LegalizeOrden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información
La utilización de las Tecnologías de la Información (TI) en amplias áreas de la actividad de la Administración, así como la creciente participación de España en proyectos de desarrollo de la sociedad de la información de carácter internacional, imponen la necesidad de garantizar un nivel de seguridad en la utilización de las TI equiparable, como mínimo, al conseguido en el tratamiento tradicional de la información en soporte papel.
Por tanto, la seguridad que las TI deben poseer, ha de abarcar la protección de la confidencialidad, la integridad y la disponibilidad de la información que manejan los sistemas de información, así como la integridad y disponibilidad de los propios sistemas.
La garantía de seguridad de las Tecnologías de la Información debe estar basada en el establecimiento de mecanismos y servicios de seguridad, adecuadamente diseñados, que impidan la realización de funciones no deseadas.
Uno de los métodos, admitido internacionalmente, para garantizar la corrección y efectividad de dichos mecanismos y servicios, consiste en la evaluación de la seguridad de las TI, realizada mediante la utilización de criterios rigurosos, con posterior certificación por el organismo legalmente establecido.
El Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, que acompaña a esta Orden Ministerial, regula el marco de actuación, y crea los organismos necesarios, para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
La carencia actual de un esquema análogo, puede suponer un importante obstáculo para la difusión y aceptación generalizada, tanto a nivel nacional como internacional, de los diferentes productos y sistemas de las Tecnologías de la Información desarrollados en nuestro país.
En el contexto de los programas internacionales, no se puede entender criterios de evaluación y certificación de la seguridad de las TI que no sean homologables con los de otros países participantes. Por ello, es necesario la adopción de criterios internacionales, que permitan negociar el reconocimiento mutuo de certificados, resultando esencial que el Esquema al que se refiere el presente Reglamento, se equipare a los del resto de los países de nuestro entorno.
Desde hace algunos años, en España, se ha venido sintiendo la necesidad de impulsar la creación de un esquema de esta naturaleza, habiéndose llevado a cabo diversas iniciativas para su constitución, desde el Consejo Superior de Informática y para el Impulso de la Administración Electrónica, en colaboración con el Centro Nacional de Inteligencia. También, en la Dirección General de Armamento y Material del Ministerio de Defensa, se creó un esquema orientado a satisfacer necesidades puntuales del Ministerio de Defensa.
Asimismo, se creó un laboratorio de evaluación, el Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) del Instituto Nacional de Técnica Aeroespacial (INTA). Este laboratorio fue acreditado, siguiendo este mismo Reglamento, como laboratorio de evaluación de la seguridad de las Tecnologías de la Información, por resolución 1AO/38272/2005, de 13 de octubre, del Centro Criptológico Nacional, y ha contribuido, de manera decisiva, a la creación y puesta en marcha de un esquema de funcionalidad completa.
Paralelamente, España, como país consumidor de certificados, y a través del Ministerio de Administraciones Públicas, ha estado presente en el Arreglo de Reconocimiento Mutuo de Certificados Common Criteria (CCRA), desde su creación.
En ese Ministerio, se ha sentido la necesidad de crear un único esquema nacional que abarcase todo el ámbito de la actividad de evaluación y certificación y que potenciase a España a la categoría de país productor de certificados Common Criteria.
Por todo ello, la creación de un esquema nacional va a gozar, desde el principio, de aportaciones experimentadas y se va a encajar en un foro en el que su presencia es demandada.
Por otra parte, se hace necesaria la participación de un organismo de certificación, que partiendo de un conocimiento de las Tecnologías de la Información y de las amenazas y vulnerabilidades existentes, proporcione una garantía razonable a los procesos de evaluación y certificación.
Dicho organismo se constituye al amparo de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que encomienda a este Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información, y según lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, entre cuyas funciones está la de constituir el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
En virtud de los preceptos indicados anteriormente, consultados los fabricantes e importadores del sector, y a propuesta conjunta de los Ministros de Defensa y de Industria, Turismo y Comercio, con la aprobación previa de la Ministra de Administraciones Públicas, dispongo:
Artículo único. Aprobación del Reglamento.
Se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, cuyo texto se inserta a continuación.
Disposición adicional única. Naturaleza y establecimiento de la contraprestación exigida por las acreditaciones y certificaciones.
Al amparo de lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos, los ingresos procedentes de las acreditaciones de laboratorios y de las certificaciones de productos, tienen la naturaleza de tasas.
Según lo establecido en el artículo 2.3 del Real Decreto 1287/2005, de 28 de octubre, por el que se modifica el Real Decreto 593/2002, de 28 de junio, que desarrolla el régimen económico presupuestario del Centro Nacional de Inteligencia, el establecimiento o modificación de la cuantía de los ingresos que tengan la naturaleza de tasas, así como la fijación de los diversos elementos de la correspondiente relación jurídico-tributaria, se harán con arreglo a lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos.
Disposición final primera. Facultades de ejecución y aplicación.
Se faculta al Secretario de Estado Director del Centro Criptológico Nacional del Centro Nacional de Inteligencia, para dictar cuantas instrucciones sean necesarias para la ejecución y aplicación de lo establecido en esta orden ministerial.
Disposición final segunda. Entrada en vigor.
La presente orden ministerial entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Madrid, 19 de septiembre de 2007.–La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, M.ª Teresa Fernández de la Vega Sanz.
REGLAMENTO DE EVALUACIÓN Y CERTIFICACIÓN DE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
CAPÍTULO I. Disposiciones generales
Artículo 1. Objeto.
El presente Reglamento tiene por objeto la articulación del Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI) en el ámbito de actuación del Centro Criptológico Nacional, según lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, respectivamente.
Artículo 2. Definiciones.
En el marco del presente Reglamento, los conceptos que a continuación se indican, se entenderán como están definidos.
Acreditación.–Declaración de conformidad de los laboratorios solicitantes, emitida por el Organismo de Certificación, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV, del presente Reglamento.
Acreditación de competencia técnica.–Es aquella acreditación que concede una entidad de acreditación reconocida a un laboratorio, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025. En su alcance se deberán incluir las normas de evaluación de la seguridad de los productos y sistemas de Tecnologías de la Información aprobadas por el Organismo de Certificación.
Certificación.–Es la determinación, obtenida mediante un proceso metodológico de evaluación, de la conformidad de un producto con unos criterios preestablecidos.
Declaración de seguridad.–Conjunto de requisitos y especificaciones de las propiedades de seguridad de un producto o sistema de las Tecnologías de la Información.
Evaluación.–Es el análisis, realizado mediante un proceso metodológico, de la capacidad de un producto o sistema de las Tecnologías de la Información para proteger las condiciones de la información de acuerdo a unos criterios establecidos, con objeto de determinar si puede ser certificado.
Información de las evaluaciones.–Es todo asunto, acto, documento, dato u objeto relacionado con la actividad de evaluación de la seguridad de un producto. La información de las evaluaciones incluye toda la documentación, programas de ordenador, esquemas, planos y demás datos suministrados por el fabricante, los programas de ordenador, planes, pruebas, análisis y resultados de la evaluación elaborados por el laboratorio, así como toda la documentación administrativa y contractual y las comunicaciones del laboratorio con el fabricante del producto y con el Organismo de Certificación, además de los registros de la actividad del laboratorio, incluyendo los de seguridad.
Producto a evaluar.–Es el producto, sistema de información o perfil de protección para el que se solicita una certificación de sus propiedades de seguridad.
Producto clasificado.–Son aquellos productos con requisitos específicos para manejar con seguridad materias clasificadas, o cuya información de especificación, diseño o desarrollo está clasificada, incluso parcialmente, según lo dispuesto en la Ley 9/68, de 5 de abril, sobre Secretos Oficiales, modificada por la Ley 48/78, de 7 de octubre.
Laboratorio de evaluación.–Es un laboratorio de ensayo, según se define en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial.
Sistema de información.–Es el conjunto de elementos «hardware», «software», datos y usuarios que, relacionados entre sí, permiten el almacenamiento, transmisión, transformación y recuperación de la información.
Artículo 3. Ámbito de aplicación.
El ámbito de actuación del Organismo de Certificación comprende las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de la seguridad de las TI en el marco del Esquema.
También comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos, en el marco del Esquema.
Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de actuación del Centro Criptológico Nacional.
CAPÍTULO II. Estructura y funciones del organismo de certificación
Sección 1.ª Estructura del organismo de certificación
Artículo 4. Estructura.
A los efectos de funcionamiento del Organismo de Certificación, su estructura será la siguiente:
Director del Organismo de Certificación, que será el Secretario de Estado Director del Centro Criptológico Nacional.
Secretario General del Organismo de Certificación, que será el Secretario General del Centro Criptológico Nacional.
Subdirector de Certificación, que será un funcionario del Centro Nacional de Inteligencia, con rango de Subdirector General, designado por el Director del Organismo de Certificación.
Jefe del Área de Certificación, que será un funcionario del Centro Criptológico Nacional, con rango de Subdirector General Adjunto, designado por el Subdirector de Certificación.
Los correspondientes Responsables, Técnico de Certificación, de Calidad, de Seguridad, y de Registro, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación.
Personal técnico de certificación, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación.
Personal de enlace con los servicios de Secretaría, y demás personal de soporte administrativo a las actividades del Organismo de Certificación, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación.
Figura 1. Estructura del Organismo de Certificación
Sección 2.ª Funciones de los cargos del organismo de certificación
Artículo 5. Director del Organismo de Certificación.
Corresponde al Director del Organismo de Certificación:
Aprobar y hacer cumplir las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación, garantizando la adecuación de la organización y de los medios materiales y humanos a los fines propuestos.
Dictar las resoluciones sobre las solicitudes de acreditación de laboratorios y de certificación de la seguridad de productos y sistemas de las Tecnologías de la Información.
Establecer los acuerdos oportunos con otros organismos similares en el ámbito de su competencia.
Artículo 6. Secretario General del Organismo de Certificación.
Corresponde al Secretario General del Organismo de Certificación:
Apoyar y asistir al Director del Organismo de Certificación en el ejercicio de sus funciones.
Establecer los mecanismos y sistemas de organización del Organismo de Certificación y determinar las actuaciones precisas para su actualización y mejora.
Dirigir el funcionamiento de los servicios comunes del Organismo de Certificación a través de las correspondientes instrucciones y órdenes de servicio.
Desempeñar la jefatura superior del personal del Organismo de Certificación, elaborar la propuesta de relación de puestos de trabajo y determinar los puestos vacantes a proveer durante cada ejercicio.
Artículo 7. Subdirector de Certificación.
Corresponde al Subdirector de Certificación:
Presidir el Consejo de Acreditación y Certificación, conforme a lo establecido en el presente Reglamento.
Representar al Organismo de Certificación en aquellos foros de índole técnica, de normalización y de divulgación de las actividades del citado organismo, de las normas aplicables y en los de arreglos y acuerdos de reconocimiento mutuo.
Revisar las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación.
Proponer los presupuestos y planes de formación anuales del Organismo de Certificación.
Artículo 8. Jefe del Área de Certificación.
Corresponde al Jefe del Área de Certificación:
Desempeñar la dirección de los servicios técnicos del Organismo de Certificación.
Dirigir las instrucciones y procedimientos de acreditación de laboratorios y de certificación de productos.
Elevar las correspondientes propuestas de resolución a las mencionadas solicitudes de acreditación y certificación.
Instruir, de oficio, los procedimientos de mantenimiento de la acreditación de los laboratorios.
Artículo 9. Responsable Técnico de Certificación.
Corresponde al Responsable Técnico de Certificación:
Apoyar y asistir al Jefe del Área de Certificación en el ejercicio de sus funciones.
Coordinar y dirigir la actuación diaria del personal técnico del Organismo de Certificación.
Realizar la asignación de personal técnico a la instrucción de cada solicitud de acreditación de laboratorio y de certificación de producto.
Dictaminar las interpretaciones técnicas de normas, métodos y procedimientos de evaluación empleados, bien de oficio, o a instancia de los laboratorios.
Elaborar o proponer las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación.
Artículo 10. Responsable de Calidad del Organismo de Certificación.
Corresponde al Responsable de Calidad del Organismo de Certificación:
Garantizar y auditar la ejecución del sistema de gestión de la calidad del Organismo de Certificación, con las funciones específicas en él indicadas.
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.