ENAC, en la International Common Criteria Conference
Rosalina Porres, jefa del área de TIC de ENAC, participó el 16 de noviembre en la Conferencia Internacional sobre Common Criteria (ICCC, International Common Criteria Conference), principal punto de encuentro de la comunidad de profesionales involucrados en el Common Criteria, esquema de evaluación y certificación de seguridad sobre el cumplimiento de los requisitos de seguridad por parte de un producto IT.
Durante su presentación, que impartió en representación de European Accreditation, la organización europea de acreditadores, abordó los requisitos establecidos en el EUCC para los organismos de evaluación de la conformidad, así como las acciones desarrolladas por EA como parte de la preparación de los organismos de acreditación europeos a la implantación del esquema.
“Para ENAC, participar en la International Common Criteria Conference, el principal foro para la comunidad de profesionales implicados en Common Criteria (CC), en el que participan los organismos de certificación, expertos gubernamentales, los laboratorios de evaluación y la industria, supone una estupenda oportunidad para conocer las tendencias en materia de seguridad informática de productos y sistemas y para poder compartir con los expertos en ciberseguridad el papel de la acreditación en los nuevos esquemas de certificación bajo el marco del Cybersecurity Act, que tienen como objetivo aportar garantías sobre el cumplimiento de los productos y servicios IT con determinados requisitos de seguridad”, asegura la jefa del área de TIC.
Además, durante el turno de preguntas y respuestas, los asistentes plantearon cuestiones sobre temas como la recomendación de EA de modificar la norma de acreditación aplicable en algunas actividades o sobre el proceso de evaluación por pares de EA.
Para más información, puede descargar la presentación en el siguiente enlace.
Certificación en ciberseguridad a escala europea
El EUCC, o esquema de certificación basado en Common Criteria (EU Certification scheme on Common Criteria) es uno de los esquemas que la Agencia de la Unión Europea para la Ciberseguridad, ENISA, está desarrollando en el marco de lo establecido en el Cybersecurity Act. Este esquema sustituirá al actual acuerdo europeo SOGIS (Senior Officers Group for Information Systems, Mutual Recognition Agreement), que permite el reconocimiento de certificados de seguridad de productos a los más altos niveles de exigencia en el ámbito de la Unión Europea.
El Common Criteria proporciona un conjunto estandarizado de requisitos de seguridad de productos de tecnologías de la información (hardware, software o firmware), que aportan confianza sobre las evaluaciones en seguridad llevadas a cabo sobre los mismos. Una de las aplicaciones más comunes del Common Criteria es la certificación de circuitos integrados y tarjetas inteligentes, que contribuyen a aportar mayor confianza sobre la seguridad de los dispositivos con firma electrónica (pasaportes, tarjetas bancarias o tacógrafos, entre otros).
Asimismo, a nivel europeo, se están elaborando otros esquemas como el de certificación sobre servicios en la nube (EU Certification scheme on Cloud Services, EUCS) y el de certificación para redes móviles 5G (EU 5G scheme), siendo el EUCC el más avanzado en su desarrollo.