Organismo de Certificación

La adquisición de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad implementados en el producto son adecuados para proteger dicha información.

La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) a través del RD 421/2004 de 12 de Marzo.

Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre, completado por su propia normativa interna adaptada a los requisitos necesarios para ser reconocido tanto a nivel nacional, según la norma UNE-EN ISO/IEC 17065, como a nivel internacional, de acuerdo con el «Arreglo de Reconocimiento de Certificados de Criterios Comunes» (CCRA), como entidad de certificación de la seguridad de las TIC.

Para la certificación criptológica y para la certificación TEMPEST, el Organismo de Certificación se basa en criterios y metodologías propias.

Anualmente se realiza una auditoría interna y una auditoría externa al OC. La auditoría interna la realiza personal del CNI (no perteneciente al CCN), para comprobar que la actividad de certificación se efectúa de acuerdo a las normas y procedimientos establecidos en cada caso.

La auditoría externa la realiza la Entidad Nacional de Acreditación (ENAC), según la correspondiente norma ISO, y es necesaria para que el OC mantenga la acreditación como entidad de certificación de producto.