Organismo de Certificación

A adquisición dun produto de seguridade TIC que vai manexar información nacional clasificada ou información sensible debe estar precedida dun proceso de comprobación de que os mecanismos de seguridade implementados no produto son adecuados para protexer a devandita información.

A avaliación e certificación dun produto de seguridade TIC é o único medio obxectivo que permite valorar e acreditar a capacidade dun produto para manexar información de forma segura. En España, esta responsabilidade está asignada ao Centro Criptolóxico Nacional (CCN) a través do RD 421/2004 do 12 de Marzo.

Este Organismo de Certificación (OC), no relativo á certificación funcional da seguridade das TIC, articúlase mediante o Regulamento de Avaliación e Certificación da Seguridade das Tecnoloxías da Información, aprobado pola Orde PRE/2740/2007, do 19 de setembro, completado pola súa propia normativa interna adaptada aos requisitos necesarios para ser recoñecido tanto a nivel nacional, segundo a norma UNE-EN ISO/ IEC 17065, como a nivel internacional, de acordo co «Acordo de Recoñecemento de Certificados de Criterios Comúns» (CCRA), como entidade de certificación da seguridade das TIC.

Para a certificación criptolóxica e para a certificación TEMPEST, o Organismo de Certificación baséase en criterios e metodoloxías propias.

Anualmente realízase unha auditoría interna e unha auditoría externa ao OC. A auditoría interna é realizada por persoal do CNI (non pertencente ao CCN), para comprobar que a actividade de certificación se efectúa de acordo ás normas e procedementos establecidos en cada caso.

A auditoría externa é realizada pola Entidade Nacional de Acreditación (ENAC), segundo a correspondente norma ISO, e é necesaria para que o OC manteña a acreditación como entidade de certificación de produto.