accesskey_mod_content

Arranxo sobre o Recoñecemento dos Certificados de Criterios Comúns no campo da Seguridade da Tecnoloxía da Información.

O Arranxo sobre o Recoñecemento dos Certificados de Criterios Comúns no campo da Seguridade da Tecnoloxía da Información (coñecido polas súas siglas en inglés CCRA) especifica os requisitos que han de cumprir os Certificados de Criterios Comúns, os Organismos de Certificación e os Centros de Avaliación da seguridade das tecnoloxías da información.

O Arranxo parte da premisa de que a utilización de produtos e sistemas da tecnoloxía da información (TI) cuxa seguridade foi certificada é unha de salvagárdalas principais para protexer a información e os sistemas que a manexan.

Os certificados da seguridade son expedidos por Organismos de Certificación recoñecidos a produtos ou sistemas de TI (ou a perfís de protección) que fosen satisfactoriamente avaliados por Servizos de Avaliación, conforme aos Criterios Comúns (norma ISO/IEC 15408). En España os certificados son expedidos polo Organismo de Certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das TI.(Abre en nova xanela)

A versión en vigor do Arranxo (Abre en nova xanela) foi ratificada e publicada o 8 de setembro de 2014 por 26 países, incluíndo a España; por parte do noso país, a ratificación realizouse de forma conxunta entre o Centro Criptolóxico Nacional e a Secretaría de Estado de Administracións Públicas. Os 26 países asinantes son: Alemaña, Australia, Austria, Canadá, Estados Unidos, Dinamarca, España, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Xapón, Malaisia, Países Baixos, Nova Zelandia, Noruega, Paquistán, Reino Unido, República Checa, República de Corea, Singapura , Suecia e Turquía.

Esta nova versión do Arranxo persegue facilitar que os resultados da avaliación dos produtos de seguridade das tecnoloxías da información sexan razoables, comparables, reproducibles e eficientes. Tamén promove unha mellor colaboración público-privada a través do establecemento das denominadas comunidades técnicas internacionais (international Technical Communities (iTCs)) e a definición de requisitos funcionais de seguridade a través dos perfís de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a produtos tales como dispositivos USB, devasa, cifradores de discos, etc.

Entre os beneficiarios do Arranxo atópanse:

  • As Administracións Públicas, para establecer as bases da seguridade da información e das infraestruturas de TI que a manexan.
  • A industria do sector, para atopar mercados máis amplos aos produtos e sistemas da TI que conten co valor engadido do certificado.
  • Os consumidores (particulares, empresas e AA.PP.), para contar con maior oferta de produtos e sistemas certificados como seguros para protexer a súa información e servizos.

O Arranxo ten interese, en particular, para o Esquema Nacional de Seguridade (Real Decreto 3/2010, do 8 de xaneiro) que, en relación coa adquisición de produtos de seguridade, contempla o seguinte:

  • valórese positivamente a certificación de seguridade na adquisición de produtos por parte das Administracións Públicas, (art. 18.1);
  • recoñécese o papel do Organismo de Certificación nacional (art. 18.3);
  • recóllese como o uso de produtos cuxa seguridade se certificou contribúe á satisfacción de requisitos de seguridade de maneira proporcionada nas medidas de seguridade para a protección adecuada da información (Anexo II);
  • inclúese un modelo de cláusula para os pregos de prescricións técnicas (RD 3/2010, Anexo V).

Antecedentes

O primeiro Arranxo foi ratificado o día 23 de maio de 2000, en Baltimore (Maryland, Estados Unidos), por parte de Alemaña, Australia, Canadá, España, Estados Unidos, Finlandia, Francia, Grecia, Italia, Noruega, Nova Zelandia, Países Baixos e Reino Unido. Posteriormente fóronse incorporando outros países. En representación do Reino de España subscribiu aquel Arranxo o Ministerio de Administracións Públicas.

A partir do 17 de agosto de 2006, España cambiou o seu status no Arranxo e converteuse en participante acreditado para emitir certificados de seguridade da tecnoloxía da información.

Precursor do Arranxo foi o Acordo de Recoñecemento Mutuo de Certificados da Avaliación da Seguridade das Tecnoloxías da Información, cuxo ámbito xeográfico se cinguía inicialmente a países europeos e cuxa norma de referencia primeira foi ITSEC, á que posteriormente se engadiu Criterios Comúns.