O Acordo sobre o Recoñecemento dos Certificados de Criterios Comúns no campo da Seguridade da Tecnoloxía da Información (coñecido polas súas siglas en inglés CCRA) especifica os requisitos que han de cumprir os Certificados de Criterios Comúns, os Organismos de Certificación e os Centros de Avaliación da seguridade das tecnoloxías da información.
O Acordo parte da premisa de que a utilización de produtos e sistemas da tecnoloxía da información (TI) cuxa seguridade foi certificada é unha de salvagárdalas principais para protexer a información e os sistemas que a manexan.
Os certificados da seguridade son expedidos por Organismos de Certificación recoñecidos a produtos ou sistemas de TI (ou a perfís de protección) que fosen satisfactoriamente avaliados por Servizos de Avaliación, conforme aos Criterios Comúns (norma ISO/IEC 15408). En España os certificados son expedidos polo Organismo de Certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das TI.
A versión en vigor do Acordo foi ratificada e publicada o 8 de setembro de 2014 por 26 países, incluíndo a España; por parte do noso país, a ratificación realizouse de forma conxunta entre o Centro Criptolóxico Nacional e a Secretaría de Estado de Administracións Públicas. Os 26 países asinantes son: Alemaña, Australia, Austria, Canadá, Estados Unidos, Dinamarca, España, Finlandia, Francia, Grecia, Hungría, India, Israel, Italia, Xapón, Malaisia, Países Baixos, Nova Zelandia, Noruega, Paquistán, Reino Unido, República Checa, República de Corea, Singapura , Suecia e Turquía.
Esta nova versión do Acordo persegue facilitar que os resultados da avaliación dos produtos de seguridade das tecnoloxías da información sexan razoables, comparables, reproducibles e eficientes. Tamén promove unha mellor colaboración público-privada a través do establecemento das denominadas comunidades técnicas internacionais (international Technical Communities (iTCs)) e a definición de requisitos funcionais de seguridade a través dos perfís de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a produtos tales como dispositivos USB, devasa, cifradores de discos, etc.
Os beneficiarvos do Acordo
Entre os beneficiarios do Acordo atópanse:
-
As Administracións Públicas, para establecer as bases da seguridade da información e das infraestruturas de TI que a manexan.
-
La industria del sector, para encontrar mercados más amplios a los productos y sistemas de la TI que cuenten con el valor añadido del certificado.
-
Os consumidores (particulares, empresas e AA.PP.), para contar con maior oferta de produtos e sistemas certificados como seguros para protexer a súa información e servizos.
O Acordo ten interese, en particular, para o Esquema Nacional de Seguridade (Real Decreto 311/2022, do 3 de maio) que, en relación coa adquisición de produtos de seguridade, contempla o seguinte:
- utilizaranse, de forma proporcionada á categoría do sistema e o nivel de seguridade determinados, aqueles produtos de seguridade que teñan certificada a funcionalidade de seguridade relacionada co obxecto da súa adquisición, (art. 19.1);
- recoñécese o Organismo de Certificación do Esquema Nacional de Avaliación e Certificación de Seguridade das Tecnoloxías da Información do Centro Criptolóxico Nacional, constituído ao abeiro do disposto no artigo 2.2.c) do Real Decreto 421/2004, do 12 de marzo, polo que se regula o Centro Criptolóxico Nacional (art. 19.2);
- Utilizarase o Catálogo de Produtos e Servizos de Seguridade das Tecnoloxías da Información e Comunicación (Guía CCN-STIC 105, CPSTIC) do CCN, para seleccionar os produtos ou servizos fornecidos por un terceiro que formen parte da arquitectura de seguridade do sistema e aqueles que se referencien expresamente nas medidas deste real decreto (Anexo II, medida [op.pl.5] Compoñentes certificados)
Antecedentes
O primeiro Acordo foi ratificado o día 23 de maio de 2000, en Baltimore (Maryland, Estados Unidos), por parte de Alemaña, Australia, Canadá, España, Estados Unidos, Finlandia, Francia, Grecia, Italia, Noruega, Nova Zelandia, Países Baixos e Reino Unido. Posteriormente fóronse incorporando outros países. En representación do Reino de España subscribiu aquel Arranxo o Ministerio de Administracións Públicas.
A partir do 17 de agosto de 2006, España cambiou o seu status no Acordo e converteuse en participante acreditado para emitir certificados de seguridade da tecnoloxía da información.
Precursor del Acuerdo fue el Acuerdo de Reconocimiento Mutuo de Certificados de la Evaluación de la Seguridad de las Tecnologías de la Información, cuyo ámbito geográfico se ceñía inicialmente a países europeos y cuya norma de referencia primera fue ITSEC, a la que posteriormente se añadió Criterios Comunes.
