jueves, 4 de octubre de 2007

Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Leo vía Sociedad de la Información la publicación en el BOE de la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
Algunos os preguntaréis, ¿dónde encaja esto? o ¿qué parte de la confianza en las tecnologías construye?. En este post, voy a tratar de explicar qué sentido tiene este reglamento y en qué estándares se basa.
Por hacer algo de historia, en mis comienzos en esto de la seguridad cuando trabajaba en Madrid tuve oportunidad de publicar en el número 46 de septiembre del 2001 de la Revista SIC un extenso artículo al respecto de los conocidos como "Common Criteria" o ISO 15408. En este artículo se detalla la estructura de la norma y qué tipo de certificación se obtiene al aplicarla sobre un producto o sistema TI.

Para garantizar la seguridad de la información es necesario poder garantizar también la seguridad de los productos TI que forman parte de un sistema. Pongo un ejemplo que se entenderá fácil. En la problemática de la firma electrónica, es necesario demostrar que los dispositivos utilizados durante el proceso de firma no son vulnerables y garantizan la fiabilidad de las operaciones de firma al utilizar el lector de tarjeta electrónica, la propia tarjeta inteligente o criptográfica, el sistema operativo que realiza las operaciones, etc. Por tanto, vemos que la confianza del proceso de firma, se basa en parte en la suma de la confianza que nos proporcionan cada una de las piezas tecnológicas que participan de ese proceso. De hecho, en la Ley 59/2003 de firma electrónica, se establece como definición de firma electrónica reconocida a aquella firma electrónica avanzada almacenada sobre un dispositivo seguro.
Para esta finalidad de certificar productos TI se utiliza por tanto la norma ISO 15408 conocida como "Common Criteria" que permite en un laboratorio verificar los requisitos de seguridad que un dispositivo presenta. Estos requisitos a su vez pueden ser de dos clases:
- Requisitos funcionales: lo que el aparato hace o garantiza.
- Requisitos de garantías: lo que el aparato bajo ningún concepto realizará.
Toda esta documentación sobre qué requisitos tiene un equipo y cómo se configura para obtener la certificación es pública y se encuentra en la página de Common Criteria. Podéis ver la cantidad de dispositivos certificados que existen actualmente y la documentación respecto al proceso de certificación en la dirección Lista de productos certificados.

Como ejemplo familiar podéis ver el resultado de la evaluación de nuestro DNI-Electrónico.
Los productos certificados suelen tener dos documentos: el Security Target que es lo que se va a tratar de evaluar en el producto que en el caso del DNI-e puede leerse en ST-DNI-e y el resultado de la certificación que se puede leer en este
enlace.

Todas estas regulaciones aparecen en la Web del Consejo Superior de Informática, dependiente del Ministerio de Administraciones Públicas. Para quien quiera ubicarse ante tanta normativa, puede consultar la siguiente dirección.

Por tanto, ha sido necesario establecer dentro del marco jurídico español un esquema de certificación y su correspondiente rglamento para poder definir qué requisitos tienen que cumplir los organismos certificadores españoles de productos TI y que normas y metodologías deben usar, ya sean públicos o privados. Precísamente este es el objeto del decreto publicado donde se define el "Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información". España tiene firmado un acuerdo con otros países para reconocer los certificados expedidos por laboratorios extranjeros, dado que hasta hace poco no contabamos con un organismo de certificación propio. Ahora ya tenemos en España nuestro Centro Criptológico Nacional como el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), según lo dispuesto respectivamente en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional que ha sido el organismo que ha certificado el DNI electrónico.
 
;