com a assegurances per protegir la seva informació i serveis.

L'Arranjament té interès, en particular, per a l'Esquema Esquema Nacional de Seguretat (Reial decret 3/2010, de 8 de gener) que, en relació amb l'adquisició de productes de seguretat, contempla el següent:

  • es valori positivament la certificació de seguretat en l'adquisició de productes per part de les Administracions Públiques, (art. 18.1);
  • es reconeix el paper de l'Organisme de Certificació nacional (art. 18.3);
  • es recull com l'ús de productes la seguretat dels quals s'ha certificat contribueix a la satisfacció de requisits de seguretat de manera proporcionada en les mesures de seguretat per a la protecció adequada de la informació (Annex II);
  • s'inclou un model de clàusula per als plecs de prescripcions tècniques (RD 3/2010, Annex V).

Antecedents

El primer Arranjament va ser ratificat el dia 23 de maig de 2000, a Baltimore (Maryland, Estats Units), per part d'Alemanya, Austràlia, Canadà, Espanya, Estats Units, Finlàndia, França, Grècia, Itàlia, Noruega, Nova Zelanda, Països Baixos i Regne Unit. Posteriorment es van ser incorporant altres països. En representació del Regne d'Espanya va subscriure aquell Arranjament el Ministeri d'Administracions Públiques.

A partir del 17 d'agost de 2006, Espanya va canviar el seu estatus en l'Arranjament i es va convertir en participant acreditat per emetre certificats de seguretat de la tecnologia de la informació.

Precursor de l'Arranjament va ser l'Acord de Reconeixement Mutu de Certificats de l'Avaluació de la Seguretat de les Tecnologies de la Informació, l'àmbit geogràfic de la qual se cenyia inicialment a països europeus i la norma dels quals de referència primera va ser ITSEC, a la qual posteriorment es va afegir Criteris Comuns.

0 Comentaris

No hi ha comentaris

 
Punt d'Accés General
Punt d'Accés General