TRADUCCIÓN NO OFICIAL ARREGLO Reconocimiento de los Certificados de

(TRADUCCIÓN NO OFICIAL) ARREGLO Reconocimiento de los Certificados de Criterios Comunes Seguridad de las Tecnologías de la Información en el campo de la sobre el __________________________________ 23 de mayo de 2000 Página 1 de 40 Los participantes Defence Signals Directorate y Government Communication Security Bureau de Australia y Nueva Zelanda y Communications Security Establishment de Canadá y Ministry of Finance de Finlandia y Service Central de la Sécurité des Systèmes d'Information de Francia y Bundesamt für Sicherheit in der Informationstechnik de Alemania y Ministry of Interior de Grecia y Presidenza del Consiglio dei Ministri Autorità Nazionale per las Sicurezza CESIS III Reparto - UCSi de Italia y Ministry of the Interior y Kingdom Relations de Holanda Página 2 de 40 y HQ Defence Command Norway/ Security Division de Noruega y Ministerio de Administraciones Públicas de España y Communications-Electronics Security Group Department of Trade and Industry del Reino Unido y National Institute of Standards and Technology National Security Agency de Los Estados Unidos de América ESTÁN DISPUESTOS A COOPERAR DE LA SIGUIENTE MANERA, Página 3 de 40 Introducción Objeto del Arreglo Los participantes en este Arreglo comparten los siguientes objetivos: a) asegurar que las evaluaciones de los productos de las tecnologías de la información (TI) y los perfiles de protección se llevan a cabo de acuerdo con elevados y consistentes estándares, lo que contribuye de manera importante a dar confianza en la seguridad de dichos productos y perfiles; b) mejorar la disponibilidad de los productos de las TI y de los perfiles de protección evaluados de mayor seguridad; c) eliminar la carga que supone la duplicación de evaluaciones de los productos de las TI y de los perfiles de protección; d) mejorar de manera constante la eficacia y la eficiencia en cuanto al gasto del proceso de evaluación y certificación/validación1 de los productos de las TI y de los perfiles de protección. La finalidad de este Arreglo es la de impulsar estos objetivos a través de la creación de una situación en la que los productos de las TI y los perfiles de protección que merecen un certificado de criterios comunes puedan utilizarse sin que sea necesario realizar otra evaluación; se busca dar confianza en la fiabilidad de las conclusiones sobre los que el certificado original se basa, exigiendo que el Organismo de Certificación/validación (OC) que emite los certificados de criterios comunes cumpla con elevados y consistentes estándares. Es posible que se organicen, certifiquen y reconozcan algunos sistemas de gobierno teniendo en cuanta estas necesidades en relación con acuerdos bilaterales separados o multilaterales. El presente Arreglo no limita dichos pactos y, en particular, las excepciones recogidas en el Artículo 3 no hacen referencia a estos pactos negociados por separado. Se aprueba que tanto los OC gubernamentales como los no gubernamentales tienen la capacidad potencial de realizar certificaciones/validaciones fiables, y que se deberá hacer provisión para ambos tipos de organizaciones; sin embargo, el reconocimiento de certificados emitidos en otros países requiere decisiones y compromisos que son específicos del gobierno. Por tanto, en este Arreglo se hace una distinción entre la función de emitir y la de reconocer certificados. La esencia del Arreglo La complejidad de los sistemas informáticos es tal que incluso los más cuidadosos criterios de evaluación escritos y la metodología de la evaluación no cubren todas las eventualidades. En algunos casos, la puesta en práctica de los criterios hace necesaria la opinión de expertos profesionales e incluso realizarla bajo su supervisión. Al tener en cuenta dicho juicio, los participantes intentarán utilizar el mismo nivel de seguridad que se indica en el producto de las TI. Por tanto, los participantes en el Arreglo están dispuestos a crear y mantener un entendimiento y una confianza mutua en la competencia y en los juicios técnicos de los otros y a conservar una coherencia general por medio de conversaciones y debates abiertos. Los participantes intentarán trabajar de manera activa para mejorar la aplicación de los criterios y la metodología, por ejemplo, a través del diseño y el establecimiento de paquetes de seguridad a mejores 1 Tal vez algunos Esquemas elijan el uso del término validación en vez del de certificación. Para los fines de este Arreglo sobre reconocimiento, se considera que ambos términos son equivalentes en cuanto a su significado y al objetivo que se persigue de conformidad con lo recogido en el Glosario del Anexo A. Página 4 de 40 precios y por medio de la identificación y el rechazo de los requisitos que no constituyan una aportación importante en cuanto a la seguridad. Los participantes también están dispuestos a impulsar la reutilización económica de los resultados de la evaluación; por ejemplo, animando a que los patrocinadores de las evaluaciones suministren a las partes interesadas dicha información. Artículo 1 Miembros Los participantes en este Arreglo son organismos gubernamentales o agencias gubernamentales que representan a su país o países. Los participantes pueden ser autorizadores de certificados de evaluación, clientes de certificados de evaluación o ambas cosas a la vez. Los participantes que son clientes de certificados, aunque no posean la posibilidad de realizar evaluaciones sobre la seguridad de las TI, sin embargo tienen el deseo expreso de utilizar los productos y los perfiles de protección certificados/validados. Los participantes que autorizan certificados son los patrocinadores de los OC que cumplen con los requisitos (según se recoge en el Artículo 5) y que funcionan en su propio país o países y autorizan sus certificados. Aquellos participantes que autorizan certificados y cuyas organizaciones gestionan los recursos y la pericia de un OC que cumple con los requisitos se consideran participantes cualificados. Artículo 2 Ámbito Con respecto a los productos de las TI y los perfiles de protección, los participantes de mutuo acuerdo están dispuestos a reconocer los certificados de criterios comunes que cualquier otro participante que autorice certificados haya autorizado de conformidad con las condiciones de este Arreglo y de acuerdo con las leyes y normativas vigentes para cada participante. Este Arreglo cubre las reclamaciones relativas al cumplimiento de cualquiera de los componentes de seguridad de los criterios comunes exigidos para los niveles de seguridad de la evaluación de 1 a 4. De conformidad con las disposiciones del artículo 14, los participantes de este Arreglo podrán acordar la ampliación del ámbito en cualquier momento, añadiendo otros niveles o componentes de seguridad. Artículo 3 Excepciones Si el reconocimiento de un certificado de criterios comunes hiciese que un participante tuviera que actuar en contra de alguna ley o normativa vigente ya sea nacional, internacional o de la Comunidad Europea, ese participante podrá declinar el reconocimiento de dicho certificado. De manera específica, en los casos en los que se contemple la utilización de un producto de las TI o de un perfil de protección para una aplicación que lleve consigo la protección de información que requiera una clasificación de seguridad o el marcado de protección equivalente exigido o autorizado de conformidad con las disposiciones de la ley nacional, de una legislación complementaria, de una normativa administrativa u obligación oficial, los participantes podrán declinar el reconocimiento de un certificado, pero solamente con respecto a esa aplicación. Artículo 4 Página 5 de 40 Definiciones En el Glosario del Anexo A se definen los términos que son cruciales para entender este Arreglo o que se utilizan en él con un sentido específico. Estos términos aparecen en cursiva la primera vez que se utilizan. Artículo 5 Condiciones para el reconocimiento Salvo que en el Arreglo se manifieste lo contrario, cada participante deberá reconocer los certificados de criterios comunes a los que se refiera y que haya autorizado alguno de los participantes que autorizan certificados. Esa autorización confirma que la evaluación y los procesos de certificación/validación se han realizado con la profesionalidad adecuada: a) de conformidad con los criterios aprobados de evaluación de la seguridad para las TI, b) haciendo uso de los métodos aprobados de evaluación de la seguridad, c) en el contexto de un Esquema de evaluación y certificación/validación gestionado por un OC que cumple con los requisitos en el país del participante que autoriza, y d) que los certificados de criterios comunes autorizados y los Informes de certificación/validación emitidos cumplen con los objetivos de este Arreglo. Los certificados que cumplen todas estas condiciones son equivalentes en lo que se refiere a los objetivos de este Arreglo. Los criterios de evaluación de la seguridad para las TI serán los que se establezcan en los criterios comunes para la evaluación de la seguridad de las tecnologías de la información (CC), en la versión firmada por el Comité de Dirección, y los métodos de evaluación serán aquellos que se establezcan en la metodología común para la evaluación de la seguridad de las tecnologías de la información (MC), en la versión firmada por el Comité de Dirección. En el Anexo I de este Arreglo se recogen los requisitos básicos para los informes de certificación/validación. En el Anexo B se recogen los requisitos básicos para los Esquemas de evaluación y certificación/validación. Se considera que una evaluación o certificación/validación se ha llevado a cabo con la profesionalidad adecuada, si como mínimo: a) el Centro de Evaluación bien ha sido acreditado en el país de que se trate por un Organismo de acreditación de conformidad con EN 45001 o la directriz 25 de ISO o de acuerdo con una interpretación de las mismas aprobada por todos los participantes y que haya sido autorizada o aprobada en virtud de lo estipulado en el Anexo B.3 de este Arreglo, o bien se ha establecido en virtud de las leyes, instrumentos legislativos u otros procedimientos administrativos oficiales válidos en el país de que se trate y que cumple los requisitos establecidos en el Anexo B.3 de este Arreglo; - y b) se aprueba que el OC cumple con los requisitos y que bien ha sido acreditado en el país de que se trate por un Organismo de acreditación ya sea de conformidad con EN 45011 o con la directriz 65 de ISO o de acuerdo con la interpretación nacional de EN 45011 o de la directriz 65 de ISO que como mínimo satisfacen los requisitos que se especifican en el Anexo C de este Arreglo, o que bien se ha establecido en virtud de las leyes, instrumentos legislativos u otros procedimientos administrativos oficiales válidos en el país de que se trate y que cumplen con Página 6 de 40 - los requisitos de EN 45011 o de la directriz 65 de ISO o los requisitos establecidos en el Anexo C de este Arreglo. Con el fin de facilitar la implantación homogénea de los criterios comunes y de la metodología común en los distintos Esquemas de evaluación y certificación/validación, los participantes se proponen trabajar para llegar a una interpretación normalizada de los criterios comunes y de la metodología común aplicables en la actualidad. Para alcanzar esta meta, los participantes también están dispuestos a realizar intercambios constantes de información relativa a las interpretaciones y las conversaciones que sean necesarias para solucionar las diferencias de interpretación. Como ayuda adicional para conseguir esta implantación homogénea, fiable y competente de los criterios comunes y de la metodología común, el OC deberá responsabilizarse del control de todas las evaluaciones que se estén llevando a cabo dentro del Esquema a un nivel adecuado y poner en marcha otros procedimientos con el fin de asegurar que todos los Centros de Evaluación de la Seguridad de lasTI (CESTI) afiliados al OC: a) llevan a cabo evaluaciones de manera imparcial; b) aplican los criterios comunes y la metodología común de manera correcta y consistente; y c) protegen de manera adecuada la confidencialidad de información protegida. Artículo 6 Valoraciones periódicas voluntarias La valoración de los OC que cumplen con los requisitos tendrá lugar aproximadamente cada cinco años, pero sin sobrepasar este intervalo de tiempo, con el fin de asegurar que continúan compartiendo los objetivos de este Arreglo y que tratan de impulsarlos. El modo de realizar dichas valoraciones está recogido en el Anexo D de este Arreglo. Artículo 7 Publicaciones Los certificados de criterios comunes autorizados por los participantes que los autorizan deberán mostrar claramente, además de cualquier logo o distintivo peculiar del participante o de su Esquema de evaluación y certificación/validación, la marca de reconocimiento del Arreglo y un texto estándar. En los Anexos E y J de este Arreglo se recogen dicha marca y texto. Cada participante que autoriza certificados deberá publicar en una sección de su lista de productos certificados/validados, las breves características de todos los productos de las TI y de los perfiles de protección que tengan certificados autorizados por otro participante que autorice certificados, salvo que haya alguna razón para no hacerlo en virtud de este Arreglo, entre las que se incluyan las estipuladas en el Artículo, aunque sin limitarse solamente a ellas. Artículo 8 Intercambio de información En el caso de que la divulgación de información no vaya contra las leyes o normativas nacionales del participante, cada participante deberá intentar poner a disposición de los otros participantes toda la información y documentación que sea importante para la puesta en marcha de este Arreglo. Página 7 de 40 Con el fin de cumplir esta obligación, un CESTI, un OC o un participante solamente podrán divulgar los secretos industriales o la información protegida de terceros si han obtenido un acuerdo previo por escrito de la tercera parte de que se trate. De manera especial, cada participante deberá dar puntualmente información relativa a los posibles cambios que puedan afectar a su habilidad para cumplir las condiciones con respecto al reconocimiento o que puedan de algún otro modo frustrar el funcionamiento o la intencionalidad de este Arreglo. En el Anexo F se recoge con más detalle el tipo y ámbito de información y documentación que se espera que compartan los participantes. Nuevos participantes Los Participantes La participación en este Arreglo está abierta a los representantes de los países que están dispuestos a adoptar los principios del mismo, supeditados a la aprobación unánime de los participantes actuales. Los Órganos de Certificación/validación Se decidirá por aprobación unánime de los participantes actuales si un OC cumple los requisitos para los objetivos del Artículo 5 de este Arreglo, si los participantes actuales confían en que podrá cumplir las condiciones relativas al reconocimiento que se establecen en dicho Artículo y en los Anexos citados en él, y si satisface las condiciones relativas al cumplimiento de los requisitos de conformidad con los procedimientos que se estipulan en el Anexo G de este Arreglo, incluyéndose la certificación/validación supervisada. Artículo 9 Artículo 10 Gestión del Arreglo Este Arreglo lo gestionará un Comité de Dirección. Dicho Comité de Dirección deberá reunirse con tanta frecuencia como sea necesaria para estudiar los asuntos que afecten al estatus, los términos o a la aplicación de este Arreglo. Todos los participantes estarán representados en el Comité. En el Anexo H se establecen los procedimientos y las responsabilidades principales del Comité de Dirección. Artículo 11 Desacuerdos Los desacuerdos entre los participantes han de solucionarse por medio de conversaciones. Los participantes deberán esforzarse por salvar esas diferencias a través de la negociación entre ellos. Si esto fallase, las discrepancias, en primera instancia, se remitirán al Comité de Dirección, que deberá basar sus conclusiones en el Arreglo. Si no se puede salvar dicho desacuerdo por medio de conversaciones y negociaciones, cada participante podrá decidir reconocer o no los certificados de criterios comunes de que se trate y notificará al Comité de Dirección si no los reconoce. Página 8 de 40 Artículo 12 Utilización de contratistas Cuando los participantes piensen utilizar contratistas para la puesta en marcha y funcionamiento de este Arreglo, de manera especial para los procedimientos establecidos en el Anexo D o en el Anexo G.3 o G.4 o el Anexo H del presente, deberán asegurarse de que dichos contratistas poseen la pericia adecuada y deberán notificárselo a los otros participantes. Solo se podrá pasar información protegida a los contratistas si se tiene la aprobación de su autor de conformidad con lo estipulado en el Anexo F.4. Artículo 13 Costes de este Arreglo Salvo que se indique lo contrario en alguna otra parte de este Arreglo, cada participante deberá correr con los gastos que le correspondan derivados de su participación en el mismo. Artículo 14 Revisión Para cualquier modificación de los términos de este Arreglo será necesaria la aprobación unánime de todos los participantes. Cualquier modificación que se adopte deberá registrarse en un documento escrito e irá firmado por todos los participantes. Artículo 15 Vigencia La cooperación en virtud de este Arreglo deberá continuar salvo que los participantes decidan de manera unánime resolverlo. Artículo 16 Resolución voluntaria de participación Cualquier participante podrá resolver su participación en este Arreglo o rescindir el estatus como cumplidor de los requisitos de cualquiera de los OC que representa notificándoselo por escrito a los otros participantes. Artículo 17 Entrada en vigor Las actividades derivadas de este Arreglo entrarán en vigor el 23 de mayo de 2000. Página 9 de 40 Artículo 18 Efectos del Arreglo Cada uno de los participantes reconocen y aprueban que este Arreglo no crea derechos sustantivos o procesales, ni responsabilidades u obligaciones que pudiesen alegar personas que no lo han firmado. Además, cada uno de los participantes también reconocen y aceptan que este Arreglo no tiene efectos vinculantes de acuerdo con las leyes nacionales, internacionales o de la Comunidad Europea de ninguno de ellos y que no exigirán el cumplimiento del presente por medio de ningún tribunal o juzgado nacional o internacional. Los informes emitidos por un OC o los certificados de criterios comunes autorizados por un participante no constituyen una ratificación o garantía de dicho Órgano de certificación/validación o del participante en lo que respecta a los productos de las TI o a los perfiles de protección; ni el reconocimiento de los certificados de los criterios comunes autorizados como consecuencia de las actividades de certificación/validación tampoco constituyen la ratificación o garantía, en ningún caso, de los informes de certificación/validación emitidos por otro OC o que resulten de los certificados autorizados por otro participante. Página 10 de 40 Anexo A Glosario Este glosario contiene las definiciones de algunos de los términos que aparecen en el Arreglo o en sus Anexos y que se utilizan con un sentido específico o que tienen un significado crucial para la interpretación del mismo; también incluye definiciones de algunos otros términos que se utilizan en este Anexo. Si las definiciones de este Anexo varían de las dadas en CC o en MC, deberán usarse las definiciones de este Anexo con el fin de establecer el significado que se persiguen en este Arreglo, manteniendo las dadas en CC o en MC como válidas y entendiéndolas en sentido general. Las diferencias entre unas y otras consisten en proporcionar una mayor claridad en el contexto específico del presente Arreglo. Aparecen en cursiva los términos que se utilizan en alguna definición y que se definen en otro lugar en el Glosario. Acreditado: Formalmente reconocido por un Órgano de acreditación debido a que cumple el estándar preestablecido de imparcialidad y de competencia técnica general, metodológica y de procedimiento. Aprobado: Véase autorizado. Autorización: Confirmación por parte de un participante de la emisión de un certificado de criterios comunes que realiza un OC que cumple con los requisitos, permitiéndole que utilice la marca de certificación de CC. Autorizado: Considerado por un OC como técnicamente competente en el ámbito específico de la evaluación de la seguridad de las TI y formalmente autorizado para llevar a cabo evaluaciones en el contexto de un Esquema específico de evaluación y certificación/validación. CC: Véase criterios comunes Centro de Evaluación: Organización que realiza las evaluaciones de manera independiente con respecto a los diseñadores de los productos de las TI o de los perfiles de protección que se evalúan y que normalmente lo hacen de manera comercial. Certificación/validación: El proceso que lleva a cabo un OC y que culmina en la expedición de un certificado de criterios comunes. Certificación/validación supervisada: Evaluación de un OC en la que los representantes de al menos un participante cualificado supervisa la evaluación y certificación/validación de un producto de las TI de conformidad con este Arreglo. Página 11 de 40 Certificado de criterios comunes: Documento público expedido por un OC que cumple con los requisitos y autorizado por un participante en el que se confirma que un producto de las TI o un perfil de protección específicos han pasado con éxito la evaluación realizada por un CESTI. Un certificado de criterios comunes siempre va acompañado por un informe de certificación/validación. CESTI: Centro de Evaluación de la Seguridad de las TI, Centro de Evaluación acreditado, autorizado o aprobado para realizar evaluaciones dentro del ámbito de un Esquema específico de evaluación de la seguridad y certificación/validación de las TI. Clasificación de seguridad: Marca que se aplica a la información protegida con el fin de indicar los estándares mínimos de protección que se han de aplicar en pro del interés nacional. Cliente: Tercero que contrata a un CESTI para realizar una evaluación. Comité de Dirección: El órgano a través del cual todos los participantes están representados y que trata de asegurar que este Arreglo funcione de conformidad con sus normas. Criterios comunes: Criterios comunes para la evaluación de la seguridad de las tecnologías de la información, el título de un documento que recoge un conjunto específico de criterios de evaluación de la seguridad de las TI (la versión 2.01 es idéntica a ISO-IEC-15408). Criterios de evaluación de la seguridad para las TI: Recopilación de la información que se ha de proporcionar y de las acciones que se han de tomar para dar confianza a las evaluaciones que se realizan de manera eficaz y de acuerdo con un estándar homogéneo en todo el Esquema de evaluación y certificación/validación. Esquema de evaluación y certificación/validación: La organización sistemática de las actividades de evaluación y certificación/validación dependientes de la autoridad de un OC con el fin de asegurar que se mantienen elevados estándares de competencia e imparcialidad y que se alcanza la homogeneidad. Evaluación: La valoración de un producto de las TI o de un perfil de protección en relación con los criterios comunes utilizando la metodología común con el fin de determinar si las reclamaciones presentadas están o no justificadas. Información protegida: Página 12 de 40 Información reunida u obtenida en el curso de los procesos o actividades derivados de este Arreglo y cuya divulgación no autorizada podría causar (i) daño a la competencia comercial o a los derechos de propiedad intelectual, (ii) una clara invasión sin autorización de la intimidad personal, (iii) perjuicios a la seguridad nacional, o (iv) en cualquier otro modo causar daño a un derecho protegido por la legislación nacional, una legislación complementaria, normativas administrativas u obligaciones oficiales. Informe de certificación/validación: Documento público emitido por un OC que resume los resultados de una evaluación y confirma los resultados globales; esto es, que la evaluación se ha llevado a cabo de manera adecuada, que se han aplicado correctamente los criterios de evaluación, los métodos de evaluación y demás procedimientos y que las conclusiones del Informe técnico de evaluación están en consonancia con las pruebas obtenidas. Informe técnico de evaluación: Informe en el que se da información sobre las conclusiones de una evaluación y que entrega un Centro de Evaluación al OC como fundamento principal para el informe de certificación/validación. Interpretación: Juicio técnico de un experto relativo al significado o método de aplicación de un aspecto técnico de un criterio o de la metodología. Lista de los productos certificados/validados: Documento público que da de manera breve las características de los certificados de criterios comunes válidos en la actualidad de conformidad con este Arreglo. Marcado de protección: Nombre alternativo que se da a la clasificación de la seguridad y que ahora se utiliza de manera oficial en el Reino Unido. MC: Véase Metodología común para la evaluación de la seguridad de las tecnologías de la información. Metodología común para la evaluación de la seguridad de las tecnologías de la información: Título de un documento técnico que recoge un conjunto específico de métodos de evaluación de la seguridad de las TI. Métodos de evaluación: Véase métodos de evaluación de la seguridad de las TI. Métodos de evaluación de la seguridad de las TI: Recopilación de los métodos que las instalaciones de evaluación necesariamente han de utilizar para aplicar los criterios de evaluación de la seguridad de las TI y con el fin de dar confianza a las evaluaciones que se realizan de manera eficaz y de acuerdo con un estándar homogéneo en todo el Esquema de evaluación y certificación/validación. Objetivo de la evaluación: Página 13 de 40 Un producto de las TI, su administrador asociado y el manual del usuario que se somete a una evaluación. OC: Véase Órgano de certificación/validación. Órgano de acreditación: Organización independiente responsable de valorar el funcionamiento de otras organizaciones con respecto a un estándar reconocido y que formalmente ratifica el estatus de aquellas que cumplen con el estándar. Órgano de certificación/validación: Organización responsable de llevar a cabo la certificación/validación y de supervisar las actividades diarias de un Esquema de evaluación y certificación/validación. OC Asociado: El OC que cumple con los requisitos que está asociado con un participante cualificado. OC que cumple con los requisitos: Un OC que aparece en la lista del Anexo K en la que se enumeran los que cumplen los requisitos. Parte creadora: La fuente; por ejemplo: el diseñador de un producto o de un perfil de protección de las TI, un CESTI, o un participante, que aportan información protegida relacionada con una evaluación de la seguridad de las TI o con una certificación/validación. Participante: Cualquiera de los firmantes de este Arreglo. Participante cliente de los certificados: Cualquier participante con un interés nacional en reconocer los certificados de criterios comunes. Participante que autoriza los certificados: Cualquier participante que represente a uno o más OC que cumplan con los requisitos. Participante cualificado: Cualquier participante que sea también un OC que cumple con los requisitos (o que gestione los recursos y la pericia de un OC que cumpla con los requisitos o que simplemente le proporcione los expertos técnicos para que realicen una certificación/validación supervisada ). El OC es el OC asociado del participante cualificado. Patrocinador (de un OC) Página 14 de 40 El participante que representa los intereses de un OC que cumple con los requisitos (o de un posible OC que cumple con los requisitos) y que autoriza sus certificados de criterios comunes. Perfil de protección: Documento oficial descrito en CC, que expresa, para su implantación, un conjunto independiente de requisitos de seguridad para una categoría de productos de las TI que cubren necesidades específicas de los clientes. Política de aprobación: Véase política de autorización. Política de autorización: Parte fundamental de la documentación de cada Esquema de evaluación y certificación/validación en la que se establecen los procedimientos para presentar la solicitud con el fin de que se conceda la autorización o aprobación y los trámites a seguir por dichas solicitudes así como los requisitos de seguridad y preparación que un solicitante ha de reunir para que se estime su solicitud. Producto de las TI: Un paquete de software o hardware de las TI, que aporta una utilidad diseñada para su utilización en una multiplicidad de sistemas o para su incorporación a los mismos. Reconocer: Véase Reconocimiento de certificados de criterios comunes. Reconocimiento de certificados de criterios comunes: Reconocimiento por parte de los participantes de que los procesos de evaluación y certificación llevados a cabo por un OC que cumple con los requisitos se han realizado con la profesionalidad adecuada y que cumplen todas las condiciones de este Arreglo y tienen la intención de dar a todos los certificados de CC resultantes la misma importancia. Sistema: Una instalación específica de las TI con una finalidad y requisitos de funcionamiento específicos. Supervisión de las evaluaciones: El procedimiento por el que los representantes de un OC observan las evaluaciones que se están llevando a cabo o revisan las que ya se han realizado con el fin de asegurarse de que un CESTI realiza su función de manera profesional y adecuada. Valoración de los OC que cumplen con los requisitos: El procedimiento para establecer que las evaluaciones y las certificaciones/validaciones realizadas por un OC en particular que cumple los requisitos continúan haciéndose de conformidad con lo establecido en este Arreglo. Página 15 de 40 Anexo B Esquema de evaluación y certificación/validación B.1 La finalidad y las características principales de un Esquema El objetivo principal de un Esquema de evaluación y certificación/validación (de ahora en adelante “Esquema”) es asegurar, por medio de una organización sistemática y una gestión de las funciones de evaluación y certificación/validación, que se mantengan los elevados estándares de competencia e imparcialidad y que se consigan la homogeneidad. De acuerdo con este fin, un único Órgano de certificación/validación gestiona cada Esquema y es responsable no solamente de la certificación/validación de los productos y los perfiles de protección evaluados sino que, con la misma importancia, también es responsable de las otras funciones que se enumeran en la sección B.2. Ya sea el Órgano de certificación/validación en sí o una junta directiva, uno de ellos establecerá la política general del Esquema (además de su política de autorización o aprobación - véase más adelante). En el caso de que fuese una Junta directiva, ésta será la responsable última del funcionamiento del Esquema de conformidad con sus normas y políticas y, si fuese necesario, de la interpretación o cambios de esas normas y políticas; mientras que en el caso de que sea un Órgano de certificación/validación, éste gestionará el Esquema e implementará las normas y políticas de conformidad con la orientación política que dé la Junta directiva. En ambos casos, es muy importante asegurar que los mecanismos funcionan correctamente y que se da a los intereses de todas las partes involucradas en las actividades de evaluación y certificación/validación la importancia adecuada para el funcionamiento del Esquema. La existencia de estos Esquemas es de una importancia crucial en el contexto del reconocimiento. Debido a que, junto con la aplicación correcta y homogénea de los criterios de evaluación y métodos de evaluación comunes, constituyen los únicos fundamentos para dar confianza en que todos los CESTI funcionan con los mismos elevados estándares y por tanto, en la corrección de sus resultados y en la homogeneidad entre unos CESTI y otros. Dicha confianza es indispensable a la hora de crear la fiabilidad sobre la que cualquier acuerdo de reconocimiento se ha de basar necesariamente. B.2 La función y las características principales de un OC El OC es independiente de los CESTI y funcionan con el personal cualificado adecuado. Puede crearse en virtud de las disposiciones de una ley, de una legislación complementaria o de cualquier otro procedimiento administrativo que sea válido en el país de que se trate o un Órgano de acreditación adecuado puede acreditarlo. En ambos casos, deberá cumplir los requisitos de EN 45011 o de la directriz 65 de ISO o bien los recogidos en el Anexo C de este Arreglo. Las funciones principales que ha de realizar un Órgano de certificación/validación son: a) autorizar la participación de los CESTI en el Esquema (véase más adelante); b) controlar el funcionamiento de los CESTI participantes y, de manera específica, que cumplan los criterios de evaluación y los métodos de evaluación aceptados así como la aplicación e interpretación de los mismos; c) ver si los procedimientos se realizan de conformidad con el Esquema y asegurarse de que la información delicada relativa a productos y perfiles de protección que se están evaluando y el Página 16 de 40 proceso de evaluación en sí se realizan de manera adecuada y se les da la protección de seguridad que requieren y que estos procedimientos se cumplen siempre (véase más adelante); d) dar directrices adicionales a los CESTI, cuando sea necesario; e) controlar todas las evaluaciones que se estén llevando a cabo dentro del Esquema a un nivel adecuado; f) revisar todos los informes de evaluación (incluidos de manera especial los Informes técnicos de evaluación) para asegurarse de que las conclusiones son coherentes con las pruebas obtenidas y que los criterios de evaluación y los métodos de evaluación aprobados se han aplicado de manera correcta; g) hacer un informe de certificación/validación de cada evaluación que se realice bajo los auspicios del Esquema; h) publicar los certificados de criterios comunes y los informes de certificación/validación relacionados con ellos; i) publicar regularmente un documento en el que se proporcione breve información sobre todos los productos y perfiles de protección evaluados dentro del Esquema que ostentan un certificado de criterios comunes que es actual y válido (Lista de productos certificados/validados); documentar la organización, la política, las normas y los procedimientos del Esquema, poner a disposición del público dicha documentación y mantenerla al día; j) k) asegurarse de que se cumplen las normas del Esquema; l) establecer, y, si fuese necesario, cambiar, las normas y políticas del Esquema; m) asegurarse de que los intereses de todas las partes que participan en las actividades del Esquema se les da la importancia adecuada para el funcionamiento del Esquema. En el contexto de participación en este Arreglo, el Órgano de certificación/validación asociado con un participante cualificado también es responsable de proporcionar la asistencia técnica a las actividades en lo que respecta a este acuerdo de conformidad con las disposiciones del mismo. B.3 La acreditación y autorización de los Centros de Evaluación Salvo que la participación de un Centro de Evaluación en un Esquema se haya establecido en virtud de una ley o de un instrumento legislativo; si éste va a participar en un Esquema deberá cumplir dos condiciones: a) que un Órgano de acreditación, oficialmente reconocido en el país de que se trate, le acredite; y b) que el OC responsable de la gestión del Esquema le autorice o apruebe. La acreditación lleva consigo la demostración de la imparcialidad y de la competencia técnica, metodológica y de procedimientos del Centro de Evaluación y específicamente de que cumple los requisitos de EN 45001 o de la directriz 35 de ISO en la medida que estos requisitos sean coherentes con las características del ámbito de la seguridad de las TI. El Centro de Evaluación también deberá demostrar al OC que es competente técnicamente en el ámbito específico de la evaluación de seguridad de las TI y de que podrá cumplir todas las normas del Esquema de que se trate. Esto incluye la demostración de que puede implantar los criterios de evaluación y los métodos de evaluación de que se trate de manera correcta y coherente y que cumple Página 17 de 40 los requisitos estrictos de seguridad necesarios para la protección de información delicada y protegida relativa a productos de las TI o a perfiles de protección que se estén evaluando y del proceso de evaluación en sí. El Centro de Evaluación que ha sido autorizado o aprobado para realizar evaluaciones dentro de un Esquema específico se conoce con el nombre de Centro de Evaluación de la seguridad de las TI (CESTI). La política de autorización o aprobación de cada Esquema incluye información relativa a los requisitos de seguridad y formación con respecto a los procedimientos a seguir para presentar una solicitud de autorización o aprobación, así como lo relacionado con la tramitación de dichas solicitudes. Página 18 de 40 Anexo C Requisitos que ha de cumplir un Órgano de certificación/validación C.1 Requisitos generales Los servicios del OC deben estar disponibles sin ninguna condición financiera o de otro tipo que sean excesivas. Los procedimientos de acuerdo con los cuales el OC funciona deberán gestionarse en una manera que no sea discriminatoria. C.2 Organización administrativa El OC deberá ser imparcial. De manera específica, dispondrá de una plantilla permanente que responderá ante el directivo jefe, lo que les permitirá que las operaciones del día a día se realicen sin el control o bajo la influencia excesiva de alguien que tenga un interés comercial o financiero en la certificación/validación. C.3 Estructura organizativa El OC deberá tener lo siguiente que pondrá a disposición de quien se lo solicite: a) un gráfico que muestre claramente la estructura de las responsabilidades y ante quién responde cada estructura de la organización; b) una descripción de los medios a través de los cuales la organización obtiene ayuda financiera; c) la documentación que explique el Esquema de evaluación y certificación/validación; d) la documentación que de manera clara indique su estatus jurídico. C.4 Personal de Certificación/validación El personal del OC deberá ser competente en lo que respecta a las funciones que asume. El OC custodiará y actualizará la información relativa a las titulaciones, formación y experiencia pertinentes de cada miembro de la plantilla. Se pondrá a disposición del personal instrucciones claras, actualizadas y documentadas que hagan relación a sus deberes y responsabilidades. Si se contrata un órgano externo para realizar el trabajo, el OC deberá asegurarse de que el personal que realiza el trabajo contratado cumple los requisitos a los que se refiere este Anexo. C.5 Control de documentación y cambio El OC tendrá un sistema para el control de toda la documentación relativa a su Esquema de evaluación y certificación/validación y se asegurará de que: a) los asuntos actuales relativos a la documentación que sea necesaria estén a disposición de todas las localizaciones pertinentes; b) los documentos no se cambien o sustituyan sin la autorización necesaria; c) los cambios se promulguen de tal modo que quienes han de tener conocimiento de los mismos, sean informados con rapidez con el fin de que puedan actuar con eficacia y prontitud; Página 19 de 40 d) los documentos que se sustituyan dejen de usarse en toda la organización y en todas sus agencias; e) se informe de los cambios a aquellos que están de manera directa relacionados con el Esquema. C.6 Documentos El OC deberá llevar un sistema para sus documentos que se adapte a sus circunstancias particulares y que cumpla con las normativas pertinentes de aplicación en la jurisdicción de la que depende el participante. En el sistema se incluirán todos los documentos y otros papeles generados en conexión con cada certificación/validación y éste deberá ser lo suficientemente completo como para permitir que se pueda seguir todo el curso de cada certificación/validación. Todos los documentos deberán conservarse de manera segura y accesible durante un periodo de al menos cinco años. C.7 Procedimientos de certificación/validación El OC poseerá las instalaciones necesarias y los procedimientos y los documentos relativos a los mismos que le permitan realizar la certificación/validación de productos de las TI o de perfiles de protección de conformidad con los criterios y métodos de aplicación relativos a la evaluación de la seguridad de las TI. C.8 Requisitos para los Centros de evaluación El OC deberá asegurarse de que los CESTI cumplen los requisitos indicados en este Arreglo. El OC deberá redactar para cada facilidad de evaluación de la seguridad un acuerdo con los documentos apropiados en el que se recojan todos los procedimientos pertinentes como son los acuerdos para asegurar la confidencialidad de información protegida y de los procesos de evaluación y certificación/validación. C.9 Manual de calidad El OC deberá tener un Manual de calidad y documentación que exponga los procedimientos por los que cumple con los requisitos de este Anexo. Estos deben incluir al menos: a) una declaración de política relativa al mantenimiento de la calidad; b) una breve descripción del estatus jurídico del OC; c) los nombres, titulación y obligaciones del directivo jefe y del resto del personal de certificación/validación; d) información relativa a los acuerdos de formación del personal de certificación/validación; e) un organigrama que muestre las líneas de autoridad, las de responsabilidad y la distribución de las funciones que parten del directivo jefe; f) información sobre los procedimientos para el control de las evaluaciones de productos de las TI o de perfiles de protección; g) información sobre los procedimientos que evitan el uso abusivo de los certificados de criterios comunes; h) los nombres de los contratistas y la información de los procedimientos así como su documentación en lo que respecta a la evaluación y control de su competencia; Página 20 de 40 i) información relativa a los procedimientos de apelación o conciliación. C.10 Confidencialidad En el caso de que esté permitido por las leyes nacionales, leyes parlamentarias, órdenes ejecutivas o normativas de los participantes, el OC deberá realizar los acuerdos adecuados para asegurar la confidencialidad de la información que obtiene en el curso de las actividades de certificación/validación en todos los niveles de su organización y no realizará ninguna divulgación no autorizada de información protegida que haya obtenido en el curso de las actividades de certificación/validación derivadas de este Arreglo. C.11 Publicaciones El OC confeccionará una lista de los productos certificados/validados que actualizará cuando sea necesario. Cada producto de las TI o perfil de protección que se mencione en la lista deberá estar claramente identificado. La lista estará a disposición del público. Deberá publicar la descripción del Esquema de evaluación y certificación/validación. C.12 Apelaciones o conciliaciones El OC dispondrá de procedimientos para solucionar los desacuerdos que surjan entre él, sus CESTI asociados y sus clientes C.13 Revisión periódica El OC realizará revisiones periódicas de las operaciones de su Esquema con el fin de asegurar que continúa compartiendo los objetivos de este Arreglo. C.14 Uso abusivo de los certificados de criterios comunes El OC llevará un control adecuado sobre el uso de los certificados de criterios comunes. Es responsabilidad del OC iniciar los trámites jurídicos, procesales y administrativos que fuesen necesarios con el fin de evitar el uso abusivo de los certificados o para contrarrestarlos así como para corregir las declaraciones engañosas, falsas e inadecuadas con respecto a los certificados o sobre el Esquema de evaluación y certificación/validación. C.15 Retirada de los certificados de criterios comunes El OC dispondrá de procedimientos y de documentación correspondiente relativa a la retirada de certificados de criterios comunes y deberá anunciar dicha retirada en la siguiente versión de su lista de productos certificados/validados. Página 21 de 40 Anexo D Valoraciones periódicas voluntarias El Comité de Dirección elegirá a uno o más participantes cualificados (sin contar al OC patrocinador) para que realice una valoración periódica de los OC que cumplen los requisitos. Las valoraciones no se harán salvo que se tenga el consentimiento o la petición por escrito del patrocinador y dicho consentimiento se puede denegar o revocar antes o durante la valoración. El patrocinador presentará al Comité de Dirección cualquier objeción que el OC tenga en relación con la elección del equipo de valoración. La valoración se llevará a cabo de acuerdo con lo establecido más adelante y de conformidad con la orientación que dé el Comité de Dirección que se asegurará de que las evaluaciones se realicen según un estándar normalizado y que lleve consigo una utilización razonable de recursos. El participante o los participantes que hagan la valoración podrán nombrar a un equipo de evaluación primario que esté formado por dos expertos cualificados y que el Comité de Dirección deberá aprobar. Los participantes podrán tener un experto adicional corriendo ellos con ese gasto. Los gastos derivados de la provisión de equipos de evaluación primarios para los OC asociados deberán distribuirse entre los participantes cualificados de manera equitativa y que el Subcomité Ejecutivo acordará. Si el O que C está siendo sometido a una valoración no es un OC asociado, deberá correr con todos los gastos del equipo de evaluación primario que se deriven de la misma (entre otros: el viaje, alojamiento, dietas y sueldos 2). El OC al que se le hace la valoración periódica deberá aportar en el plazo de un mes toda la documentación relativa al Esquema que sea necesaria en ese momento. Los expertos revisarán la documentación para asegurarse de que el OC continua compartiendo los objetivos de este Arreglo e informarán sobre sus conclusiones al Comité de Dirección. La certificación/validación supervisada deberá realizarse a un producto de TI adecuado y con un nivel de seguridad de criterios comunes del 3 o 4 según lo acordado por los participantes que estén directamente implicados y deberán firmar entre ellos un acuerdo de no divulgación. Los expertos deberán asegurarse de que el OC al que se le hace la manera coherente con respecto a todos los aspectos del certificación/validación. Los expertos al ejercitar esta responsabilidad algunos aspectos del proceso de certificación/validación y que el OC al les deberá facilitar. valoración periódica actúa de proceso de evaluación y tal vez deseen participar en que se le realiza la valoración Los expertos también deberán examinar la puesta en marcha de los procedimientos con el fin de asegurarse de que se da la confidencialidad de información protegida que se recoge en este Arreglo, en particular en los Anexos B y C. Con el fin de que los expertos los puedan examinar, en cada una de las fases correspondientes de la evaluación y certificación/validación, deberán presentarse los siguientes documentos: a) el objetivo en materia de seguridad; b) el informe técnico de evaluación; c) los comentarios por escrito relativos a los documentos anteriores que haya realizado el OC; d) el informe de certificación/validación. 2 Esto no será aplicable en el caso de que la legislación o normativa nacional prohiba al participante cualificado recibir este pago. Página 22 de 40 También se deberán presentar otros informes de evaluación que se soliciten de acuerdo con la orientación que haya dado el Comité de Dirección. Todos los documentos anteriormente mencionados estarán disponibles en inglés o en cualquier otra lengua que aprueben los expertos. Los informes de evaluación solamente se traducirán si fuese necesario. Los participantes que hayan dado su consentimiento a una valoración deberán buscar la solución a cualquier problema relativo al idioma que los expertos aprueben y deberán ponerla en práctica. Los expertos entregarán sus conclusiones al Comité de Dirección y prepararán una recomendación sobre la valoración. El Comité de Dirección revisará el informe realizado por los certificadores/validadores supervisores. Una vez que el Comité de Dirección se haya asegurado de que el informe es consistente y que las conclusiones se deducen de las pruebas, se entregará el resultado al OC al que se le ha hecho la valoración. Éste, en su caso, deberá demostrar, en un plazo máximo de seis meses, que ha rectificado las deficiencias que se hayan descubierto durante la valoración. Página 23 de 40 Anexo E Certificado y logotipos de servicio Cada certificado de criterios comunes emitido de conformidad con los términos de este Arreglo deberá llevar el logotipo que aparece a continuación: Este logotipo ratifica que un participante de este Arreglo ha autorizado ese certificado de criterios comunes y que declara que el certificado se ha emitido de conformidad con los términos del presente. Tras recibir un certificado de criterios comunes, podrán utilizar el logotipo los vendedores y también en la publicidad, comercialización y ventas del producto para el que se ha extendido. Los participantes de este Arreglo no deberán utilizar el logotipo para promocionar sus bienes o servicios. A continuación se muestra el logotipo de servicio de este Arreglo sobre reconocimiento: Este logotipo deberá utilizarse para identificar, anunciar y comercializar los servicios que un participante realice (o su OC asociado) en relación con este Arreglo. Tras la resolución de la participación en este Arreglo, el participante que lo haya resuelto no deberá utilizar el logotipo de servicio. Página 24 de 40 Anexo F Información que se ha de proporcionar a los participantes F.1 Documentación del Esquema Cada OC que cumple con los requisitos deberá poner a disposición de los participantes los documentos relativos a los siguientes aspectos del Esquema de evaluación y certificación/validación del que es responsable: a) el conjunto de normas y reglamentos nacionales relativos a la evaluación y certificación/validación de acuerdo con los métodos y criterios de evaluación de la seguridad de las TI que mutuamente se acordó; b) la estructura organizativa del Esquema; c) el manual de calidad del Órgano de certificación/validación; d) la política de acreditación o de autorización o aprobación; e) el nombre y las direcciones de los CESTI asociados al Esquema y sus estatus (es decir si son gubernamentales o comerciales); f) (donde fuera necesario) la interpretación nacional de EN 45001 o de la directriz 25 de ISO. Cada vez que se introduzcan cambios en estos documentos o que se preparen nuevas versiones de los mismos, se deberán mandar, de manera inmediata, a todos los participantes las copias con los cambios o las nuevas versiones. F.2 Certificados de criterios de comunes / informes de certificación/validación Cada participante deberá proporcionar a los otros participantes una copia de cada certificado de criterios comunes, de cada informe de certificación/validación y de cada lista de productos certificados/validados que autorice. Cada vez que un OC que cumple con los requisitos elimine o retire un producto de las TI o un perfil de protección de su lista de productos certificados/validados, deberá notificárselo inmediatamente a los participantes. F.3 Información general que afecta a los términos de este Arreglo Cada participante deberá hacer una declaración sobre cómo afectan de manera directa al reconocimiento de los certificados de criterios comunes todas las leyes nacionales, la legislación complementaria, las normativas administrativas y obligaciones oficiales de aplicación en el país. Cada participante deberá de manera inmediata poner en conocimiento del Comité de Dirección cualquier cambio o posibles cambios: a) en las leyes nacionales, las normativas administrativas u obligaciones oficiales; o b) en el funcionamiento o procedimientos de su Esquema o Esquemas de evaluación y certificación/validación que pudiesen afectar la capacidad del participante para actuar de manera coherente con los términos del Arreglo. Página 25 de 40 F.4 Normas de confidencialidad Algunos de los procedimientos derivados de este Arreglo, en algunas ocasiones, podrían exigir el intercambio de información protegida cuya divulgación no autorizada podría ocasionar un daño real a los participantes, a terceros asociados con los participantes, o a terceros que estén implicados en este Arreglo, entre otros, aunque sin limitarnos solo a ellos, a los fabricantes de productos de las TI. Es importante que esa información se maneje de manera adecuada y que se diseñen procedimientos con el fin de asegurar que se alcanza dicha protección. Los documentos pueden presentarse en papel (formato papel) o en formato electrónico. Los documentos con información protegida se identificarán por medio de la marca especial "AR confidencial". La parte que haya creado esta información será quien ponga esta marca especial. Cada participante intentará hacer cumplir las normas de protección que se citan a continuación y establecerá un sistema para ponerlas en práctica. F.4.1 Creación y gestión de información protegida Los documentos con información protegida deberán llevar un indicador breve pero claro con el nombre de su creador y la fecha en que se emitió. También deberá llevar un distintivo que lo haga único (por ejemplo, un número de serie). En el caso de que se modificara el documento también se cambiará el distintivo por lo menos en lo que respecta al número de versión y a la fecha de emisión. Los documentos continuarán protegidos durante el periodo establecido en el mismo o, en caso de que no se hiciese ninguna declaración específica al respecto, hasta que la parte creadora del mismo deje de exigir la protección del documento protegido. F.4.2 Procedimientos relativos a la manipulación de información protegida El marcado de información protegida Las copias en papel de los documentos que contienen información protegida deberán llevar en cada página las palabras "AR Confidencial" y su distintivo exclusivo. El periodo durante el que deberá ser protegido aparecerá en la primera página. Los dispositivos magnéticos portátiles para ordenadores que contienen información protegida, al menos, deberán llevar una etiqueta en la que aparezcan las palabras "AR Confidencial" y un distintivo exclusivo. En un papel adjunto deberán enumerarse los contenidos del dispositivo magnético cada vez que se pase de un participante a otro. Almacenamiento y normas para la protección de información protegida Las normas para el almacenamiento y la protección se refieren a los documentos que contienen información protegida y también a los borradores. Cuando se procesa o almacena información protegida en un ordenador, se la debe proteger de manera adecuada. Los dispositivos magnéticos portátiles en los que se almacena información protegida deben protegerse de la misma manera que documentos que contienen ese tipo de información. Envío de información protegida Página 26 de 40 Los documentos que contienen información protegida y que se han de enviar por correo irán en un sobre dentro de otro sobre. En el sobre exterior aparecerá la dirección de la persona de contacto para la correspondencia de AR indicada por el participante que la recibe. En el sobre o sobres interiores que contienen la información protegida, aparecerán las palabras "AR Confidencial" además del nombre del receptor para quien en realidad es. En el caso de envío electrónico de información protegida, éste deberá realizarse utilizando medios electrónicos seguros. Copiado de información protegida El receptor de información protegida solo podrá hacer copias de la misma si las razones para hacerlo están claramente justificadas por motivos operacionales. Destrucción de los dispositivos magnéticos móviles y de la información protegida Una vez que ya no sean necesarios, los dispositivos magnéticos portátiles que contiene información protegida deberán destruirse de manera adecuada y este hecho deberá registrarse en un registro que se llevará para este fin. La información protegida deberá borrarse bien de los dispositivos magnéticos antes de destruirlos. Acceso a información protegida Salvo que se acuerde algo distinto con el creador y en el caso de que la ley lo permita, el acceso a la información protegida que un participante recibe quedará restringida solamente al personal que el participante haya contratado directamente o, de acuerdo con la discreción del Jefe de la organización del participante, a los funcionarios que deban conocerla. La obligación de mantener la confidencialidad sobre la información protegida continuará incluso después de que se haya resuelto este Arreglo. F.4.3 Niveles adicionales de protección En algunas ocasiones, la información puede requerir un nivel de protección incluso mayor. Esto deberá establecerse para cada caso. Página 27 de 40 Anexo G Nuevos órganos de certificación/validación que cumplen los requisitos G.1 Petición formal Si un OC desea que le den el estatus de OC que cumple con los requisitos de conformidad con este Arreglo y piensa que cumple las condiciones que se estipulan en el Artículo 5 y en los Anexos citados en el mismo; deberá presentar una solicitud por escrito por medio del participante en su país. (Advertencia: el OC y el participante pueden ser la misma organización.) Si el participante apoya la solicitud, se convierte en el patrocinador del OC, y deberá remitirla al Comité de Dirección. La solicitud remitida no se considera un apoyo formal por parte del patrocinador en cuanto a la capacidad del solicitante para cumplir las condiciones de este Arreglo. La aplicación ha de incluir una declaración por escrito de que el solicitante desea que se le conceda el estatus de OC que cumple con los requisitos de conformidad con este Arreglo y que está dispuesto a: a) correr, tenga éxito o no la solicitud, con todos los gastos del equipo de la valoración primaria (Véase G.3 de más adelante) que se deriven de la solicitud o de la consideración o tramitación de la misma (incluyéndose el viaje, alojamiento y dietas, y - solamente en el caso en que el solicitante no solicite que se le declare OC asociado a un patrocinador – también de los sueldos del equipo de la evaluación primaria3); b) presentar la documentación que se enumera más adelante; y c) someterse a una certificación/validación supervisada por los representantes de uno o más participantes de un producto adecuado que se evaluará y certificará/validará bajo la supervisión del solicitante. G.2 Documentación que se ha de presentar Toda la documentación e información que se obtiene durante el proceso para ver si se cumplen los requisitos se manipula de conformidad con las disposiciones del Anexo F.4 . Estas normas de confidencialidad pueden completarse con un acuerdo o acuerdos de no divulgación. Deberá presentarse la siguiente documentación: a) una descripción completa relativa al ámbito, organización y funcionamiento del Esquema de evaluación y certificación/validación del solicitante, en la que se incluya: el nombre, la dirección y la persona de contacto del OC; el Manual de calidad del OC; de quien depende el OC y la ley o cualquier otro fundamento del que derive su autoridad; el sistema que sigue para la supervisión de la gestión general del Esquema, para decidir asuntos relativos a políticas y para resolver desacuerdos; los procedimientos de certificación/validación; - 3 Esto no será aplicable en el caso de que la legislación o normativa nacional prohiba al participante cualificado recibir este pago. Página 28 de 40 - los nombres y direcciones de los CESTI que forman parte del Esquema y sus estatus (comercial o gubernamental); la política de autorización o aprobación y los procedimientos que sigue para la acreditación de los CESTI; las normas impuestas en el Esquema relativas a la protección de secretos comerciales y a otra información delicada; los procedimientos por los que el OC se asegura de que los CESTI: - - - - realizan las evaluaciones de manera imparcial; - aplican de manera correcta y coherente los métodos y criterios relativos a las TI acordados mutuamente; y - protegen la confidencialidad de la información delicada de que se trate. b) la última lista de productos certificados/validados del Esquema; c) dos o más certificados de criterios comunes e informes de certificación/validación que se hayan emitido bajo la supervisión del solicitante; d) una declaración sobre cómo afectan de manera directa a la realización de evaluaciones y certificaciones/validaciones o al reconocimiento de los certificados de criterios comunes todas las leyes nacionales o lesgislaciones complementarias, normativas administrativas y obligaciones oficiales de aplicación en el país del solicitante; y e) una declaración de que el solicitante no está obligado o a punto de obligarse por ninguna ley, ley complementaria u orden administrativa oficial que le de a él o a los productos de las TI o a los perfiles de protección a los que concede certificados de criterios comunes un trato de favor de acuerdo con este Arreglo o que de cualquier otro modo malogre el funcionamiento o la intencionalidad del presente. G.3 Respuesta del Comité de Dirección El Comité de Dirección deberá hacer acuse de recibo de la solicitud en tres semanas a partir de su recepción y preparará una respuesta preliminar a ésta en un plazo de tres meses. La respuesta preliminar indicará la aceptación de la solicitud presumiendo que el examen técnico de la documentación y que la certificación/validación supervisada se desarrollen correctamente. Cuando el Comité de Dirección considere que la información aportada por el solicitante es satisfactoria y que no necesita ninguna aclaración o información complementaria, se pedirá al solicitante que designe al menos dos productos para someterlos a la certificación/validación supervisada y para los que se exija unos niveles de seguridad de evaluación de criterios comunes 3 o 4. El solicitante deberá presentar un breve resumen correspondiente a cada producto e información sobre la organización a seguir para su evaluación y certificación/validación. El Comité de Dirección seleccionará, en un plazo de un mes a partir de la recepción de la designación, uno de los productos para la certificación/validación supervisada y se lo notificará al solicitante. El Comité de Dirección seleccionará a uno o más participantes cualificados (que no sea el patrocinador) para que realice la certificación/validación supervisada. El participante o los participantes seleccionados designarán un equipo para la evaluación primaria que estará formado por dos expertos. Cualquier participante (también el patrocinador) podrá aportar un experto adicional siempre que aquél corra con los Página 29 de 40 gastos. El Comité de Dirección deberá informar al solicitante sobre los nombres y la organización a la que pertenecen los expertos. G.4 Procedimiento de certificación/validación supervisada Serán los expertos quienes decidan qué parte del proceso de evaluación y certificación/validación necesitará supervisión, basándose en la orientación dada por el Comité de Dirección (que asegurará que las evaluaciones se desarrollan de acuerdo con un estándar normalizado), y a la luz de toda la información puesta a su disposición. La orientación del Comité de Dirección estará a disposición de los OC solicitantes para permitirles que calculen los recursos que serán necesarios para realizar la evaluación. Los expertos enviarán por escrito sus hallazgos al Comité de Dirección en un plazo de un mes tras haber completado su investigación y no más tarde de un mes tras haber completado el proceso de evaluación y certificación/validación de los productos seleccionados, junto con una recomendación sobre si la solicitud del candidato se ha de aceptar o rechazar. El Comité de Dirección deberá transmitir su decisión al solicitante por escrito y en un plazo de dos meses a partir de la recepción del informe de los expertos. En el caso de que se rechazase la solicitud, el Comité deberá proporcionar un resumen en el que se recojan los motivos por los que se ha llegado a esa decisión y las pruebas más importantes sobre las que se ha basado la misma. En el caso de que se acepte la solicitud, el Comité registrará la decisión poniendo al día el Anexo K de acuerdo con la misma. Página 30 de 40 Anexo H Gestión del Arreglo H.1 Responsabilidades y competencia El Comité de Dirección actuará en cualquier asunto de política relativos al estatus, términos y funcionamiento de este Arreglo; admitirá a los nuevos participantes, decidirá si los nuevos OC cumplen o no con los requisitos y realizará los cambios relativos al ámbito del Arreglo. H.2 Representación Todos los participantes están representados en el Comité de Dirección. El Comité de Dirección nombrará a su presidente de entre los participantes en el Arreglo y su mandato durará un periodo no superior a un año. Los participantes se irán sucediendo unos a otros en la presidencia del Comité. La presidencia vigente deberá proporcionar apoyo administrativo al Comité de Dirección. H.3 Decisiones Cada país representado en el Comité de Dirección tendrá un voto. Las decisiones se aprueban por mayoría simple, salvo los casos para los que, en alguna otra parte de este Arreglo, se estipule específicamente que se han de aprobar por unanimidad. H.4 Asistencia El Comité de Dirección podrá invitar a expertos o asesores técnicos a sus reuniones para que les asesoren sobre asuntos específicos. H.5 Utilización de expertos El Comité de Dirección podrá crear grupos de expertos ad-hoc con el fin de que les asistan y asesoren cuando sea necesario. H.6 Frecuencia de las reuniones El Comité de Dirección tendrá una reunión plenaria al año o cuando lo considere oportuno. Cuando lo encuentre práctico, podrá usar el correo electrónico para tomar decisiones. H.7 Subcomité Ejecutivo El Comité de Dirección creará un Subcomité Ejecutivo para gestionar los asuntos del día a día del grupo del Arreglo y para proporcionar asesoría técnica y recomendaciones al Comité de Dirección. El Subcomité Ejecutivo estará formado por participantes cualificados y un número adicional discreto de participantes cuyo límite indicará el Comité de Dirección. Los asuntos que el Subcomité Ejecutivo deberá llevar a cabo son: a) el diseño y la recomendación de procedimientos para realizar los asuntos del grupo del Arreglo; b) la evaluación del cumplimiento técnico de los requisitos por parte de OC nuevos; c) la recomendación de realizar revisiones a este Arreglo; Página 31 de 40 d) la gestión de continuas actividades de seguimiento; e) la solución de desacuerdos técnicos que se puedan dar entre los términos y la aplicación de este Arreglo; f) la gestión del desarrollo de criterios de evaluación de la seguridad de las TI y de métodos de evaluación de la seguridad de las TI; h) la gestión del mantenimiento de las bases de datos históricas como material de apoyo para las interpretaciones y para cualquier decisión resultante que pueda afectar a futuras versiones ya sea de los criterios o de la metodología. Página 32 de 40 Anexo I Contenidos de los informes de certificación/validación I.1 El informe de certificación/validación y su utilización El informe técnico de evaluación (ITE) lo redacta el CESTI para el OC y constituye el fundamento principal del informe de certificación/validación. La finalidad del ITE es la de presentar todos sus veredictos, justificaciones y hallazgos que se derivan del trabajo que han realizado durante la evaluación, también los errores que haya en el diseño de un producto de las TI o de un perfil de protección y cualquier deficiencia observada durante la evaluación. Pudiera ser que el ITE contenga información protegida necesaria para justificar los resultados de la evaluación. El informe de certificación/validación es la fuente de información de seguridad detallada acerca de los productos de las TI o de los perfiles de protección para cualquier parte interesada. Su finalidad es proporcionar a los clientes información práctica sobre los productos de las TI o los perfiles de protección. No es necesario que el informe de certificación/validación contenga información protegida, ni tampoco debería llevarla ya que, como en el caso del objetivo en materia de seguridad, contiene la información necesaria para que los clientes hagan buen uso del producto de las TI evaluado. I.2 Resumen ejecutivo El resumen ejecutivo es un breve resumen del informe. La información que se da en esta sección deberá proporcionar a los lectores una visión general clara y concisa de los resultados de la evaluación. Los lectores de esta sección pueden ser diseñadores, clientes y evaluadores de sistemas y productos seguros de las TI. Al leer el resumen ejecutivo se puede adquirir un conocimiento básico con respecto al producto de las TI o a los perfiles de protección y los resultados del informe. Algunos clientes (por ejemplo: acreditadores, gestoras) tal vez sólo lean esta parte del informe y por tanto, es importante que todos los hallazgos claves de la evaluación se incluyan en esta sección. Un resumen ejecutivo deberá constar de los siguientes elementos aunque no deberá limitarse únicamente a ellos: a) Nombre del producto evaluado de las TI, enumeración de las partes del mismo que forman parte de la evaluación, el nombre del diseñador y la versión; b) Nombre del Centro de Evaluación de Seguridad de TI; c) Fecha en la que se concluye la evaluación; y d) Breve descripción de los resultados del informe: - paquete de seguridad; - utilidad; - resumen de las deficiencias y de las políticas de seguridad de la organización (PSO) que hayan guardado alguna relación con el producto de TI evaluado; - requisitos especiales de configuración; - presuposiciones con respecto al medio en que funciona; - descargo de responsabilidades. I.3 Identificación Se ha de identificar de manera clara al producto de las TI evaluado. El número de la versión de software, las mejoras de software aplicables, el número de versión del hardware, y de los dispositivos periféricos (por ejemplo; drivers, impresoras, etc.) deben identificarse y nombrarse. Lo cual proporciona el etiquetado y la información descriptiva necesaria para que se pueda identificar de manera total a un producto de las TI evaluado. La identificación total de un producto de las TI evaluado asegurará que se Página 33 de 40 puede volver a preparar una representación completa y correcta del mismo para su utilización o para una evaluación en el futuro. I.4 Política de seguridad La sección relativa a la política de seguridad deberá constar de la descripción de la política de seguridad de los productos de las TI. La política de seguridad describe al producto de las TI como una colección de servicios de seguridad y contiene las políticas o normas que el producto de las TI evaluado ha de cumplir y/o respetar. I.5 Presuposiciones y aclaración relativa al ámbito En esta sección se incluyen los aspectos de seguridad relativos al medio o a la configuración en la que se espera que se utilice un producto de las TI. En ésta se proporcionan los medios para expresar correctamente la aclaración en cuanto al ámbito de la evaluación en lo que se refiere a las deficiencias que no se remedian. Los clientes podrán tomar decisiones después de informarse bien acerca de los riesgos relacionados con el uso del producto de las TI. El uso, la presuposiciones relativas al medio y la aclaración con respecto al ámbito de la evaluación en lo que se refiere a las deficiencias que no se remedian deben aparecer en esta sección. I.5.1 Uso de las presuposiciones Con el fin de proporcionar un punto de partida para el producto durante la evaluación se han de hacer ciertas presuposiciones con respecto al uso del producto de las TI. Se han de presuponer aspectos tales como su instalación y configuración adecuadas, los requisitos mínimos de hardware que se han de tener, etc. En esta sección se documenta cualquier presuposición que se haya hecho durante la evaluación con respecto al uso del producto de las TI. I.5.2 Presuposiciones relativas al medio Con el fin de proporcionar un punto de partida para el producto de las TI durante la evaluación se hacen ciertas presuposiciones en cuanto al medio en el que el producto se va a usar. En esta sección se documenta cualquier presuposición que se haya hecho durante la evaluación con respecto al medio en que se usará el producto de las TI. I.5.3 Aclaración relativa al ámbito Esta sección enumera y describe las deficiencias del producto de las TI que no se han remediado por medio de las funciones de seguridad evaluadas. Tal vez algunos clientes piensen que el producto de las TI se haga cargo de todas las deficiencias cuando en realidad esto no es así. El motivo por el que se enumeran las deficiencias no remediadas es para aclarar este punto; sin embargo, es totalmente imposible enumerar todas las deficiencias posibles que un producto en particular no remedia. I.6 Información arquitectónica En esta sección se da una descripción de alto nivel sobre el producto de las TI y sus componentes más importantes basada en las deliberaciones que se recogen en el grupo de seguridad de criterios comunes que se llama Desarrollo - Diseño de alto nivel, (Development - High Level Design, ADV_HLD). El fin de esta sección es describir el nivel de separación arquitectónica de los componentes más importantes. I.7 Documentación En esta sección se da la lista completa de la documentación relativa al producto de las TI que el diseñador proporciona al cliente junto con el producto. Es importante que todos los documentos pertinentes lleven el número de la versión. La documentación, como mínimo, incluye los manuales del Página 34 de 40 usuario, de funcionamiento y de instalación. A veces la información relativa a la instalación y el funcionamiento se recogen en un único documento. I.8 Análisis de los producto de las TI En esta sección aparece tanto el análisis del diseñador como del evaluador y se describe el criterio para el análisis, la configuración, hondura y los resultados del mismo. I.9 Configuración evaluada Esta sección es sobre la configuración del producto de las TI durante el proceso de evaluación. Lo normal es que el manual de instalación o de gestión aporte la información necesaria para la configuración correcta del producto de las TI; ya que éste se podrá configurar de modos distintos dependiendo del medio en que se utilice o de las políticas de seguridad de la organización que respete. En esta sección se describen los parámetros precisos y la información con respecto a la configuración además de las razones por las que se han elegido éstos; también se incluyen otras advertencias y observaciones relativas al funcionamiento. Esta sección tiene una importancia especial ya que aporta los fundamentos para la instalación de los productos evaluados. I.10 Resultados de la evaluación Esta sección trata sobre los requisitos de seguridad que un producto de las TI cumple; en ella se da una descripción pormenorizada de los mismos y en el objetivo en materia de seguridad también se puede encontrar la información sobre cómo el producto cumple cada uno de ellos. I.11 Comentarios o recomendaciones del evaluador Se utiliza esta sección para dar información adicional sobre los resultados de la evaluación. Estos comentarios o recomendaciones suelen recoger las deficiencias que se han descubierto en el producto de las TI durante la evaluación o mencionar las características del mismo que son particularmente útiles. I.12 Anexos Los Anexos se utilizan para describir cualquier información adicional que pueda ser útil a los lectores del informe pero que no encaja en ninguno de los apartados previstos para el mismo (por ejemplo, la descripción completa de la política de seguridad). I.13 Objetivo en materia de seguridad El objetivo en materia de seguridad se ha de incluir en el informe de certificación/validación. Sin embargo, se ha de preparar quitando la información técnica patentada donde sea necesario. I.14 Glosario Se incluye el glosario para mejorar la compresión del informe ya que recoge a qué equivalen los acrónimos y las definiciones de los términos cuyo significado tal vez no se conozca. I.15 Bibliografía La sección de bibliografía recoge los documentos de referencia que se han utilizado como fuentes para la preparación del informe; la información que se puede incluir es, aunque sin limitarse solo a ésto: Página 35 de 40 a) los criterios, la metodología, la documentación utilizada para el programa del Esquema; b) la documentación técnica de referencia; y c) la documentación del diseñador que se ha utilizado en la evaluación. Para que después se pueda citar, es muy importante que toda la documentación perteneciente al diseñador solamente se identifique con la fecha de salida adecuada y los números apropiados de las versiones. Página 36 de 40 Anexo J Certificados de criterios comunes La siguiente información debe incluirse en todos los certificados de criterios comunes que se emitan en representación de los participantes de este Arreglo sobre reconocimiento. J.1 las TI Certificados de criterios comunes relacionados con las evaluaciones de productos de En un certificado de criterios comunes autorizado por un participante como resultado de la certificación/validación de la evaluación de un producto de las TI se debe incluir la siguiente información: a) Fabricante del producto; b) Nombre del producto; c) Tipo de producto; d) Número de versión y número de salida; e) Cumplimiento de los perfiles de protección (donde sea aplicable); f) Plataforma de evaluación (opcional); g) Nombre del Centro de Evaluación de Seguridad (opcional); h) Nombre del Órgano de certificación/validación; i) j) Distintivo del informe de certificación/validación; 4 Fecha de emisión; y k) Paquete de seguridad. 5 Un certificado también deberá decir lo siguiente: Se ha evaluado el producto de las TI que aparece en este certificado [insértese en un Centro de Evaluación acreditado y un Centro de Evaluación autorizado o aprobado o en un Centro de Evaluación creado de conformidad con las leyes, los instrumentos parlamentarios u otros procedimientos administrativos oficiales de [insértese el nombre del país participante']] que utiliza la metodología común para la evaluación de la seguridad de las TI, [insértese el número de la versión], con el fin de cumplir los criterios comunes para la evaluación de la seguridad de las TI, [insértese el número de versión]. Este certificado solamente hace referencia al número de versión y al de salida de la configuración evaluada del producto y en relación con su informe completo de certificación/validación. La evaluación se 4 El distintivo del informe de certificación/validación deberá identificar exclusivamente al documento; incluirá, como mínimo, el nombre del Órgano de certificación/validación, los criterios de evaluación utilizados, el número del informe y el año de emisión. 5 El paquete de seguridad deberá distinguir entre la parte 3 normal del nivel de seguridad de evaluación de criterios comunes y la parte 3 incrementada del nivel de seguridad de evaluación de criterios comunes (Common Criteria Evaluation Assurance Level, EAL) . El aumento se representará con un signo +, (Por ejemplo, NSE 3 +). Página 37 de 40 ha llevado a cabo de conformidad con las disposiciones del [insértese el nombre oficial del Esquema] y las conclusiones del Centro de Evaluación que aparecen en el informe técnico de la evaluación son coherentes con las pruebas halladas. Este certificado no implica el respaldo al producto de las TI del [insértese el nombre del participante] o de ningún otra organización que reconozca o haga efectivo este certificado y tampoco de manera expresa o implícita supondrá una garantía del producto de las TI por parte de [insértese el nombre del participante] o de ninguna otra organización que reconozca o haga efectivo este certificado. Además de la información enumerada, en cada producto de las TI relacionado con un certificado de criterios comunes autorizado por los participantes, se deberá poner el logotipo que se menciona en el Anexo E. J.2 Certificados de criterios comunes relacionados con las evaluaciones de perfiles de protección En un certificado de criterios comunes autorizado por un participante como resultado de la certificación/validación de la evaluación de un perfil de protección se debe incluir la siguiente información: a) Diseñador del perfil de protección; b) Identificador o nombre del perfil de protección c) Número de la versión; d) Nombre del Centro de Evaluación de Seguridad TI (opcional); e) Nombre del Órgano de certificación/validación; f) Número del informe de certificación/validación; g) Fecha de emisión; y h) Paquete de seguridad. 6 Un certificado también deberá decir lo siguiente: Se ha evaluado el perfil de protección que aparece en este certificado [insértese en un Centro de Evaluación acreditado y un Centro de Evaluación autorizado o aprobado o en un Centro de Evaluación creado de conformidad con las leyes, los instrumentos parlamentarios u otros procedimientos administrativos oficiales de [insértese el nombre del país participante']] que utiliza la metodología común para la evaluación de la seguridad de las TI, [insértese el número de la versión], con el fin de cumplir los criterios comunes para la evaluación de la seguridad de las TI, [insértese el número de versión]. Este certificado solamente hace referencia al número de versión específica del perfil de protección que se recoge en este certificado y en el informe completo de certificación/validación. La evaluación se ha llevado a cabo de conformidad con las disposiciones del [insértese el nombre oficial del Esquema] y las conclusiones del Centro de Evaluación que aparecen en el informe técnico de la evaluación son coherentes con las pruebas halladas. Este certificado no implica el respaldo al perfil de protección por parte del [insértese el nombre del participante] o de ningún otra organización que reconozca o haga efectivo este certificado y tampoco de manera expresa o implícita supondrá una garantía para el perfil por parte del [insértese el nombre del participante] o de ninguna otra organización que reconozca o haga 6 El paquete de seguridad deberá distinguir entre la parte 3 normal del nivel de seguridad de evaluación de criterios comunes y la parte 3 incrementada del nivel de seguridad de evaluación de criterios comunes. Página 38 de 40 efectivo este certificado. Además de la información enumerada en cada perfil de protección relacionado con un certificado de criterios comunes autorizado por los participantes, se deberá poner el logotipo que se menciona en el Anexo E. Página 39 de 40 Anexo K OC que cumplen los requisitos Australasian Information Security Evaluation Programme patrocinado por Defence Signals Directorate y Government Communication Security Bureau, de Australia y Nueva Zelanda Canadian Common Criteria Evaluation and Certification Scheme patrocinado por Communications Security Establishment, de Canadá Schema d’Evaluation et Certification Francais patrocinado por Service Central de la Sécurité des Systèmes d'Information, de Francia Bundesamt für Sicherheit in der Informationstechnik (Zertifizierungsstelle) patrocinado por Bundesamt für Sicherheit in der Informationstechnik, de Alemania UK ITSec Scheme patrocinado por Communications-Electronics Security Group y Department of Trade and Industry, del Reino Unido National Information Assurance Partnership Common Criteria Evaluation and Validation Scheme patrocinado por National Institute of Standards and Technology, y National Security Agency, de Los Estados Unidos de América Página 40 de 40