La revisión del Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de la Tecnología de la Información (conocido como CCRA) ratificada por los 26 países miembros del mismo, incluyendo a España, y cuyo texto se puede consultar en el siguiente enlace http://www.commoncriteriaportal.org/files/ccra%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf , foi publicada o 8 de setembro de 2014.
Por parte de España realizouse unha firma conxunta entre o Centro Criptolóxico Nacional e a Secretaría de Estado de Administracións Públicas.
Esta revisión do Arranxo é o resultado dos traballos realizados durante os anos 2013 e 2014 para producir unha nova versión actualizada acorde á evolución desde a sinatura do primeiro Arranxo o 23 de maio de 2000.
O Arranxo especifica os requisitos que han de cumprir os Certificados de Criterios Comúns, os Organismos de Certificación e os Centros de Avaliación da seguridade das tecnoloxías da información. Entre as novidades figuran unha mellor colaboración público-privada a través do establecemento das denominadas comunidades técnicas internacionais (international Technical Communities (iTCs)) e a definición de requisitos funcionais de seguridade a través dos perfís de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a produtos tales como dispositivos USB, devasa, cifradores de discos, etc.
Os certificados da seguridade son expedidos por Organismos de Certificación, en España o Organismo de Certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das TI
O Arranxo ten interese para o Esquema Nacional de Seguridade (Real Decreto 3/2010, do 8 de xaneiro) que, en relación coa adquisición de produtos de seguridade, contempla o seguinte:
- valórese positivamente a certificación de seguridade na adquisición de produtos por parte das Administracións Públicas, (art. 18.1)
- recoñécese o papel do Organismo de Certificación nacional (art. 18.3)
- recóllese como o uso de produtos cuxa seguridade se certificou contribúe á satisfacción de requisitos de seguridade de maneira proporcionada nas medidas de seguridade para a protección adecuada da información (Anexo II)
- e inclúe un modelo de cláusula para os pregos de prescricións técnicas (RD 3/2010, Anexo V).
0 Comentarios
Non hai comentarios