martes, 9 de octubre de 2007

Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información

Se ha publicado en España en el BOE la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. En el preámbulo de la Orden se especifican los motivos de la puesta en marcha de este necesario y esperado Reglamento.

La utilización de las Tecnologías de la Información (TI) en amplias áreas de la actividad de la Administración, así como la creciente participación de España en proyectos de desarrollo de la sociedad de la información de carácter internacional, imponen la necesidad de garantizar un nivel de seguridad en la utilización de las TI equiparable, como mínimo, al conseguido en el tratamiento tradicional de la información en soporte papel.
Por tanto, la seguridad que las TI deben poseer, ha de abarcar la protección de la confidencialidad, la integridad y la disponibilidad de la información que manejan los sistemas de información, así como la integridad y disponibilidad de los propios sistemas.
La garantía de seguridad de las Tecnologías de la Información debe estar basada en el establecimiento de mecanismos y servicios de seguridad, adecuadamente diseñados, que impidan la realización de funciones no deseadas.
Uno de los métodos, admitido internacionalmente, para garantizar la corrección y efectividad de dichos mecanismos y servicios, consiste en la evaluación de la seguridad de las TI, realizada mediante la utilización de criterios rigurosos, con posterior certificación por el organismo legalmente establecido.


El Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, regula el marco de actuación, y crea los organismos necesarios, para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Se crea un laboratorio de evaluación, el Centro de Evaluación de la Seguridad de las Tecnologías de la Información, CESTI, del Instituto Nacional de Técnica Aeroespacial, INTA. Este laboratorio fue acreditado, siguiendo este mismo Reglamento, como laboratorio de evaluación de la seguridad de las Tecnologías de la Información.
Por otra parte, se hace necesaria la participación de un organismo de certificación, que partiendo de un conocimiento de las Tecnologías de la Información y de las amenazas y vulnerabilidades existentes, proporcione una garantía razonable a los procesos de evaluación y certificación.
Dicho organismo se constituye al amparo de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que encomienda a este Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información, y según lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, entre cuyas funciones está la de constituir el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
El Reglamento contiene los objetivos, organización del Organismo de Certificación y los procedimientos de certificación, con los requisitos de los Laboratorios de Certificación y su acreditación, y la acreditación por estos de Sistemas y productos.

Los laboratorios tendrán que tener capacidad para la evaluación de la seguridad de productos de las Tecnologías de la Información, demostrada mediante la acreditación de la competencia técnica en vigor, conforme a la norma UNE-EN ISO/IEC 17025, cuyo alcance incluya los criterios, métodos y normas de evaluación siguientes:
  • Las metodologías de evaluación serán las recogidas en las siguientes normas:
    Common Methodology for Information Technology Security Evaluation, CEM.
    ISO/IEC 18045, Methodology for IT Security Evaluation.
    Information Technology Security Evaluation Manual, ITSEM. Office for Official Publications of the European Communities.
  • Los requisitos de seguridad específicos serán los recogidos en la norma ISO/IEC 19790, Requisitos de Seguridad para Módulos Criptográficos.

Fuente: sociedaddelainformacion.wordpress.com

No hay comentarios: