Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin.

Publicado en: BOE núm. 230, de 25/09/2007.
Entrada en vigor: 26/09/2007
Departamento: Ministerio de la Presidencia
Referencia: BOE-A-2007-16830
Permalink ELI: https://www.boe.es/eli/es/o/2007/09/19/pre2740/con

TEXTO ORIGINAL: Texto original publicado el 25/09/2007


[Bloque 1: #pr]

La utilizacin de las Tecnologas de la Informacin (TI) en amplias reas de la actividad de la Administracin, as como la creciente participacin de Espaa en proyectos de desarrollo de la sociedad de la informacin de carcter internacional, imponen la necesidad de garantizar un nivel de seguridad en la utilizacin de las TI equiparable, como mnimo, al conseguido en el tratamiento tradicional de la informacin en soporte papel.

Por tanto, la seguridad que las TI deben poseer, ha de abarcar la proteccin de la confidencialidad, la integridad y la disponibilidad de la informacin que manejan los sistemas de informacin, as como la integridad y disponibilidad de los propios sistemas.

La garanta de seguridad de las Tecnologas de la Informacin debe estar basada en el establecimiento de mecanismos y servicios de seguridad, adecuadamente diseados, que impidan la realizacin de funciones no deseadas.

Uno de los mtodos, admitido internacionalmente, para garantizar la correccin y efectividad de dichos mecanismos y servicios, consiste en la evaluacin de la seguridad de las TI, realizada mediante la utilizacin de criterios rigurosos, con posterior certificacin por el organismo legalmente establecido.

El Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin, que acompaa a esta Orden Ministerial, regula el marco de actuacin, y crea los organismos necesarios, para poner estos procesos de evaluacin y certificacin al alcance de la industria y de la Administracin; todo ello basado en el Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin.

La carencia actual de un esquema anlogo, puede suponer un importante obstculo para la difusin y aceptacin generalizada, tanto a nivel nacional como internacional, de los diferentes productos y sistemas de las Tecnologas de la Informacin desarrollados en nuestro pas.

En el contexto de los programas internacionales, no se puede entender criterios de evaluacin y certificacin de la seguridad de las TI que no sean homologables con los de otros pases participantes. Por ello, es necesario la adopcin de criterios internacionales, que permitan negociar el reconocimiento mutuo de certificados, resultando esencial que el Esquema al que se refiere el presente Reglamento, se equipare a los del resto de los pases de nuestro entorno.

Desde hace algunos aos, en Espaa, se ha venido sintiendo la necesidad de impulsar la creacin de un esquema de esta naturaleza, habindose llevado a cabo diversas iniciativas para su constitucin, desde el Consejo Superior de Informtica y para el Impulso de la Administracin Electrnica, en colaboracin con el Centro Nacional de Inteligencia. Tambin, en la Direccin General de Armamento y Material del Ministerio de Defensa, se cre un esquema orientado a satisfacer necesidades puntuales del Ministerio de Defensa.

Asimismo, se cre un laboratorio de evaluacin, el Centro de Evaluacin de la Seguridad de las Tecnologas de la Informacin (CESTI) del Instituto Nacional de Tcnica Aeroespacial (INTA). Este laboratorio fue acreditado, siguiendo este mismo Reglamento, como laboratorio de evaluacin de la seguridad de las Tecnologas de la Informacin, por resolucin 1AO/38272/2005, de 13 de octubre, del Centro Criptolgico Nacional, y ha contribuido, de manera decisiva, a la creacin y puesta en marcha de un esquema de funcionalidad completa.

Paralelamente, Espaa, como pas consumidor de certificados, y a travs del Ministerio de Administraciones Pblicas, ha estado presente en el Arreglo de Reconocimiento Mutuo de Certificados Common Criteria (CCRA), desde su creacin.

En ese Ministerio, se ha sentido la necesidad de crear un nico esquema nacional que abarcase todo el mbito de la actividad de evaluacin y certificacin y que potenciase a Espaa a la categora de pas productor de certificados Common Criteria.

Por todo ello, la creacin de un esquema nacional va a gozar, desde el principio, de aportaciones experimentadas y se va a encajar en un foro en el que su presencia es demandada.

Por otra parte, se hace necesaria la participacin de un organismo de certificacin, que partiendo de un conocimiento de las Tecnologas de la Informacin y de las amenazas y vulnerabilidades existentes, proporcione una garanta razonable a los procesos de evaluacin y certificacin.

Dicho organismo se constituye al amparo de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que encomienda a este Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologas de la Informacin, y segn lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptolgico Nacional, entre cuyas funciones est la de constituir el Organismo de Certificacin del Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin.

En virtud de los preceptos indicados anteriormente, consultados los fabricantes e importadores del sector, y a propuesta conjunta de los Ministros de Defensa y de Industria, Turismo y Comercio, con la aprobacin previa de la Ministra de Administraciones Pblicas, dispongo:


[Bloque 2: #au]

Artculo nico. Aprobacin del Reglamento.

Se aprueba el Reglamento de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin, cuyo texto se inserta a continuacin.


[Bloque 3: #da]

Disposicin adicional nica. Naturaleza y establecimiento de la contraprestacin exigida por las acreditaciones y certificaciones.

1. Al amparo de lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Pblicos, los ingresos procedentes de las acreditaciones de laboratorios y de las certificaciones de productos, tienen la naturaleza de tasas.

2. Segn lo establecido en el artculo 2.3 del Real Decreto 1287/2005, de 28 de octubre, por el que se modifica el Real Decreto 593/2002, de 28 de junio, que desarrolla el rgimen econmico presupuestario del Centro Nacional de Inteligencia, el establecimiento o modificacin de la cuanta de los ingresos que tengan la naturaleza de tasas, as como la fijacin de los diversos elementos de la correspondiente relacin jurdico-tributaria, se harn con arreglo a lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Pblicos.


[Bloque 4: #df]

Disposicin final primera. Facultades de ejecucin y aplicacin.

Se faculta al Secretario de Estado Director del Centro Criptolgico Nacional del Centro Nacional de Inteligencia, para dictar cuantas instrucciones sean necesarias para la ejecucin y aplicacin de lo establecido en esta orden ministerial.


[Bloque 5: #df-2]

Disposicin final segunda. Entrada en vigor.

La presente orden ministerial entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.


[Bloque 6: #fi]

Madrid, 19 de septiembre de 2007.–La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, M. Teresa Fernndez de la Vega Sanz.


[Bloque 7: #re]

REGLAMENTO DE EVALUACIN Y CERTIFICACIN DE LA SEGURIDAD DE LAS TECNOLOGAS DE LA INFORMACIN


[Bloque 8: #ci]

CAPTULO I

Disposiciones generales


[Bloque 9: #a1]

Artculo 1. Objeto.

El presente Reglamento tiene por objeto la articulacin del Organismo de Certificacin (OC) del Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin (ENECSTI) en el mbito de actuacin del Centro Criptolgico Nacional, segn lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptolgico Nacional, respectivamente.


[Bloque 10: #a2]

Artculo 2. Definiciones.

En el marco del presente Reglamento, los conceptos que a continuacin se indican, se entendern como estn definidos.

Acreditacin.–Declaracin de conformidad de los laboratorios solicitantes, emitida por el Organismo de Certificacin, en base al cumplimiento de los requisitos establecidos en el Captulo III, y segn el procedimiento establecido en el Captulo IV, del presente Reglamento.

Acreditacin de competencia tcnica.–Es aquella acreditacin que concede una entidad de acreditacin reconocida a un laboratorio, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025. En su alcance se debern incluir las normas de evaluacin de la seguridad de los productos y sistemas de Tecnologas de la Informacin aprobadas por el Organismo de Certificacin.

Certificacin.–Es la determinacin, obtenida mediante un proceso metodolgico de evaluacin, de la conformidad de un producto con unos criterios preestablecidos.

Declaracin de seguridad.–Conjunto de requisitos y especificaciones de las propiedades de seguridad de un producto o sistema de las Tecnologas de la Informacin.

Evaluacin.–Es el anlisis, realizado mediante un proceso metodolgico, de la capacidad de un producto o sistema de las Tecnologas de la Informacin para proteger las condiciones de la informacin de acuerdo a unos criterios establecidos, con objeto de determinar si puede ser certificado.

Informacin de las evaluaciones.–Es todo asunto, acto, documento, dato u objeto relacionado con la actividad de evaluacin de la seguridad de un producto. La informacin de las evaluaciones incluye toda la documentacin, programas de ordenador, esquemas, planos y dems datos suministrados por el fabricante, los programas de ordenador, planes, pruebas, anlisis y resultados de la evaluacin elaborados por el laboratorio, as como toda la documentacin administrativa y contractual y las comunicaciones del laboratorio con el fabricante del producto y con el Organismo de Certificacin, adems de los registros de la actividad del laboratorio, incluyendo los de seguridad.

Producto a evaluar.–Es el producto, sistema de informacin o perfil de proteccin para el que se solicita una certificacin de sus propiedades de seguridad.

Producto clasificado.–Son aquellos productos con requisitos especficos para manejar con seguridad materias clasificadas, o cuya informacin de especificacin, diseo o desarrollo est clasificada, incluso parcialmente, segn lo dispuesto en la Ley 9/68, de 5 de abril, sobre Secretos Oficiales, modificada por la Ley 48/78, de 7 de octubre.

Laboratorio de evaluacin.–Es un laboratorio de ensayo, segn se define en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial.

Sistema de informacin.–Es el conjunto de elementos hardware, software, datos y usuarios que, relacionados entre s, permiten el almacenamiento, transmisin, transformacin y recuperacin de la informacin.


[Bloque 11: #a3]

Artculo 3. mbito de aplicacin.

El mbito de actuacin del Organismo de Certificacin comprende las entidades pblicas o privadas que quieran ejercer de laboratorios de evaluacin de la seguridad de las TI en el marco del Esquema.

Tambin comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos, en el marco del Esquema.

Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el mbito de actuacin del Centro Criptolgico Nacional.


[Bloque 12: #ci-2]

CAPTULO II

Estructura y funciones del organismo de certificacin


[Bloque 13: #s1]

Seccin 1. Estructura del organismo de certificacin


[Bloque 14: #a4]

Artculo 4. Estructura.

A los efectos de funcionamiento del Organismo de Certificacin, su estructura ser la siguiente:

a) Director del Organismo de Certificacin, que ser el Secretario de Estado Director del Centro Criptolgico Nacional.

b) Secretario General del Organismo de Certificacin, que ser el Secretario General del Centro Criptolgico Nacional.

c) Subdirector de Certificacin, que ser un funcionario del Centro Nacional de Inteligencia, con rango de Subdirector General, designado por el Director del Organismo de Certificacin.

d) Jefe del rea de Certificacin, que ser un funcionario del Centro Criptolgico Nacional, con rango de Subdirector General Adjunto, designado por el Subdirector de Certificacin.

e) Los correspondientes Responsables, Tcnico de Certificacin, de Calidad, de Seguridad, y de Registro, que sern funcionarios del Centro Criptolgico Nacional designados por el Jefe del rea de Certificacin.

f) Personal tcnico de certificacin, que sern funcionarios del Centro Criptolgico Nacional designados por el Jefe del rea de Certificacin.

g) Personal de enlace con los servicios de Secretara, y dems personal de soporte administrativo a las actividades del Organismo de Certificacin, que sern funcionarios del Centro Criptolgico Nacional designados por el Jefe del rea de Certificacin.

1

Figura 1. Estructura del Organismo de Certificacin


[Bloque 15: #s2]

Seccin 2. Funciones de los cargos del organismo de certificacin


[Bloque 16: #a5]

Artculo 5. Director del Organismo de Certificacin.

Corresponde al Director del Organismo de Certificacin:

a) Aprobar y hacer cumplir las polticas, manuales y procedimientos que regulan la actuacin del Organismo de Certificacin, garantizando la adecuacin de la organizacin y de los medios materiales y humanos a los fines propuestos.

b) Dictar las resoluciones sobre las solicitudes de acreditacin de laboratorios y de certificacin de la seguridad de productos y sistemas de las Tecnologas de la Informacin.

c) Establecer los acuerdos oportunos con otros organismos similares en el mbito de su competencia.


[Bloque 17: #a6]

Artculo 6. Secretario General del Organismo de Certificacin.

Corresponde al Secretario General del Organismo de Certificacin:

a) Apoyar y asistir al Director del Organismo de Certificacin en el ejercicio de sus funciones.

b) Establecer los mecanismos y sistemas de organizacin del Organismo de Certificacin y determinar las actuaciones precisas para su actualizacin y mejora.

c) Dirigir el funcionamiento de los servicios comunes del Organismo de Certificacin a travs de las correspondientes instrucciones y rdenes de servicio.

d) Desempear la jefatura superior del personal del Organismo de Certificacin, elaborar la propuesta de relacin de puestos de trabajo y determinar los puestos vacantes a proveer durante cada ejercicio.


[Bloque 18: #a7]

Artculo 7. Subdirector de Certificacin.

Corresponde al Subdirector de Certificacin:

a) Presidir el Consejo de Acreditacin y Certificacin, conforme a lo establecido en el presente Reglamento.

b) Representar al Organismo de Certificacin en aquellos foros de ndole tcnica, de normalizacin y de divulgacin de las actividades del citado organismo, de las normas aplicables y en los de arreglos y acuerdos de reconocimiento mutuo.

c) Revisar las polticas, manuales y procedimientos que regulan la actuacin del Organismo de Certificacin.

d) Proponer los presupuestos y planes de formacin anuales del Organismo de Certificacin.


[Bloque 19: #a8]

Artculo 8. Jefe del rea de Certificacin.

Corresponde al Jefe del rea de Certificacin:

a) Desempear la direccin de los servicios tcnicos del Organismo de Certificacin.

b) Dirigir las instrucciones y procedimientos de acreditacin de laboratorios y de certificacin de productos.

c) Elevar las correspondientes propuestas de resolucin a las mencionadas solicitudes de acreditacin y certificacin.

d) Instruir, de oficio, los procedimientos de mantenimiento de la acreditacin de los laboratorios.


[Bloque 20: #a9]

Artculo 9. Responsable Tcnico de Certificacin.

Corresponde al Responsable Tcnico de Certificacin:

a) Apoyar y asistir al Jefe del rea de Certificacin en el ejercicio de sus funciones.

b) Coordinar y dirigir la actuacin diaria del personal tcnico del Organismo de Certificacin.

c) Realizar la asignacin de personal tcnico a la instruccin de cada solicitud de acreditacin de laboratorio y de certificacin de producto.

d) Dictaminar las interpretaciones tcnicas de normas, mtodos y procedimientos de evaluacin empleados, bien de oficio, o a instancia de los laboratorios.

e) Elaborar o proponer las polticas, manuales y procedimientos que regulan la actuacin del Organismo de Certificacin.


[Bloque 21: #a1-2]

Artculo 10. Responsable de Calidad del Organismo de Certificacin.

Corresponde al Responsable de Calidad del Organismo de Certificacin:

a) Garantizar y auditar la ejecucin del sistema de gestin de la calidad del Organismo de Certificacin, con las funciones especficas en l indicadas.

b) Proponer, al Jefe del rea de Certificacin, las mejoras convenientes para la eficacia del sistema de gestin de calidad, tras su evaluacin.


[Bloque 22: #a1-3]

Artculo 11. Responsable de Seguridad del Organismo de Certificacin.

Corresponde al Responsable de Seguridad del Organismo de Certificacin:

a) Garantizar y auditar la ejecucin del sistema de gestin de la seguridad del Organismo de Certificacin, con las funciones especficas en l indicadas.

b) Proponer, al Jefe del rea de Certificacin, las mejoras convenientes para la eficacia del sistema de gestin de la seguridad, tras su evaluacin.


[Bloque 23: #a1-4]

Artculo 12. Responsable de Registro del Organismo de Certificacin.

Corresponde al Responsable de Registro del Organismo de Certificacin, la gestin y custodia de los registros de calidad, seguridad, certificacin y acreditacin, manejados por el Organismo de Certificacin.


[Bloque 24: #a1-5]

Artculo 13. Personal tcnico del Organismo de Certificacin.

Corresponde al personal tcnico del Organismo de Certificacin, el desarrollo de la instruccin de los expedientes de acreditacin de laboratorio y de certificacin de productos, practicando las pruebas conforme a los medios y procedimientos establecidos por el Organismo de Certificacin.


[Bloque 25: #s3]

Seccin 3. Consejo de acreditacin y certificacin


[Bloque 26: #a1-6]

Artculo 14. Naturaleza.

El Consejo de Acreditacin y Certificacin es un rgano colegiado, distinto e independiente del Organismo de Certificacin, regido por lo establecido en el Captulo II del Ttulo II, de la Ley 30/92, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn y, por lo establecido en el presente Reglamento.


[Bloque 27: #a1-7]

Artculo 15. Composicin.

Corresponde al Subdirector de Certificacin la presidencia del Consejo de Acreditacin y Certificacin.

Formarn parte como miembros del Consejo, los siguientes:

a) El Jefe del rea de Certificacin, que podr asumir la presidencia del Consejo por delegacin del Subdirector de Certificacin.

b) El Responsable Tcnico de Certificacin, que har las veces de Secretario del Consejo.

c) Un representante del Ministerio de Defensa, cuyo nombramiento y asistencia solicitar el Organismo de Certificacin a dicho Ministerio.

d) Un representante del Ministerio de Industria, Turismo y Comercio, cuyo nombramiento y asistencia solicitar el Organismo de Certificacin a dicho Ministerio.

e) Un representante del Consejo Superior de Administracin Electrnica, cuyo nombramiento y asistencia solicitar el Organismo de Certificacin a dicho Consejo.

f) Un representante de cada laboratorio acreditado, nombrado por dicho laboratorio.

g) Dos representantes de los sectores empresariales de fabricantes, importadores e integradores de productos y sistemas de las Tecnologas de la Informacin, a propuesta razonada y acordada de dichos sectores.


[Bloque 28: #a1-8]

Artculo 16. Fines.

Corresponde al Consejo de Acreditacin y Certificacin:

a) Vigilar que la normativa del Organismo de Certificacin se corresponda y equipare con los trminos y referencias de esquemas de certificacin equivalentes, que pudieran existir en el mbito de la Unin Europea en particular, y en el mbito internacional, en general.

b) Asesorar al Organismo de Certificacin en la evolucin de sus procedimientos documentados, orientando la gestin de ste, al mejor servicio del tejido industrial y empresarial de fabricantes, importadores e integradores de productos y sistemas de Tecnologas de la Informacin.

c) Asesorar al Organismo de Certificacin en la identificacin de esquemas, arreglos o acuerdos, donde la defensa de la validez y reconocimiento mutuo de los certificados emitidos sea de inters para la Administracin y el sector privado espaol.


[Bloque 29: #a1-9]

Artculo 17. Atribuciones.

Las atribuciones del Consejo de Acreditacin y Certificacin son las siguientes:

a) Estar permanentemente informado de la normativa que regula el funcionamiento del Organismo de Certificacin, incluyendo sus normas de evaluacin y certificacin, manuales, procedimientos e instrucciones tcnicas.

b) Estar permanentemente informado de la relacin de laboratorios acreditados y de productos certificados.

c) Estar permanentemente informado de la relacin de esquemas de certificacin de la seguridad de los productos y sistemas de informacin, con los que el Organismo de Certificacin tiene establecidos arreglos o acuerdos de reconocimiento mutuo de certificados.

d) Proponer directrices y recomendaciones al Organismo de Certificacin, que sern recogidas en las correspondientes actas de las reuniones del Consejo, a las que deber dar cumplida respuesta el Director del Organismo de Certificacin.


[Bloque 30: #a1-10]

Artculo 18. Periodicidad de las reuniones.

El Consejo de Acreditacin y Certificacin se reunir, como mnimo, una vez al ao, sin perjuicio de que en atencin a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones.

Las reuniones se convocarn a requerimiento del Organismo de Certificacin, o por acuerdo del propio Consejo de Acreditacin.


[Bloque 31: #s4]

Seccin 4. Acreditacin y certificacin


[Bloque 32: #a1-11]

Artculo 19. Acreditacin de laboratorios.

El Organismo de Certificacin acredita a los laboratorios solicitantes, en base al cumplimiento de los requisitos establecidos en el Captulo III, y segn el procedimiento establecido en el Captulo IV de este Reglamento.


[Bloque 33: #a2-2]

Artculo 20. Certificacin de productos.

El Organismo de Certificacin certifica la seguridad de los productos y sistemas de Tecnologas de la Informacin, segn lo establecido en el procedimiento del Captulo V, y atendiendo a los criterios, mtodos y normas de evaluacin de la seguridad, establecidos en el Captulo VI.


[Bloque 34: #a2-3]

Artculo 21. Publicaciones del Esquema.

El Organismo de Certificacin mantendr actualizada la relacin de laboratorios acreditados y la de productos y sistemas de las Tecnologas de la Informacin certificados. Dicha relacin se podr consultar en la siguiente direccin electrnica: http://www.oc.ccn.cni.es.


[Bloque 35: #ci-3]

CAPTULO III

Requisitos de acreditacin de laboratorios


[Bloque 36: #a2-4]

Artculo 22. Requisitos generales para la acreditacin de laboratorios.

1. Para la acreditacin de los laboratorios de evaluacin de la seguridad de las Tecnologas de la Informacin se requerir el cumplimiento de los siguientes requisitos:

a) Capacidad para la evaluacin de la seguridad de productos de las Tecnologas de la Informacin, demostrada mediante la acreditacin de la competencia tcnica en vigor, conforme a la norma UNE-EN ISO/IEC 17025, cuyo alcance incluya los criterios, mtodos y normas de evaluacin recogidos en el Captulo VI.

b) Cumplimiento de los requisitos de seguridad establecidos en la Seccin 1. o en la Seccin 2. de este Captulo, segn corresponda.

c) Desarrollo de las evaluaciones de acuerdo a procedimientos que recojan las obligaciones de informacin y coordinacin con el Organismo de Certificacin, indicadas en la Seccin 3. de este mismo Captulo.

2. La comprobacin del cumplimiento de estos requisitos se realizar mediante el procedimiento de auditora y seguimiento indicado en las Secciones 4. y 5. del Captulo IV.

En todo caso, el alcance de la acreditacin, otorgada por el Organismo de Certificacin, estar limitado por el alcance de la acreditacin de la competencia tcnica del laboratorio, y cualificado por el nivel de seguridad del mismo.

3. Salvo en los casos en que haya una compartimentacin organizativa, de medios y de procedimientos, aprobada por el Organismo de Certificacin, el laboratorio deber cumplir con los requisitos de gestin de seguridad, necesarios para la acreditacin, incluso en el desarrollo de aquellas evaluaciones cuyo objeto final no sea la certificacin del producto evaluado por parte del Organismo de Certificacin.


[Bloque 37: #s1-2]

Seccin 1. Requisitos de seguridad para laboratorios que evalen productos clasificados


[Bloque 38: #a2-5]

Artculo 23. Requisitos de laboratorios que evalen productos clasificados.

Los laboratorios, tanto de titularidad pblica como privada, que pretendan evaluar productos clasificados debern cumplir, adems de los requisitos establecidos para los laboratorios que evalen productos no clasificados, lo dispuesto en la Orden Ministerial Comunicada 17/2001, de 29 de enero, por la que se aprueba el Manual de Proteccin de Materias Clasificadas del Ministerio de Defensa en poder de las empresas.

Asimismo, debern tener suscrito, y en vigor, Acuerdo de Seguridad, con un grado de calificacin de seguridad igual o superior al grado de calificacin de seguridad de la informacin del producto a evaluar.


[Bloque 39: #s2-2]

Seccin 2. Requisitos de seguridad para laboratorios que evalen productos no clasificados


[Bloque 40: #a2-6]

Artculo 24. Requisitos de laboratorios que evalen productos no clasificados.

Los laboratorios, tanto de titularidad pblica como privada, que evalen productos no clasificados, cumplirn con los requisitos de gestin de la seguridad, aplicables a la informacin de las evaluaciones, establecidos en esta Seccin.


[Bloque 41: #s1-3]

Subseccin 1. Responsabilidades del laboratorio


[Bloque 42: #a2-7]

Artculo 25. Derecho de acceso a la informacin de las evaluaciones.

El laboratorio facilitar al Organismo de Certificacin el acceso a toda la informacin de las evaluaciones que lleve a cabo.

El laboratorio deber obtener, del Organismo de Certificacin, autorizacin escrita antes de permitir a terceros, incluido el fabricante del producto evaluado, cualquier tipo de acceso a la informacin de las evaluaciones, tales como, planes, pruebas, anlisis y resultados de la evaluacin.

El Organismo de Certificacin podr prohibir la difusin de determinada informacin originada por el laboratorio.


[Bloque 43: #a2-8]

Artculo 26. Plan de proteccin.

1. El laboratorio deber elaborar, poner en prctica y mantener al da un Plan de Proteccin de la Informacin de las evaluaciones.

2. Este plan incluir, al menos, la siguiente informacin:

a) Una descripcin del laboratorio, con indicacin expresa de la ubicacin, actividades empresariales distintas a las de evaluacin, en su caso, organigrama, recursos humanos, factoras, sucursales y dependencias autnomas, incluyendo un plano con leyenda de las instalaciones del laboratorio.

b) Los fundamentos del Plan, que debern comprender los objetivos concretos que han de alcanzarse con el mismo y que estarn dirigidos a prevenir, detectar y rehabilitar el dao causado por la manifestacin del riesgo, as como la identificacin de los riesgos contra los que se pretende la proteccin.

La confidencialidad, integridad y disponibilidad de la informacin de las evaluaciones sern del mximo inters para el Organismo de Certificacin.

c) La descripcin de la organizacin, donde se debe documentar la estructura de seguridad del laboratorio, la matriz de responsabilidades donde se establece la identificacin exacta de los responsables en lo referente a la toma de decisiones, y la definicin detallada de las misiones de cada componente del sistema, as como la coordinacin del apoyo potencial de organismo exteriores, tales como empresas de seguridad privada, centrales receptoras de alarmas, servicios de custodia de informacin, etc.

d) La descripcin de las medidas de proteccin fsica, y el establecimiento de zonas de acceso restringido en las distintas dependencias del laboratorio.

e) Los Procedimientos Operativos de seguridad.

f) La descripcin de las reacciones especficas a cada incidente de seguridad, desarrollando la matriz de responsabilidades en los cometidos y misiones que este plan asigne a la direccin del laboratorio, a los que formen parte del Servicio de Proteccin del laboratorio y al resto de personal, en lo que respecta a decisiones y actuaciones ante los riesgos de seguridad que se manifiesten y que se hayan considerado.

g) Los requisitos especficos de seguridad y los Procedimientos Operativos de seguridad de los sistemas de informacin del laboratorio.


[Bloque 44: #a2-9]

Artculo 27. Procedimientos Operativos de seguridad.

1. Los Procedimientos Operativos de seguridad incluirn, en forma de directivas, los detalles especficos de actuacin encaminados a la prevencin de riesgos.

2. Estas actuaciones se deben corresponder con la matriz de responsabilidades, tratando de forma concreta y especfica los siguientes aspectos, relativos a requisitos de seguridad establecidos por las condiciones de acreditacin del laboratorio:

a) Las normas para el manejo y custodia de la informacin de las evaluaciones.

b) El tratamiento de las visitas, verificando peridicamente la eficacia del control de visitas al laboratorio, as como el correcto uso del libro de visitas o sistema alternativo.

c) La entrada en las zonas de acceso restringido.

d) El acceso, transmisin, reproduccin, archivo y destruccin de informacin de las evaluaciones, con el establecimiento de los mecanismos necesarios que permitan identificar, en todo momento, al responsable de la tenencia de la informacin.

e) La regulacin de las necesarias comprobaciones de seguridad, tanto durante la jornada de trabajo como al trmino de la misma.

f) La descripcin del sistema de control de llaves.

g) El establecimiento del sistema de recibo interno, para control de informacin de las evaluaciones.

h) La operativa de actuacin ante una incidencia de la central receptora de alarmas.

i) Los procedimientos de actuacin de los vigilantes de seguridad.


[Bloque 45: #a2-10]

Artculo 28. Personal del laboratorio.

El laboratorio deber mantener actualizado un registro de seguridad de todo el personal afecto al mismo.

El laboratorio regular, en base a la necesidad de conocer, el acceso de dicho personal a la informacin de las evaluaciones. Las autorizaciones de acceso a la informacin de las evaluaciones se comunicarn y revocarn por escrito, adjuntndose dichas comunicaciones al registro de seguridad del personal.


[Bloque 46: #a2-11]

Artculo 29. Comunicaciones preceptivas al Organismo de Certificacin.

El laboratorio deber informar al Organismo de Certificacin, en el plazo ms breve posible, de lo siguiente:

a) Sobre toda informacin que llegue a su conocimiento en relacin con accesos, o intentos de acceso, no autorizados a informacin de las evaluaciones; actos de sabotaje, o actividades que supongan un riesgo para dicha informacin.

b) Sobre toda anomala, extravo, robo o manipulacin relacionada con la informacin de las evaluaciones.

c) Sobre la presuncin de que una transmisin de informacin de las evaluaciones haya sufrido vulneracin o retraso injustificado.

d) Sobre las modificaciones que pretenda realizar en las zonas de acceso restringido.

e) Sobre las visitas que reciba conforme a lo que se expresa en la Subseccin 5., presente Captulo y Seccin.

f) Sobre las modificaciones del Plan de Proteccin, as como de las altas y bajas de personal y sobre la composicin y cambios del Servicio de Proteccin.


[Bloque 47: #a3-2]

Artculo 30. Relaciones del laboratorio con contratistas.

Los requisitos de seguridad requeridos por la acreditacin del laboratorio, son tambin de aplicacin a los contratistas del mismo que vayan a acceder a informacin de las evaluaciones.

El laboratorio deber obtener, del Organismo de Certificacin, autorizacin escrita antes de proporcionar al contratista el acceso a informacin de las evaluaciones. En su solicitud, comunicar los datos de identificacin del contratista, as como la informacin de las evaluaciones a las que pudiera tener acceso, y el objeto y condiciones especficas de dicho acceso.

Como norma general, para la concesin de la autorizacin de acceso, el contratista deber demostrar el cumplimiento de los requisitos de seguridad establecidos en el presente Reglamento mediante auditora del Organismo de Certificacin, conforme al procedimiento establecido en el Captulo IV, salvo en los casos en que el Organismo de Certificacin determine la aplicacin de condiciones o limitaciones particulares a dicho acceso.


[Bloque 48: #s2-3]

Subseccin 2. Tratamiento de la informacin de las evaluaciones


[Bloque 49: #a3-3]

Artculo 31. Distintivos.

1. Toda informacin de las evaluaciones llevar, de forma clara y visible, un signo distintivo de tal condicin, que indicar la evaluacin a la que corresponde.

2. Si se trata de documentos sueltos, se pondr el signo distintivo en la parte superior e inferior de cada una de las pginas, centrado en las mismas, de tal forma que no pueda quedar oculto por dobleces, grapas, cubiertas, etc.

3. Si se trata de documentos permanentemente unidos o encuadernados, se pondr el mencionado distintivo en la cubierta anterior y posterior, as como en todas sus pginas, conforme a lo indicado anteriormente.

4. Si se trata de planos, diagramas, esquemas o documentos similares, dicho distintivo se situar en la cartula y en la parte que identifique el documento.

5. Los soportes y sistemas informticos que contengan o procesen informacin de las evaluaciones, se marcarn con los distintivos apropiados, para lo cual podrn emplearse etiquetas o cintas adhesivas.

6. Se seguirn procedimientos anlogos para la proteccin de la informacin de las evaluaciones soportada en cualquier elemento, o conjunto de elementos, fsicamente separables.


[Bloque 50: #a3-4]

Artculo 32. Libro registro de informacin de las evaluaciones.

1. En cada dependencia del laboratorio donde se custodie informacin de las evaluaciones, existir un registro donde figurar toda la informacin de las evaluaciones que haya tenido entrada o salida, las reproducciones y destrucciones, as como el acceso a dicha informacin por personal, tanto propio, como ajeno al laboratorio, con independencia de si esta informacin se almacena o transmite en papel o en soporte electrnico.

2. El registro se podr mantener en soporte informtico, en soporte papel (en forma de libro) o en una combinacin de ambos soportes.

3. Estos registros debern ser custodiados con la debida proteccin electrnica, si estn en soporte informtico, o en los muebles de seguridad ubicados en la zona de acceso restringido, si estn en soporte papel.

4. El laboratorio deber implementar los mecanismos correspondientes para que el registro de entrada/salida mediante soporte electrnico no se pueda eludir por el personal del mismo.


[Bloque 51: #a3-5]

Artculo 33. Recepcin y recibo de la informacin de las evaluaciones.

Cuando se reciba cualquier informacin de las evaluaciones, se seguir el siguiente proceso:

a) Se examinar el envo para asegurarse de que no ha sido violado, comprobndose el contenido contra recibo. La evidencia de violacin y las anomalas que se observen en el contenido debern notificarse, cuanto antes, al remitente y al Organismo de Certificacin.

b) Cuando el envo est en orden, se firmar el recibo y se devolver debidamente cumplimentado al remitente, realizando de manera inmediata la anotacin en el libro registro.


[Bloque 52: #a3-6]

Artculo 34. Transmisin de la informacin de las evaluaciones.

1. Se entiende por transmisin de la informacin de las evaluaciones, su traslado, comunicacin, envo, entrega o divulgacin a terceros.

2. Ser necesario que la transmisin y custodia de la informacin de las evaluaciones sea controlada por un sistema de recibos, incluso dentro de las dependencias del laboratorio, con el fin de identificar, en cualquier momento, al responsable de su tenencia.

3. Cuando se trate de transmisin no electrnica de informacin de las evaluaciones, se realizar de la siguiente forma:

a) Por entrega directa del personal del laboratorio.

b) Por correo certificado nacional.

c) Por transportistas comerciales.

d) El embalaje de la informacin se llevar a cabo de forma que se pueda detectar su apertura; con cubiertas opacas que impidan desvelar su contenido, de tal naturaleza y resistencia, que aseguren su integridad durante el transporte; y, dicho embalaje, no tendr ninguna indicacin externa de la informacin contenida.

4. Cuando se trate de transmisin electrnica de informacin de las evaluaciones, se realizar utilizando las medidas tcnicas y operacionales de proteccin de su confidencialidad que determine, en cada caso, el Organismo de Certificacin.


[Bloque 53: #a3-7]

Artculo 35. Reproduccin de la informacin de las evaluaciones.

1. El nmero de reproducciones de la informacin de las evaluaciones, ser el mnimo imprescindible. Se controlar mediante una correlativa numeracin, que se recoger en el registro, como anotacin suplementaria del correspondiente original, indicando todos los datos referentes a dichas reproducciones y a la situacin de cada una de ellas.

2. Cada reproduccin, total o parcial, de informacin de las evaluaciones deber ser numerada y tratada, a todos los efectos, como el original.

3. La reproduccin de informacin de las evaluaciones deber realizarse directamente por el laboratorio, sin recurrir a contratistas de artes grficas. Se deber comprobar, despus de realizar las reproducciones, que en el mecanismo de reproduccin no queda registro de la informacin reproducida.


[Bloque 54: #a3-8]

Artculo 36. Custodia y destruccin de la informacin de las evaluaciones.

1. El laboratorio custodiar, por un plazo mnimo de cinco aos, toda la informacin de cada evaluacin, a contar desde la fecha de emisin del certificado correspondiente, o de la emisin del ltimo informe tcnico de evaluacin, en el caso de productos no certificados.

2. En el caso de reevaluaciones, mantenimiento o extensiones del certificado, el cmputo de cinco aos se referir siempre al ltimo certificado o informe tcnico de evaluacin aplicable.

3. Pasado dicho plazo, y tras obtener del Organismo de Certificacin autorizacin escrita, proceder a su destruccin, de forma que se garantice que la informacin de las evaluaciones queda irreconocible y se impida su reconstruccin, total o parcial.

4. El Organismo de Certificacin, previo a la autorizacin de destruccin, podr requerir al laboratorio el traslado de cuanta informacin de las evaluaciones sea de su inters.


[Bloque 55: #a3-9]

Artculo 37. Inventario anual.

El laboratorio presentar ante el Organismo de Certificacin, antes del diez de enero de cada ao, un inventario anual de toda la informacin de las evaluaciones que obran en su poder a fecha treinta y uno de diciembre del ao anterior.


[Bloque 56: #s3-2]

Subseccin 3. Servicio de Proteccin de la informacin de las evaluaciones


[Bloque 57: #a3-10]

Artculo 38. Miembros del Servicio de Proteccin.

1. En la organizacin del laboratorio, el Servicio de Proteccin de la informacin de las evaluaciones estar constituido, al menos, por el jefe del Servicio de Proteccin, el director del Servicio de Proteccin y el administrador de seguridad del sistema de informacin.

2. Los miembros del Servicio de Proteccin nombrados en el prrafo anterior son los responsables, ante el Organismo de Certificacin, de la correcta aplicacin de los requisitos de seguridad indicados, por ello deben contar con el adecuado grado de representatividad y autoridad, dentro de la organizacin del laboratorio.

3. Sus funciones de seguridad no podrn quedar disminuidas en ningn momento, an cuando desempeen otros cometidos en el laboratorio, debiendo contar con los medios necesarios para realizar sus funciones con eficacia.


[Bloque 58: #a3-11]

Artculo 39. Condiciones personales y nombramiento.

1. Los responsables del Servicio de Proteccin debern tener dependencia directa de la direccin del laboratorio, una relacin laboral estable sobre la base de continuidad en su funcin y se les reconocer, dentro del laboratorio, la debida autoridad en el desempeo de sus cometidos.

Debern gozar de prestigio personal y profesional, y tener un amplio conocimiento de la organizacin del laboratorio.

2. El nombramiento y cese de los responsables del Servicio de Proteccin se comunicar por escrito, reconocido expresamente, en el que constarn las misiones de la responsabilidad asignada.

3. La inadecuacin en el desarrollo, o la inobservancia, de las misiones encomendadas a los responsables del Servicio de Proteccin, podr motivar su cese, cuando el Organismo de Certificacin as lo demande, previa notificacin por escrito, y sin perjuicio de la exigencia de otras responsabilidades que se pudieran derivar.


[Bloque 59: #a4-2]

Artculo 40. Director del Servicio de Proteccin.

1. Cuando el laboratorio designe varios jefes del Servicio de Proteccin de la informacin de las evaluaciones, uno por cada una de las sedes donde se maneje o custodie informacin de las evaluaciones, deber nombrar un director del Servicio de Proteccin, cuya misin principal ser coordinar la actuacin de dichos jefes, as como de los distintos administradores de seguridad del sistema de informacin, sin que esto suponga merma alguna de las responsabilidades que a stos corresponde.

2. El cargo de director del Servicio de Proteccin se podr compatibilizar con el de jefe de dicho Servicio, en las dependencias donde se ubiquen las oficinas centrales del laboratorio.


[Bloque 60: #a4-3]

Artculo 41. Misiones del jefe del Servicio de Proteccin.

1. Corresponde al jefe del Servicio de Proteccin la misin de organizar, dirigir y controlar el sistema de proteccin para salvaguarda de la informacin de las evaluaciones, y la obligacin de cumplir y hacer cumplir, en todas sus partes, estos requisitos de seguridad para la acreditacin del laboratorio.

2. Entre los cometidos del jefe del Servicio de Proteccin se encuentran:

a) Asegurar la proteccin de la informacin de las evaluaciones en poder del laboratorio.

b) Regular el acceso a la informacin de las evaluaciones conforme a los criterios y procedimientos establecidos.

c) Llevar a cabo un programa de formacin del personal del laboratorio, con una periodicidad mnima de treinta (30) meses, cuyo principal objetivo ser sensibilizar a dicho personal sobre la importancia de cumplir los procedimientos de proteccin de la informacin de las evaluaciones y el deber de discrecin.

d) Controlar la recepcin, custodia, reproduccin, destruccin y devolucin de la informacin de las evaluaciones, conforme a los procedimientos establecidos.

e) Velar, especialmente, para que ninguna informacin de las evaluaciones sea transmitida indebidamente, o sea manejada o custodiada en lugar distinto a las zonas protegidas.

f) Elaborar, implantar y mantener el Plan de Proteccin conforme a lo establecido en este Reglamento.

g) Mantener actualizados los registros de seguridad.


[Bloque 61: #a4-4]

Artculo 42. Misin del administrador de seguridad del sistema de informacin.

1. El administrador de seguridad del sistema de informacin tendr como misin organizar, dirigir y controlar la seguridad del sistema de informacin del laboratorio. Este administrador podr ser el propio jefe del Servicio de Proteccin, cuando tenga la formacin adecuada.

2. Entre los cometidos del administrador de seguridad del sistema de informacin se encuentran:

a) Elaborar, organizar e implementar los requisitos y procedimientos relativos a la seguridad de los sistemas de informacin del laboratorio, debiendo revisar, peridicamente, la eficacia de todos los componentes.

b) Controlar que todo el personal que tiene acceso al sistema de informacin est debidamente autorizado.

c) Investigar los incidentes de seguridad que pudieran afectar al sistema de informacin, evaluando en su caso, los daos causados e informando de las conclusiones al jefe del Servicio de Proteccin.

d) Llevar a cabo un programa de formacin continua de los usuarios del sistema de informacin, sobre la observancia de los procedimientos de seguridad.

e) Gestionar y proporcionar los cdigos de acceso u otros dispositivos de control de acceso al sistema de informacin. Llevar un registro de asignacin de cdigos a los usuarios, que sern cambiados con una periodicidad mnima de tres meses, y cada vez que se produzca, o se sospeche que haya ocurrido, un incidente de seguridad que comprometa dichos cdigos.

f) Realizar la gestin de claves del sistema de informacin del laboratorio, incluidos los sistemas de cifra que estuvieran en el mbito de su competencia, as como la de los sistemas de soporte a la evaluacin. Para ello, controlar su generacin, almacenamiento, distribucin, expiracin y destruccin. En la recepcin de nuevos equipos modificar todas las claves que, por defecto, vengan de fbrica.

g) Controlar tanto las modificaciones que se realicen en cualquier componente del sistema de informacin, asegurndose que no se vea afectada la seguridad del sistema, como los aspectos de la gestin de la configuracin de dichas modificaciones.

h) Comprobar que el mantenimiento del sistema de informacin se realiza conforme a los procedimientos y requisitos operativos de seguridad.

i) Verificar que los soportes de almacenamiento que incluyan informacin de las evaluaciones se custodian debidamente.

j) Evaluar los registros de seguridad del sistema de informacin, asegurndose que son suficientes para llevar a cabo un control eficaz. Debern incluir aquellas actividades, con indicacin del usuario, hora y fecha, en que se produzcan hechos que puedan afectar a la seguridad del sistema, como finalizaciones anormales del trabajo, cierres indebidos del sistema, fallos en los mecanismos de seguridad, intentos no autorizados de acceso a datos de la evaluacin, uso del sistema de un modo no autorizado, copias e impresiones de la informacin de las evaluaciones, etc.

k) Controlar y registrar las copias peridicas de seguridad.


[Bloque 62: #s4-2]

Subseccin 4. Inspecciones de seguridad


[Bloque 63: #a4-5]

Artculo 43. Inspectores de seguridad.

Los inspectores de seguridad son los representantes del Organismo de Certificacin, ante el laboratorio, para la comprobacin de la correcta aplicacin de los requisitos de seguridad exigidos en el proceso de acreditacin.

El laboratorio les reconocer las competencias que les atribuyen estos requisitos, asumiendo el compromiso de facilitarles su labor, y dispondr los medios precisos para que realicen sus funciones con eficacia.


[Bloque 64: #a4-6]

Artculo 44. Nombramiento.

El Organismo de Certificacin notificar al laboratorio la identidad del inspector de seguridad correspondiente, as como los cambios que se produzcan.

El nombramiento de inspector de seguridad, para un mismo laboratorio, podr recaer en varias personas, si el Organismo de Certificacin as lo estima oportuno.


[Bloque 65: #a4-7]

Artculo 45. Misiones del inspector de seguridad.

Corresponde al inspector de seguridad:

a) La observancia del exacto cumplimiento de las obligaciones y compromisos que contrae el laboratorio en el proceso de acreditacin.

b) Asesorar al laboratorio en la puesta en prctica de los procedimientos de seguridad, que garanticen la proteccin de la informacin de las evaluaciones.


[Bloque 66: #a4-8]

Artculo 46. Inspecciones.

1. La inspeccin constituye uno de los medios por los que el Organismo de Certificacin comprueba el cumplimiento, por parte del laboratorio, de los requisitos de seguridad para la acreditacin.

2. Las inspecciones sern ordinarias cuando se realizan de forma peridica, por los inspectores de seguridad nombrados especficamente para cada laboratorio. Las inspecciones ordinarias no precisan concertacin previa.

3. Las inspecciones extraordinarias se realizarn cuando el Organismo de Certificacin lo estime conveniente, y sern llevadas a cabo por las personas que ste designe. Las inspecciones extraordinarias se comunicarn previamente al laboratorio.

4. En las inspecciones estarn obligados a estar presentes, el jefe del Servicio de Proteccin, o quien le sustituya, debidamente acreditado en el caso justificado de que el primero no pudiera asistir, y el personal dependiente del laboratorio que designe el Organismo de Certificacin.

5. El inspector de seguridad, en las inspecciones ordinarias, o el jefe de la comisin del Organismo de Certificacin, en las inspecciones extraordinarias, deber anotar en el registro del laboratorio, un resumen del resultado de la inspeccin. En el caso de presentar aspectos negativos, se remitir al laboratorio la correspondiente comunicacin, en la que se deber reflejar el plazo de correccin para solventar las anomalas observadas por la inspeccin.


[Bloque 67: #s5]

Subseccin 5. Visitas


[Bloque 68: #a4-9]

Artculo 47. Consideracin de visita.

Se considera visita, el acceso fsico y circunstancial de una o varias personas, sin relacin de dependencia directa con el laboratorio, a las dependencias o instalaciones del mismo.


[Bloque 69: #a4-10]

Artculo 48. Registro de visitas.

Las visitas se anotarn en el registro de visitas, antes de efectuar la visita. Se debern recoger, como mnimo, los siguientes datos: fecha de la visita, nombre completo del visitante, nmero del DNI o pasaporte, nacionalidad, empresa/organismo o direccin del visitante, y nombre de la persona visitada.

Este registro estar a disposicin del Organismo de Certificacin, para su consulta.


[Bloque 70: #a4-11]

Artculo 49. Normas para el control de visitas.

Para el control de las visitas, se seguirn las siguiente normas:

a) El laboratorio controlar el movimiento de las visitas que entren en sus dependencias, para garantizar la debida seguridad de la informacin de las evaluaciones que custodie.

b) Se prohibir al visitante efectuar cualquier tipo de registro o reproduccin de la informacin de las evaluaciones, que deber solicitarse al personal del laboratorio y ser efectuado mediante los procedimientos correspondientes.

c) Toda entrega al visitante de informacin de las evaluaciones ser anotada en el registro.


[Bloque 71: #a5-2]

Artculo 50. Visitas de larga duracin.

Tendrn consideracin de visitas de larga duracin, las realizadas sobre la base de continuidad o reiteracin, por un periodo de doce meses. Tales visitas se anotarn en el registro de seguridad de personal, incluyendo las autorizaciones de acceso a la informacin de evaluaciones que se pudieran conceder.


[Bloque 72: #s6]

Subseccin 6. Zonas de acceso restringido


[Bloque 73: #a5-3]

Artculo 51. Sistema de proteccin.

1. El laboratorio implantar un sistema de proteccin, integrado en la estructura empresarial, que permita proteger la informacin de las evaluaciones contra los riesgos que puedan implicar una amenaza para la misma.

2. El sistema de proteccin puede entenderse como el conjunto de recursos y procedimientos que, interactuando coordinadamente, tienen como finalidad proteger la informacin de las evaluaciones de los riesgos que puedan afectar a su integridad, confidencialidad o disponibilidad.


[Bloque 74: #a5-4]

Artculo 52. Caractersticas del sistema de proteccin.

El documento donde se definen las caractersticas que presenta el sistema de proteccin es el Plan de Proteccin, definido en el Artculo 26.

El laboratorio deber adjuntar, al Plan de Proteccin, un proyecto del subsistema de proteccin fsica, que estar compuesto por una memoria justificativa de los criterios de diseo, la descripcin detallada de todos los componentes de la instalacin y los planos que especifiquen la ubicacin fsica de los mencionados componentes.


[Bloque 75: #a5-5]

Artculo 53. Subsistema de proteccin fsica.

El subsistema de proteccin fsica, que ha de instalarse, obligatoriamente, en las dependencias del laboratorio donde se vaya a manejar informacin de las evaluaciones, ha de mantenerse en un ptimo grado de eficacia y utilidad para el cumplimiento de las condiciones de acreditacin del laboratorio. La valoracin de dicha eficacia y utilidad corresponde al Organismo de Certificacin.

Las reas de acceso restringido, que deber considerar el subsistema de proteccin fsica, estn compuestas por las zonas de evaluacin y las zonas de proteccin.


[Bloque 76: #a5-6]

Artculo 54. Zonas de evaluacin.

Las zonas de evaluacin son las constituidas por aquellas dependencias del laboratorio en las que, nicamente, se debe manejar y custodiar informacin de las evaluaciones, con las siguientes caractersticas:

a) Ha de estar construida de forma que quede limitado, materialmente, el acceso a la misma, y de manera que se pueda apreciar, con una simple inspeccin, una intrusin a travs de las paredes, suelo, puertas o ventanas que delimiten la zona. Estos elementos no deben permitir la observacin desde el exterior.

b) Las puertas de acceso deben disponer de una cerradura de bloque con llave, cuyo mecanismo ser obligatoriamente accionado, cuando en el interior se est trabajando con informacin de las evaluaciones, as como cuando no haya nadie en la misma. Tambin dispondrn de un dispositivo que obligue a la puerta a permanecer cerrada, cuando no se est franqueando, y dispondrn de detector de apertura.

c) Si se incluyen ventanas, deben colocarse dispositivos que detecten su apertura, en el caso de ser practicables, as como detectores de rotura de cristales. Los elementos translcidos debern estar acondicionados para impedir la observacin desde el exterior. En el caso de que las ventanas tengan fcil acceso desde el exterior, estarn fsicamente protegidas.

d) Se implantarn medidas fsicas y organizativas para impedir el acceso a la zona de evaluacin, al personal que no tenga derecho de acceso a la informacin de las evaluaciones y, en el caso en que se divida esta zona por evaluaciones, al personal que no tenga derecho de acceso, en particular, a la informacin de la evaluacin asociada a cada divisin.

e) Deber contar con una caja fuerte Nivel IV, conforme a la norma UNE-EN 1143-1-98, equipada con cerradura Clase B, segn norma EN 1300, donde se custodiar, obligatoriamente, la informacin de las evaluaciones durante los perodos de tiempo en que no se est manejando. Deber reunir, adems, las caractersticas siguientes:

Si se trata de caja fuerte autnoma, ha de estar anclada si su volumen es inferior a 500 litros, o si su peso no supera los 1.000 Kg.

Si se trata de caja fuerte empotrada, el grado de seguridad del alojamiento donde se ubique sta ha de proporcionar, como mnimo, el atribuido al de la puerta y marco de la caja.

Doble sistema de apertura, uno de los cuales ha de ser, ineludiblemente, de combinacin electrnica.


[Bloque 77: #a5-7]

Artculo 55. Zonas de proteccin.

Las zonas de proteccin son las constituidas por el entorno de las zonas de evaluacin en el que no se podr manejar o custodiar informacin de las evaluaciones, pero que estarn dotadas de medidas de seguridad, con la finalidad de incrementar la seguridad de las zonas de evaluacin y tendrn las siguientes caractersticas:

a) Su ubicacin depender de las caractersticas constructivas y de la situacin de la zona de evaluacin.

b) En cualquier caso, se implementarn las medidas fsicas y organizativas suficientes para que el personal que acceda a la zona de proteccin est identificado.


[Bloque 78: #a5-8]

Artculo 56. Central de alarmas.

Adems de los requisitos establecidos en los artculos 54 y 55, las zonas de evaluacin y de proteccin dispondrn de las siguientes medidas de seguridad:

a) Todos los medios activos de seguridad deben estar conectados fsicamente a un centro de control de alarmas, que disponga de una autonoma mnima de setenta y dos horas, provista de un dispositivo antisabotaje y ubicada de manera oculta.

b) Este centro de control quedar activado, obligatoriamente, fuera del horario laboral y estar conectado con una central receptora de alarmas, que pueda gestionar cualquier alarma de forma oportuna.

c) La conexin con la central receptora de alarmas debe permitir la verificacin automtica de la lnea de comunicacin, para poder conocer oportunamente una interrupcin en la misma, a travs de la correspondiente seal de alarma. La operativa de la gestin de la central receptora de alarmas deber estar incluida en el Plan de Proteccin.

d) Los cdigos de acceso de la central de alarmas, que permiten su programacin y control, debern ser conocidos, nicamente, por el jefe del Servicio de Proteccin y las personas por l designadas. Dicha designacin quedar anotada en el registro de seguridad del personal. Los cdigos debern modificarse con los criterios indicados en el artculo 57, referido a Combinaciones, cdigos de acceso y control de llaves, que sigue.


[Bloque 79: #s7]

Subseccin 7. Procedimiento de seguridad


[Bloque 80: #a5-9]

Artculo 57. Combinaciones, cdigos de acceso y control de llaves.

1. Slo tendrn conocimiento de los cdigos de acceso a las zonas de evaluacin, de las claves de control de la central de alarmas, as como de las combinaciones de los lugares de custodia de la informacin de las evaluaciones, el jefe del Servicio de Proteccin y las personas que l designe, que sern las mnimas imprescindibles.

2. Las llaves de las cajas fuertes no podrn salir de la sede del laboratorio bajo ningn concepto, debiendo guardarse de forma oculta y segura, y en distinto lugar al que se custodien las claves de combinacin para la apertura de las mismas.

3. Deber ocultarse la identificacin del fabricante, modelo, ao de construccin u otros datos que puedan facilitar un conocimiento de las caractersticas de las cajas fuertes a las que se refieren.

4. Las claves de combinacin para la apertura de las cajas fuertes y los cdigos de control de la central de alarmas no deben conservarse en claro, sino de manera cifrada, debiendo ser modificados, obligatoriamente, en los siguientes casos:

a) Al recibirse los muebles de seguridad e instalarse la central de alarmas, modificando las claves y cdigos que traen de fbrica.

b) Cada seis meses.

c) Cuando se produzca un cambio en las personas que hayan tenido acceso a las mismas, incluido el personal de las empresas de mantenimiento.

d) Cada vez que se produzca, o se sospeche que haya ocurrido, un incidente de seguridad que comprometa las claves o los cdigos.


[Bloque 81: #a5-10]

Artculo 58. Acceso fsico a la informacin de las evaluaciones.

Cuando se precise el acceso fsico a la informacin de las evaluaciones, el jefe del Servicio de Proteccin de la informacin, o persona designada por l, pondr dicha informacin a disposicin de los empleados del laboratorio que cuenten con las debidas autorizaciones de acceso a la misma, la cual deber ser manejada exclusivamente en la zona de evaluacin, estando bajo la responsabilidad de estas personas su custodia y control.

Una vez finalizado el manejo, se devolver inmediatamente a la persona que hizo entrega de la misma, siendo almacenada en su lugar de custodia, donde permanecer obligatoriamente.


[Bloque 82: #a5-11]

Artculo 59. Dispositivos tcnicos de identificacin.

Siempre que el laboratorio lo considere necesario, podr emplear dispositivos personales que faciliten y controlen el acceso, por su personal, a las zonas de acceso restringido. Los dispositivos sern diseados de forma que se impida su empleo no autorizado, por lo que, cada uno de ellos se asignar a un empleado determinado, con su correspondiente cdigo personalizado, que ser conocido nicamente por el interesado.

De estos dispositivos no podrn determinarse las evaluaciones a cuya informacin tiene acceso el empleado al que se le asigna.

En su caso, deber notificarse al Organismo de Certificacin el sistema adoptado, debindose plasmar la operativa del mismo en el Plan de Proteccin.


[Bloque 83: #s8]

Subseccin 8. Seguridad de los sistemas de informacin


[Bloque 84: #a6-2]

Artculo 60. Seguridad de la informacin sobre evaluaciones.

1. La informacin de las evaluaciones es un bien que debe ser protegido de manera que se garantice su confidencialidad, su integridad y disponibilidad, a lo largo de toda su existencia, con independencia del medio, soporte o formato en el que permanezca o se transmita. Para ello, tambin es necesario asegurar la integridad y disponibilidad de los servicios y recursos que sustentan dicha informacin.

2. Los mecanismos de seguridad del sistema de informacin que procese, almacene o transmita informacin de las evaluaciones, tienen como finalidad evitar accesos, destrucciones y modificaciones no permitidas, asegurando, al mismo tiempo, que la informacin es utilizada cundo y cmo lo requieran los usuarios autorizados.

3. Los factores que se han de evaluar en la proteccin de la informacin de las evaluaciones sern los siguientes:

a) Confidencialidad, como servicio de seguridad que pretende que una informacin sea revelada exclusivamente a los usuarios, entidades o procesos autorizados.

b) Integridad, como medida que asegura que la informacin sea creada, modificada o borrada slo por personas, entidades o procesos autorizados.

c) Disponibilidad, para que la informacin sea utilizable en el lugar, momento y forma que lo requieran lo usuarios, entidades o procesos autorizados.

4. El laboratorio deber concretar los principios y reglas bsicas de seguridad, exigidos para la acreditacin, en unos procedimientos especficos para la proteccin de la informacin de las evaluaciones tratadas en su sistema de informacin, cuya seguridad deber estar necesariamente integrada en el sistema de proteccin del laboratorio.

5. La seguridad del sistema de informacin requiere la adecuada aplicacin de procedimientos y normas que posibiliten el control de acceso al sistema, la distribucin de responsabilidades, la segregacin de funciones y la compartimentacin de los entornos correspondientes a las evaluaciones y a la administracin y gestin del laboratorio.


[Bloque 85: #a6-3]

Artculo 61. Usuario del sistema de informacin.

1. El usuario del sistema de informacin que maneje informacin de las evaluaciones depender directamente, en todo lo referente a la seguridad del sistema, del administrador de seguridad del sistema de informacin, al que informar inmediatamente del menor indicio o conocimiento de cualquier hecho que afecte a la seguridad de la informacin de las evaluaciones.

2. La responsabilidad de cada usuario es bsica para la seguridad del sistema. Por ello es imprescindible la autenticacin del usuario. Se entender por autenticacin el proceso que confirma su identidad.

Bajo ningn concepto este usuario podr emplear equipos y medios particulares para el tratamiento de la informacin de las evaluaciones.

El usuario se asegurar que su cdigo personal no es utilizado por otra persona, recomendndose la memorizacin del mismo, sin dejar constancia escrita o, en su caso, guardando el registro de forma oculta y segura; no hacer uso del cdigo cuando se est siendo observado y no compartir, en ningn caso, el cdigo personal con otros usuarios del sistema.

3. En los sistemas que lo permitan, el usuario realizar copias peridicas de seguridad de la informacin de las evaluaciones, bajo la supervisin del administrador de seguridad del sistema de informacin, quien llevar el control y registro oportuno.


[Bloque 86: #a6-4]

Artculo 62. Soportes de almacenamiento de informacin de las evaluaciones.

1. Los soportes removibles reutilizables, que hayan contenido informacin de las evaluaciones, podrn volverse a emplear una vez que se haya efectuado el borrado seguro mediante procedimientos que garanticen el mismo.

Esto tambin se aplicar a los soportes fijos de los equipos utilizados en las pruebas de evaluacin, as como en los destinados a la instalacin, o recreacin, del producto a evaluar y a su entorno de pruebas, que debern borrarse de manera segura al trmino de cada evaluacin.

El resto de soportes fijos de informacin del laboratorio debern ser tratados segn procedimientos especficos, que sern reseados en los Procedimientos Operativos de seguridad, de forma que se imposibilite la extraccin de informacin por personal no autorizado.

2. Toda informacin que tenga entrada mediante comunicaciones electrnicas, o soporte removible, deber ser comprobada en un sistema aislado, previamente a su inclusin en el sistema de informacin del laboratorio, a fin de detectar la posible presencia de elementos extraos, dainos o de mal funcionamiento. Dicha comprobacin, y su resultado, quedarn anotados en el libro registro del laboratorio junto con la anotacin de la entrada de la informacin.


[Bloque 87: #a6-5]

Artculo 63. Caractersticas fsicas de las instalaciones.

1. El sistema de informacin que se utilice para el tratamiento de la informacin de las evaluaciones deber estar situado en la zona de evaluacin y, obligatoriamente, ubicado en territorio nacional.

2. Los equipos perifricos de impresin de documentos estarn insonorizados, cuando las caractersticas de los mismos lo requieran, y as lo determine el Organismo de Certificacin.

3. No se podr realizar ningn cambio en la ubicacin fsica de los elementos del sistema de informacin, sin el control del administrador de seguridad, y la aprobacin del jefe del Servicio de Proteccin de la informacin de las evaluaciones.


[Bloque 88: #a6-6]

Artculo 64. Procedimientos operativos de seguridad.

1. El administrador de seguridad del sistema de informacin del laboratorio elaborar unos Procedimientos Operativos de seguridad, donde se describirn, detalladamente, las operaciones necesarias para proteger dicho sistema.

2. Estos procedimientos operativos de seguridad han de cumplir los requisitos de seguridad para la acreditacin del laboratorio, incluirse en el Plan de Proteccin y, adicionalmente, contemplarn lo siguiente:

a) La revisin bianual del grado de cumplimiento de la eficacia de los propios procedimientos operativos, y del cumplimiento de los requisitos de seguridad para la acreditacin del laboratorio.

b) La aplicacin de medidas de proteccin contra elementos dainos o maliciosos (virus, caballos de Troya, gusanos, etc.).

c) El cambio trimestral de los cdigos de acceso de los usuarios.

d) La aplicacin de un sistema de borrado rpido o destruccin de la informacin de las evaluaciones, para casos de emergencia.

e) La utilizacin de un sistema de alimentacin ininterrumpida, de duracin suficiente, para salvaguardar los procesos en curso.


[Bloque 89: #a6-7]

Artculo 65. Interconexin de sistemas.

1. Como norma general, el sistema de informacin donde se trate informacin de las evaluaciones, deber estar aislado.

Excepcionalmente pueden existir situaciones en las que el sistema necesite estar interconectado con otros, bien para comunicar varias zonas de evaluacin del laboratorio, separadas fsicamente, en las que se realice la misma evaluacin, o para permitir la comunicacin en situaciones de naturaleza anloga.

En estas situaciones, la interconexin deber ser autorizada por el Organismo de Certificacin, que determinar los requisitos de seguridad que se deben implantar.

2. El acceso del laboratorio a redes pblicas, para la consulta y descarga de informacin de vulnerabilidades, programas de uso en las evaluaciones y dems informacin relevante a las evaluaciones, no se podr realizar en las reas de evaluacin o de proteccin, debiendo tramitarse la incorporacin de esta informacin al sistema de informacin del laboratorio, conforme a lo requerido en el artculo 32, Libro registro de informacin de las evaluaciones.


[Bloque 90: #s3-3]

Seccin 3. Requisitos de los procedimientos de evaluacin


[Bloque 91: #a6-8]

Artculo 66. Reconocimiento de actuaciones del laboratorio de evaluacin.

La certificacin de la seguridad de un producto se inicia a instancias del solicitante ante el Organismo de Certificacin, lo cual no obsta para que, independientemente, se puedan solicitar, por parte del mismo interesado, trabajos de evaluacin equivalentes a los que requiere el Organismo de Certificacin para la certificacin de dicho producto.

En cualquier caso, el Organismo de Certificacin nicamente reconocer las actuaciones del laboratorio de evaluacin que se realicen, completamente, bajo su conocimiento y seguimiento, conforme al procedimiento establecido en el Captulo V del presente Reglamento.


[Bloque 92: #a6-9]

Artculo 67. Procedimientos de evaluacin.

Los procedimientos de evaluacin del laboratorio que solicite la acreditacin, debern contemplar las obligaciones de coordinacin e informacin con el Organismo de Certificacin, indicadas en esta Seccin.

Igualmente, y para la defensa de la validez y reconocimiento mutuo de certificados de la seguridad de los productos, el Organismo de Certificacin trasladar al laboratorio las obligaciones requeridas, tanto al procedimiento de evaluacin, como a los propios laboratorios de evaluacin, en los acuerdos, convenios o contratos de reconocimiento mutuo en los que el solicitante de la certificacin del producto quiera hacer valer la misma y el Organismo de Certificacin opere.


[Bloque 93: #a6-10]

Artculo 68. Obligaciones de coordinacin e informacin.

El laboratorio deber cumplir, en el desarrollo de sus trabajos de evaluacin, con los requisitos de coordinacin e informacin con el Organismo de Certificacin que se incluyen en esta Seccin.


[Bloque 94: #a6-11]

Artculo 69. Aprobacin previa.

1. El laboratorio de evaluacin estar obligado a obtener aprobacin previa, y por escrito, del Organismo de Certificacin para comenzar los trabajos de evaluacin.

En la aprobacin previa deber constar la asignacin del responsable de la certificacin del producto, por parte del Organismo de Certificacin, a quien se dirigirn las comunicaciones relativas a la evaluacin.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.

2. Dicha aprobacin se solicitar por el laboratorio mediante escrito, al que se acompaar lo siguiente:

a) Plan detallado de la evaluacin, con las fases, tareas y unidades de trabajo correspondientes, la asignacin e identificacin del personal afecto a la evaluacin y su responsabilidad en la misma.

b) Copia del contrato, o documento similar, que regule las relaciones entre el laboratorio y el solicitante de la certificacin, en las que el laboratorio incluir, obligatoriamente, las clusulas necesarias para el cumplimiento de los requisitos para la acreditacin del laboratorio.


[Bloque 95: #a7-2]

Artculo 70. Inicio y fin de los trabajos de evaluacin.

El laboratorio de evaluacin estar obligado a comunicar, al Organismo de Certificacin, el comienzo y trmino de cada fase, actividad, accin y unidad de trabajo de la evaluacin, segn se definan en la metodologa y procedimientos de evaluacin a aplicar. En funcin de su relevancia, el Organismo de Certificacin podr rebajar este requisito a la comunicacin de fases, actividades o hitos sealados.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 96: #a7-3]

Artculo 71. Desviaciones del plan de evaluacin.

El laboratorio de evaluacin estar obligado a comunicar, al Organismo de Certificacin, las desviaciones con respecto al plan de evaluacin, con anlisis de las causas de la desviacin, las medidas correctivas aplicadas por el laboratorio, y el nuevo plan de evaluacin actualizado.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 97: #a7-4]

Artculo 72. Dificultades en la evaluacin.

El laboratorio de evaluacin estar obligado a comunicar, al Organismo de Certificacin, cualquier dificultad surgida en la aplicacin o interpretacin de las normas utilizadas, as como cualquier dificultad que condicione el normal transcurso de una evaluacin.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 98: #a7-5]

Artculo 73. Informes de observacin.

El laboratorio estar obligado a remitir, al Organismo de Certificacin, todos los informes de observacin y de disconformidad emitidos e informar de su cierre, cuando ocurra, y de las medidas correctivas aplicadas por el solicitante de la certificacin.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 99: #a7-6]

Artculo 74. Informacin tcnica adicional.

El laboratorio de evaluacin estar obligado a facilitar toda informacin tcnica adicional que sea necesaria para el anlisis, por parte del Organismo de Certificacin, de la informacin de las evaluaciones, incluyendo acceso y formacin sobre programas y sistemas de evaluacin, elaborados o adquiridos por el laboratorio, as como aquellos mtodos y tcnicas de anlisis de vulnerabilidades empleados.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 100: #a7-7]

Artculo 75. Reuniones entre el solicitante y el laboratorio.

El laboratorio de evaluacin estar obligado a comunicar, e invitar a su asistencia, al Organismo de Certificacin, de cuantas reuniones celebre dicho laboratorio con el solicitante de la certificacin, con indicacin de su naturaleza y objeto.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 101: #a7-8]

Artculo 76. Reuniones de seguimiento.

El laboratorio de evaluacin estar obligado a atender cuantas reuniones de seguimiento convoque el Organismo de Certificacin. Dichas reuniones se convocarn por el responsable de la certificacin del producto del Organismo de Certificacin, y sern atendidas por el personal requerido para explicar e interpretar la informacin de las evaluaciones objeto de seguimiento. En el caso de informacin de las evaluaciones elaborada por el laboratorio, se podr requerir la asistencia a la reunin de los autores de la misma.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 102: #a7-9]

Artculo 77. Puesta a disposicin de dependencias y sistemas.

El laboratorio de evaluacin estar obligado a poner sus dependencias y sistemas de evaluacin a disposicin del Organismo de Certificacin, para la realizacin, por parte del personal del mismo, de las tareas de verificacin de la actividad de evaluacin que se consideren oportunas.

Esta obligacin deber estar recogida en los procedimientos de evaluacin propios del laboratorio.


[Bloque 103: #ci-4]

CAPTULO IV

Acreditacin de laboratorios


[Bloque 104: #s1-4]

Seccin 1. Acreditacin


[Bloque 105: #a7-10]

Artculo 78. Acreditacin.

El Organismo de Certificacin acreditar a los laboratorios solicitantes siguiendo el procedimiento establecido en la Seccin 4. de este Captulo y en base al cumplimiento de los requisitos establecidos en el Captulo III.


[Bloque 106: #a7-11]

Artculo 79. Solicitantes.

Pueden solicitar esta acreditacin cualesquiera laboratorios de evaluacin de la seguridad de los sistemas de informacin, con independencia de su naturaleza jurdica, pblica o privada, sin ms limitacin que la de realizar su actividad de evaluacin en territorio espaol.


[Bloque 107: #a8-2]

Artculo 80. Contenido de la acreditacin.

La acreditacin de un laboratorio supone el reconocimiento de su competencia tcnica, de la adecuacin de la gestin de la seguridad del mismo a las particularidades de la evaluacin de la seguridad de las Tecnologas de la Informacin, y de la consideracin de los requisitos de coordinacin e informacin al Organismo de Certificacin, que permitir a ste basar su dictamen de certificacin de un producto, entre otros factores, en el informe de evaluacin del laboratorio acreditado.

La acreditacin de un laboratorio no presupone, sin embargo, aceptacin incondicional de los resultados de la actuacin de evaluacin de un producto determinado. Dicha aceptacin se otorgar tras el anlisis inicial de la solicitud de certificacin, mediante el seguimiento de la labor de evaluacin y tras el anlisis del correspondiente informe tcnico de evaluacin, tal y como se define en el Captulo V.


[Bloque 108: #a8-3]

Artculo 81. Duracin de la acreditacin.

La acreditacin, una vez concedida, se mantiene de manera indefinida, salvo cambios en las condiciones que motivaron su concesin, incumplimiento de dichas condiciones o renuncia expresa del laboratorio. Para el mantenimiento de la acreditacin, el Organismo de Certificacin realizar, de oficio, las necesarias auditoras, inspecciones y anlisis del laboratorio y de su actuacin, conforme se regula en este Captulo.


[Bloque 109: #s2-4]

Seccin 2. Alcance de la acreditacin


[Bloque 110: #a8-4]

Artculo 82. Alcance de la acreditacin.

La acreditacin se cualifica mediante el alcance, que limitar el reconocimiento de las actuaciones del laboratorio con relacin al nivel de calificacin de seguridad y con relacin a las normas y niveles de evaluacin.


[Bloque 111: #a8-5]

Artculo 83. Alcance con relacin al nivel de calificacin de seguridad.

Con relacin al nivel de calificacin de seguridad se distinguen aquellos laboratorios con capacidad para manejar informacin y productos clasificados, de aquellos otros que operan en el rgimen de la informacin y productos no clasificados.


[Bloque 112: #a8-6]

Artculo 84. Alcance con relacin a las normas y niveles de evaluacin.

La certificacin de la seguridad de los productos y sistemas de las Tecnologas de la Informacin puede requerir la evaluacin de los mismos atendiendo a diferentes criterios, mtodos y normas de evaluacin.

Adicionalmente, dichas normas pueden distinguir niveles de evaluacin y niveles de seguridad.

El Organismo de Certificacin mantiene una relacin actualizada de normas aplicables, segn se establece en el Captulo VI.

El laboratorio solicitante deber indicar, en el alcance de la acreditacin, aquellas normas y niveles, de la mencionada relacin, en las que demuestra competencia tcnica y experiencia acreditada.


[Bloque 113: #s3-4]

Seccin 3. Criterios de acreditacin


[Bloque 114: #a8-7]

Artculo 85. Criterios generales.

1. La competencia tcnica del laboratorio solicitante se determinar, en primera instancia, por la correspondiente acreditacin de esta competencia, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria, y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la Infraestructura para la Calidad y Seguridad Industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025.

2. La acreditacin de competencia tcnica, que deber ser concedida por una entidad de acreditacin reconocida, ha de incluir, en su alcance, las normas de evaluacin de la seguridad de los productos y sistemas de Tecnologas de la Informacin, aprobados por el Organismo de Certificacin, y dems limitaciones requeridas por ste.

En particular, se reconocen las acreditaciones de competencia tcnica emitidas por la Entidad Nacional de Acreditacin, sin perjuicio de las acreditaciones emitidas por otras entidades de acreditacin que satisfagan los requisitos establecidos en el Captulo II del Reglamento de la Infraestructura para la Calidad y Seguridad Industrial.

3. Los requisitos adicionales, de gestin de la seguridad de la informacin de las evaluaciones, as como los de coordinacin e informacin al Organismo de Certificacin, se incluyen en el Captulo III.

Los requisitos indicados en el prrafo anterior, se verificarn mediante la aplicacin del procedimiento establecido en la siguiente Seccin, sobre la base de una auditora del laboratorio solicitante, que incluye el seguimiento de una evaluacin de prueba bajo los procedimientos y requisitos del Organismo de Certificacin.


[Bloque 115: #a8-8]

Artculo 86. Criterios complementarios.

Para aquellos casos que lo requieran, los criterios generales mencionados podrn ser completados o precisados por otros complementarios de carcter tcnico, especficos para cada tipo de producto a evaluar, criterios, mtodos y normas de evaluacin de cada acreditacin, o modificacin del alcance de la solicitada, recogidos y publicados en los correspondientes documentos del Organismo de Certificacin.


[Bloque 116: #s4-3]

Seccin 4. Procedimiento de acreditacin


[Bloque 117: #a8-9]

Artculo 87. Proceso de acreditacin.

Aquellos laboratorios que deseen ser acreditados por el Organismo de Certificacin, debern someterse al proceso de acreditacin establecido en la presente Seccin.


[Bloque 118: #a8-10]

Artculo 88. Solicitud de acreditacin.

La solicitud de acreditacin deber remitirse al Director del Organismo de Certificacin adjuntando, como mnimo, la siguiente informacin, debidamente documentada:

a) Personalidad jurdica de la entidad solicitante, con su nmero de identificacin fiscal.

b) Nombre del responsable del laboratorio y de la persona, o personas, con capacidad suficiente para obrar, que sern signatarias y, por tanto, responsables de la veracidad de las evaluaciones para las que el laboratorio solicita ser acreditado.

c) Compromiso de cumplir los requisitos de acreditacin del Organismo de Certificacin, indicados en el Captulo III, as como declaracin de disponibilidad para la realizacin de la auditora y actividades derivadas del proceso de acreditacin.

d) Relacin y ubicacin de las dependencias, delegaciones e instalaciones donde se realiza la actividad de evaluacin de la seguridad de los productos y sistemas de las Tecnologas de la Informacin.

e) Alcance de la acreditacin solicitada, indicando el nivel de calificacin de seguridad y las normas y niveles de evaluacin.

f) Relacin y copia de los documentos del sistema de gestin de la calidad del laboratorio.

g) Relacin y copia de los documentos del sistema de gestin de la seguridad del laboratorio.

h) Relacin y copia de los manuales y procedimientos de evaluacin del laboratorio.

i) Certificado de acreditacin de la competencia tcnica emitido por ENAC, o entidad de acreditacin reconocida, segn lo indicado en el artculo 85 o, en su caso, certificado de haber iniciado dicho proceso de acreditacin con la entidad correspondiente.

j) Justificante del pago de las tasas de acreditacin vigentes.

k) Alcance y descripcin de las evaluaciones de prueba que el solicitante pretende llevar a cabo, bajo las condiciones y procedimientos de este esquema, para la demostracin del cumplimiento de los requisitos de acreditacin, y que han de ser de alcance igual, o superior, al de la acreditacin solicitada.

Esta solicitud podr presentarse en cualquiera de los lugares previstos en el artculo 38.4 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.


[Bloque 119: #a8-11]

Artculo 89. Modelo de solicitud de acreditacin.

Las solicitudes de acreditacin de laboratorio se presentarn en los impresos establecidos al efecto, que estarn publicados en la direccin electrnica del Organismo de Certificacin (http://www.oc.ccn.cni.es).


[Bloque 120: #a9-2]

Artculo 90. Subsanacin y mejora de la solicitud de acreditacin.

A la recepcin de la solicitud de acreditacin, el Organismo de Certificacin realizar una comprobacin inicial de la informacin en ella contenida.

En caso de ser necesaria la subsanacin o mejora de la solicitud de acreditacin, se estar a lo dispuesto en el artculo 71 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

Se admitir durante la instruccin de la solicitud de acreditacin la equivalencia del certificado de acreditacin de la competencia tcnica por certificado de encontrarse incurso en el proceso de acreditacin de dicha competencia, siendo requisito definitivo para la acreditacin del laboratorio, la certificacin de su competencia tcnica conforme a lo indicado en el artculo 85.


[Bloque 121: #a9-3]

Artculo 91. Notificacin al solicitante.

El Organismo de Certificacin notificar al solicitante el inicio del procedimiento administrativo de acreditacin, incluyendo en dicha notificacin:

a) El nombre y datos de contacto del responsable del procedimiento de acreditacin, que ser igualmente responsable de la direccin de la auditora inicial del cumplimiento de los requisitos para la acreditacin.

b) La fecha propuesta de comienzo de la auditora indicada.


[Bloque 122: #a9-4]

Artculo 92. Preparacin de la auditora.

Los tcnicos designados por el Organismo de Certificacin, con carcter previo a la auditora, realizarn un estudio preliminar de la documentacin recibida junto con la solicitud, relativa a los sistemas de calidad, seguridad y evaluacin del laboratorio solicitante.

Las conclusiones de dicho estudio, en trminos de observaciones sobre el cumplimiento e identificacin de disconformidades de los requisitos para la acreditacin, se remitirn al solicitante con una antelacin no inferior a un mes de la fecha de comienzo de la auditora. Junto a dichas conclusiones, y a la vista del estudio realizado, el Organismo de Certificacin indicar la duracin estimada de la auditora, cuyo calendario definitivo se acordar en la fecha de comienzo de la misma.

El laboratorio solicitante podr subsanar y mejorar la solicitud de acreditacin en base a las conclusiones del estudio preliminar, con carcter previo a la realizacin de la auditora.


[Bloque 123: #a9-5]

Artculo 93. Instruccin de la auditora.

La instruccin de la auditora se realizar en tres fases: reunin inicial, desarrollo de la auditora y reunin final.

a) Reunin inicial. En la fecha indicada por el Organismo de Certificacin, se celebrar la reunin inicial de auditora entre los representantes del laboratorio solicitante y el equipo auditor, designado por el Organismo de Certificacin. En esta reunin se harn las presentaciones oportunas, se confirmar el plan y calendario de la auditora y se revisarn las conclusiones del estudio preliminar de la solicitud.

b) Desarrollo de la auditora. Durante esta fase se proceder a la observacin del laboratorio solicitante durante la evaluacin de prueba, y a la investigacin del cumplimiento de los requisitos para la acreditacin.

c) Reunin final. El equipo auditor se reunir con los representantes de la entidad solicitante, con objeto de presentar un informe verbal de los resultados del desarrollo de la auditora.


[Bloque 124: #a9-6]

Artculo 94. Informe del equipo auditor.

El equipo auditor, en un plazo no superior a diez das contados desde la fecha de la reunin final de la auditora, elaborar un informe con los resultados y con la informacin recopilada durante el desarrollo de la misma. Este informe ser remitido al laboratorio solicitante para su conocimiento.


[Bloque 125: #a9-7]

Artculo 95. Audiencia previa.

1. Una vez instruido el procedimiento de auditora, se le pondr de manifiesto al laboratorio solicitante y se le convocar a una reunin de audiencia previa a la resolucin.

2. En dicha reunin, el Organismo de Certificacin indicar la naturaleza, gravedad y consecuencias de las observaciones y disconformidades identificadas durante el procedimiento de auditora, si las hubiere, con las implicaciones de las mismas en la resolucin de la solicitud de acreditacin.

3. El laboratorio solicitante, en un plazo no inferior a diez das ni superior a quince, podr alegar y presentar los documentos y alegaciones que estime pertinentes.

4. Si antes del vencimiento del plazo, el laboratorio manifiesta su decisin de no efectuar alegaciones ni aportar nuevos documentos o justificaciones, se tendr por realizado el trmite.


[Bloque 126: #a9-8]

Artculo 96. Resolucin de la solicitud de acreditacin.

1. La resolucin de la solicitud de acreditacin se dictar de acuerdo con lo indicado en este artculo y en los plazos establecidos en el artculo 107, Plazos y actos presuntos.

2. Esta resolucin, de acuerdo con lo previsto en el artculo 116 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, podr ser objeto de recurso potestativo de reposicin ante el Director del Organismo de Certificacin, cuya resolucin pone fin a la va administrativa, o ser impugnada directamente ante el orden jurisdiccional contencioso-administrativo.

3. La resolucin de desestimacin ser motivada. La resolucin de acreditacin contendr adicionalmente los siguientes extremos:

a) Alcance de la acreditacin concedida.

b) La fecha en vigor de la acreditacin y referencia a su vigencia.


[Bloque 127: #a9-9]

Artculo 97. Vigencia de la acreditacin.

1. La acreditacin se conceder por plazo indefinido, salvo cambios en las condiciones que motivaron su concesin, incumplimiento de dichas condiciones o renuncia expresa del laboratorio.

2. Para el mantenimiento de la acreditacin, el Organismo de Certificacin realizar, de oficio, las necesarias auditoras, inspecciones y anlisis del laboratorio y de su actuacin, conforme a lo establecido en el presente Reglamento.


[Bloque 128: #a9-10]

Artculo 98. Certificacin del producto evaluado en el proceso de auditora.

Las evaluaciones utilizadas como prueba, en el proceso de auditora del laboratorio, podrn servir de base para la correspondiente certificacin de la seguridad de los productos evaluados, conforme a lo indicado en el Captulo V.


[Bloque 129: #s5-2]

Seccin 5. Seguimiento de la actividad de evaluacin


[Bloque 130: #a9-11]

Artculo 99. Seguimiento continuo de la actividad de evaluacin.

El Organismo de Certificacin, conforme al procedimiento de certificacin de productos, establecido en el Captulo V, realizar un seguimiento continuo de la actividad del laboratorio, a los efectos de la resolucin de las solicitudes de certificacin de productos.

Todas aquellas observaciones y disconformidades sobre los requisitos de acreditacin del laboratorio, detectadas durante el seguimiento de las evaluaciones, sern comunicadas al laboratorio para su subsanacin.

En el caso de disconformidad, o de no atender las observaciones realizadas, se estar a lo dispuesto en los artculos 104, 105 y 106.


[Bloque 131: #a1-12]

Artculo 100. Auditoras de seguimiento.

1. De forma peridica, se realizarn auditoras de seguimiento a los laboratorios acreditados.

2. Los objetivos de las auditoras de seguimiento sern los siguientes:

a) Comprobar que la entidad ha respetado, durante el periodo transcurrido desde la ltima auditora, los criterios establecidos para la concesin de la acreditacin.

b) Verificar el cierre de las desviaciones detectadas en auditoras previas.

c) Examinar cualquier cambio en la organizacin, procedimientos y recursos de la entidad, para la realizacin de las actividades incluidas en el alcance de su acreditacin.

d) Comprobar que se han respetado las obligaciones resultantes de la acreditacin.

e) Comprobar la actividad de la entidad para el alcance acreditado.

3. La frecuencia de las auditoras se establecer en funcin de los resultados de visitas previas.

4. La primera auditora de seguimiento se programar en un plazo no superior a doce meses desde la fecha inicial de acreditacin. Las siguientes auditoras de seguimiento se realizarn antes de transcurridos dieciocho meses desde la realizacin de la ltima visita.

5. Las auditoras de seguimiento se realizarn con el mismo grado de detalle y rigor que la auditora inicial de acreditacin.

6. En la instruccin y resolucin de la auditora de seguimiento se seguir lo dispuesto en los artculos 93 y 94 y, en todo caso, se atendr al procedimiento general administrativo.


[Bloque 132: #a1-13]

Artculo 101. Ampliacin del alcance de una acreditacin.

Cuando un laboratorio, ya acreditado, desee ampliar el alcance de su acreditacin deber solicitar formalmente dicha ampliacin. Para ello, deber utilizar el formulario de solicitud correspondiente. Se aplicar el procedimiento indicado en el artculo 78 adaptado, segn proceda, en funcin del volumen y carcter de dicha ampliacin.


[Bloque 133: #a1-14]

Artculo 102. Notificacin de cambios.

1. El laboratorio deber comunicar, al Organismo de Certificacin, cualquier cambio que se proponga efectuar sobre las condiciones iniciales en que se concedi la acreditacin y, en particular, los que afecten a lo siguiente:

a) Situacin jurdica, comercial u organizativa del laboratorio.

b) Organizacin y gestin, cuando afecten a personal directivo o a puestos clave en la organizacin del laboratorio o de la empresa.

c) Polticas y procedimientos, cuando proceda.

d) Locales de ubicacin del laboratorio.

e) Personal y otros recursos, cuando sean relevantes.

f) Documentos normativos incluidos en el alcance de la acreditacin.

2. Ante una comunicacin de cambio, el Organismo de Certificacin proceder a su revisin y establecer las actividades necesarias para el mantenimiento de la acreditacin del laboratorio. Dichas actividades podrn consistir en acciones de auditora, por parte del Organismo de Certificacin, para comprobar el grado de cumplimiento de los requisitos de acreditacin tras los cambios efectuados, as como en la actualizacin, por parte del laboratorio, de la documentacin presentada en el proceso de acreditacin.


[Bloque 134: #a1-15]

Artculo 103. Publicidad de las acreditaciones.

El Organismo de Certificacin podr hacer pblica la relacin de laboratorios en proceso de acreditacin, as como la de laboratorios acreditados incluyendo, en esta relacin, la informacin del alcance de cada acreditacin.


[Bloque 135: #s6-2]

Seccin 6. Formulacin de observaciones, plazos y recursos


[Bloque 136: #a1-16]

Artculo 104. Formulacin de observaciones y retirada de la acreditacin.

El incumplimiento de las obligaciones derivadas de la acreditacin, por parte de la entidad titular de la misma, dar lugar a la adopcin de medidas, por parte del Organismo de Certificacin, contra la entidad incumplidora.

Las medidas irn en funcin de la gravedad del incumplimiento y podrn consistir en formulacin de observaciones, retirada parcial o retirada total de la acreditacin.


[Bloque 137: #a1-17]

Artculo 105. Actuaciones irregulares e incumplimientos.

Se entender por actuaciones irregulares e incumplimientos leves, aquellas actuaciones que, sin adecuarse a lo establecido en el presente Reglamento, no afecten a la validez final de la actividad de evaluacin de la entidad ni a la seguridad de terceros.

Las actuaciones irregulares y los incumplimientos leves sern objeto de observacin, que podr notificarse por los equipos de auditora y seguimiento de las evaluaciones. El laboratorio deber subsanar la causa que dio lugar a las observaciones, en el plazo de diez das.


[Bloque 138: #a1-18]

Artculo 106. Retirada de la acreditacin.

El incumplimiento reiterado de los requisitos de acreditacin, o la no subsanacin reiterada de las observaciones recibidas, darn lugar a la retirada, total o parcial, de la acreditacin a la que se refiera.

La resolucin de retirada de acreditacin se dictar, de oficio, por el Organismo de Certificacin.

La retirada de la acreditacin obligar al solicitante al cese inmediato del uso de la condicin de laboratorio acreditado, as como a la retirada de esta condicin en todos los documentos o informacin en los que ste la haga manifiesta.


[Bloque 139: #a1-19]

Artculo 107. Plazos y actos presuntos.

El plazo para resolver la solicitud de acreditacin de laboratorio, y notificar la correspondiente resolucin, ser de seis meses. Este mismo plazo se aplicar a las solicitudes de ampliacin del alcance de una acreditacin previa.

A los efectos previstos en el artculo 43 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, las solicitudes de acreditacin se entendern estimadas de no recaer resolucin expresa en los plazos establecidos en cada caso, con las salvedades y excepciones indicadas en dicho precepto.


[Bloque 140: #a1-20]

Artculo 108. Recursos.

La actuacin del Organismo de Certificacin debe siempre atenerse a los principios generales de actuacin recogidos en el artculo 3 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

De acuerdo con lo previsto en los artculos 116 y 117 de la citada Ley, as como en los artculos 10, 14 y 46 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-Administrativa, frente a la actuacin del Organismo de Certificacin, en materia de acreditacin, se podr interponer:

a) En el plazo de un mes, recurso potestativo de reposicin ante el Director de dicho organismo, cuya resolucin pone fin a la va administrativa, o

b) Directamente, en el plazo de dos meses, recurso contencioso-administrativo, ante la Sala de dicha ndole, del Tribunal Superior de Justicia de Madrid.


[Bloque 141: #cv]

CAPTULO V

Certificacin de productos y sistemas


[Bloque 142: #s1-5]

Seccin 1. Certificacin


[Bloque 143: #a1-21]

Artculo 109. Certificacin de seguridad de productos y sistemas.

El Organismo de Certificacin certificar la seguridad de los productos y sistemas de Tecnologas de la Informacin, siguiendo el procedimiento establecido en este Captulo y tras considerar, entre otras pruebas de la instruccin del procedimiento, los informes de evaluacin emitidos por los laboratorios acreditados conforme a lo establecido en el Captulo IV, y realizados atendiendo a los criterios, mtodos y normas de evaluacin de la seguridad indicados en el Captulo VI.


[Bloque 144: #a1-22]

Artculo 110. Reconocimiento de veracidad de propiedades de seguridad.

La certificacin de la seguridad de un producto o sistema de las Tecnologas de la Informacin supone el reconocimiento de la veracidad de las propiedades de seguridad de su correspondiente declaracin de seguridad.


[Bloque 145: #a1-23]

Artculo 111. Valoracin de idoneidad.

La certificacin de la seguridad de un producto o sistema no presupone declaracin de idoneidad de uso en cualquier escenario o mbito de aplicacin. Para valorar la idoneidad de un producto o sistema debern tenerse en cuenta otras circunstancias, incluidas las restricciones establecidas en su declaracin de seguridad para la correcta interpretacin del certificado.


[Bloque 146: #a1-24]

Artculo 112. Vigencia de la certificacin.

La certificacin, una vez concedida, se mantiene de manera indefinida, salvo cambios en las condiciones que motivaron su concesin, tales como avances tecnolgicos, aparicin de nuevas vulnerabilidades explotables, incumplimiento de las condiciones de uso del certificado, cambios en el propio producto o renuncia expresa del solicitante. Para la vigilancia de la vigencia de la certificacin, el Organismo de Certificacin realizar, de oficio, las necesarias auditoras, inspecciones y anlisis del producto, de su entorno y del uso del certificado.


[Bloque 147: #s2-5]

Seccin 2. Alcance de la certificacin


[Bloque 148: #a1-25]

Artculo 113. Alcance de la certificacin.

La certificacin se limita mediante el correspondiente alcance, que incluye la definicin del producto evaluado y las normas y niveles de evaluacin.

El Organismo de Certificacin, en la determinacin del alcance, realizar la definicin ms precisa posible del mismo, al objeto de evitar confusin alguna entre el producto comercial y el producto evaluado, en el supuesto de que ambos no coincidan exactamente.


[Bloque 149: #a1-26]

Artculo 114. Alcance con relacin al producto o sistema evaluado.

La certificacin deber hacer referencia, e identificar inequvocamente, al producto evaluado, as como a su declaracin de seguridad. Dicha declaracin de seguridad tambin deber contener la identificacin precisa del producto evaluado, as como la especificacin de su entorno de uso, incluyendo las amenazas previstas, polticas de seguridad e hiptesis aplicables al caso, adems de los objetivos de seguridad del producto o sistema y la relacin de requisitos de seguridad exigibles al mismo.

Los detalles de la declaracin de seguridad podrn variar conforme a las normas aplicadas en la evaluacin, pero toda declaracin deber ser un reflejo cierto, claro y preciso de las propiedades de seguridad del producto o sistema evaluado.


[Bloque 150: #a1-27]

Artculo 115. Alcance con relacin a las normas y niveles de evaluacin.

La certificacin incluir en su alcance los criterios, mtodos y normas de evaluacin empleados en la evaluacin del producto o sistema, as como el nivel que se haya alcanzado, de los definidos en cada norma, y la relacin de interpretaciones e instrucciones tcnicas aplicadas.


[Bloque 151: #s3-5]

Seccin 3. Criterios de certificacin


[Bloque 152: #a1-28]

Artculo 116. Informe tcnico de evaluacin.

La principal prueba en la instruccin del procedimiento de certificacin es el Informe Tcnico de Evaluacin, emitido por el laboratorio acreditado y realizado cumpliendo con el procedimiento de certificacin, establecido en la siguiente Seccin.


[Bloque 153: #a1-29]

Artculo 117. Criterios complementarios.

1. En el ejercicio de su funcin evaluadora, el Organismo de Certificacin podr, a su criterio, realizar anlisis, pruebas, inspecciones y auditoras al laboratorio, al producto a evaluar y al solicitante de la certificacin, en los aspectos y requisitos de garanta de seguridad que les sean de aplicacin segn los criterios y mtodos de evaluacin utilizados.

2. En particular, ser atribucin indelegable del Centro Criptolgico Nacional el anlisis, valoracin y acreditacin de los algoritmos y medios de cifra que utilice el producto a evaluar.

3. Igualmente, el seguimiento de la evaluacin permitir, al Organismo de Certificacin, determinar el ajuste de la evaluacin a los procedimientos derivados de las normas aplicables y, por tanto, el ajuste del Informe de Evaluacin a las mismas.


[Bloque 154: #s4-4]

Seccin 4. Procedimiento de certificacin


[Bloque 155: #a1-30]

Artculo 118. Proceso de certificacin.

Aquellos interesados que deseen certificar la seguridad de un producto o sistema de Tecnologas de la Informacin, debern someterse al proceso establecido en la presente Seccin.


[Bloque 156: #a1-31]

Artculo 119. Solicitud de certificacin.

1. La solicitud de certificacin deber remitirse al Director del Organismo de Certificacin incluyendo en la misma, como mnimo, la siguiente informacin debidamente documentada:

a) Personalidad jurdica de la entidad solicitante, con su nmero de identificacin fiscal.

b) Nombre del responsable del solicitante y de la persona, o personas, con capacidad suficiente para obrar, que sern signatarias y, por tanto, responsables de la veracidad de las evidencias y pruebas documentales aportadas.

c) Declaracin responsable de conocer y aceptar los trminos y requisitos aplicables a la certificacin solicitada, incluyendo los derechos de acceso, publicacin y limitacin de la informacin de las evaluaciones por parte del Organismo de Certificacin.

d) Identificacin del laboratorio, acreditado por el Organismo de Certificacin, que realizar la evaluacin tcnica de la seguridad del producto o sistema cuya certificacin se solicita.

e) Relacin y ubicacin de las dependencias, delegaciones e instalaciones donde se realiza la actividad de desarrollo o integracin del producto a evaluar.

f) Alcance de la certificacin solicitada, indicando el producto a evaluar y su versin, as como las normas y niveles de evaluacin aplicables.

g) Justificante del pago de las tasas de certificacin en vigor.

Esta solicitud podr presentarse en cualquiera de los lugares previstos en el artculo 38.4 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

2. Junto a la solicitud de certificacin, se remitir al Organismo de Certificacin la declaracin de seguridad, o perfil de proteccin en su caso, del producto a evaluar y, cuando esto sea posible, una unidad, copia o ejemplar de este ltimo.

3. Paralelamente a la solicitud, el solicitante gestionar con el laboratorio acreditado elegido, el plan detallado de la evaluacin, as como el contrato o documento similar que regule las relaciones entre el laboratorio y el solicitante.


[Bloque 157: #a1-32]

Artculo 120. Modelo de solicitud de certificacin.

Las solicitudes de certificacin de la seguridad de productos o sistemas de Tecnologas de la Informacin se presentarn en los impresos establecidos al efecto, que estarn publicados en la direccin electrnica del Organismo de Certificacin (http://www.oc.ccn.cni.es).


[Bloque 158: #a1-33]

Artculo 121. Subsanacin y mejora de la solicitud de certificacin.

1. A la recepcin de la solicitud de certificacin, el Organismo de Certificacin realizar una comprobacin inicial de la informacin en ella contenida.

2. En caso de ser necesaria la subsanacin o mejora de la solicitud de certificacin, se estar a lo dispuesto en el artculo 71 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

3. Se podr, igualmente, requerir al solicitante el suministro de unidades, copias o ejemplares adicionales del producto a evaluar, conforme a la naturaleza del mismo y a las necesidades derivadas de los criterios complementarios de certificacin indicados en el artculo 117.

4. Ser obligacin del solicitante mantener actualizados el material y la documentacin incluidos en la solicitud de certificacin, en poder del Organismo de Certificacin, en el caso de que alguno de stos se modifique a resultas del proceso de evaluacin correspondiente.


[Bloque 159: #a1-34]

Artculo 122. Notificacin al solicitante.

El Organismo de Certificacin notificar al solicitante el inicio del procedimiento administrativo de certificacin, incluyendo en dicha notificacin el nombre y los datos de contacto del responsable del procedimiento de certificacin.


[Bloque 160: #a1-35]

Artculo 123. Aprobacin del comienzo de la evaluacin.

1. El laboratorio solicitar, al Organismo de Certificacin, la autorizacin para comenzar la actividad de evaluacin. La solicitud ir acompaada de:

a) El plan detallado de la evaluacin, con las fases, tareas y unidades de trabajo correspondientes, la asignacin e identificacin del personal afecto a la evaluacin y su responsabilidad en la misma.

b) La copia del contrato o documento similar que regule las relaciones entre el laboratorio y el solicitante de la certificacin, en las que el laboratorio incluir, obligatoriamente, las clusulas necesarias para el cumplimiento de los requisitos de seguridad para la acreditacin del laboratorio.

2. Para la resolucin de la solicitud de autorizacin, se convocar una reunin con el laboratorio a la que asistir el personal del laboratorio asignado a la evaluacin y el equipo de certificacin, designado por el Organismo de Certificacin.

En esta reunin se harn las presentaciones oportunas y, por parte del laboratorio, se expondr el plan y calendario de evaluacin, as como los aspectos tcnicos ms relevantes de la misma.

3. El laboratorio deber demostrar la adecuacin y suficiencia de los medios materiales y humanos asignados a la evaluacin, en particular, en lo referente a la formacin del personal evaluador en los detalles del alcance de la certificacin.

4. El Organismo de Certificacin resolver sobre la autorizacin del comienzo de la actividad de evaluacin, incluyendo la designacin del responsable del procedimiento de certificacin.


[Bloque 161: #a1-36]

Artculo 124. Instruccin de la evaluacin.

1. La instruccin de la evaluacin comenzar con el desarrollo de los trabajos de evaluacin por parte del laboratorio, durante el cual, el Organismo de Certificacin realizar el seguimiento de la actividad de evaluacin del producto o sistema cuya certificacin se ha solicitado.

Para la realizacin de este seguimiento, el Organismo de Certificacin recibir, del laboratorio, la informacin de la evaluacin indicada en la Seccin 3. del Captulo III, a la vista de la cual convocar las reuniones de seguimiento que considere oportunas. En particular, ser de especial atencin el ajuste de la ejecucin de la evaluacin al correspondiente plan de evaluacin.

2. La instruccin de la evaluacin terminar con el Informe Tcnico de Evaluacin, que remitir el laboratorio al Organismo de Certificacin, en los siguientes casos:

a) Al trmino del plazo de evaluacin.

b) Por solicitud del Organismo de Certificacin. Dicha solicitud se podr cursar cuando se haya superado, sin subsanar, el plazo de tres meses de cualquier observacin o disconformidad, notificada al solicitante de la certificacin, o a los tres meses de retraso no justificado del plan de evaluacin.


[Bloque 162: #a1-37]

Artculo 125. Informe de certificacin.

El Organismo de Certificacin, en un plazo no superior a treinta das contados desde la fecha de la recepcin del Informe Tcnico de Evaluacin, elaborar un informe con los resultados y conclusiones de la evaluacin, as como de la actividad de seguimiento, que ser enviado al solicitante de la certificacin para su conocimiento.


[Bloque 163: #a1-38]

Artculo 126. Audiencia previa a la resolucin.

1. Terminada la instruccin de la evaluacin, se pondr de manifiesto al solicitante de la certificacin, convocndole a una reunin de audiencia previa a la resolucin.

2. En dicha reunin, el Organismo de Certificacin indicar la naturaleza, gravedad y consecuencias de las observaciones y disconformidades, identificadas durante la instruccin del expediente de certificacin, si las hubiere, con las implicaciones de las mismas en la resolucin de la solicitud de certificacin.

3. El solicitante de la certificacin, en un plazo no inferior a diez das ni superior a quince, podr alegar y presentar los documentos y alegaciones que estime pertinentes.

4. Si antes del vencimiento del plazo, el solicitante manifiesta su decisin de no efectuar alegaciones ni aportar nuevos documentos o justificaciones, se tendr por realizado el trmite.


[Bloque 164: #a1-39]

Artculo 127. Resolucin de la solicitud de certificacin.

1. La resolucin de la solicitud de certificacin se dictar de acuerdo con lo indicado en este artculo, y en los plazos establecidos en el artculo 137, del presente Reglamento.

Esta resolucin, de acuerdo con lo previsto en el artculo 116 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, podr ser objeto de recurso potestativo de reposicin ante el Director del Organismo de Certificacin, cuya resolucin pone fin a la va administrativa, o ser impugnada directamente ante el orden jurisdiccional contencioso-administrativo.

2. Las resoluciones de desestimacin sern motivadas. La resolucin de certificacin contendr, adicionalmente, los siguientes extremos:

a) Alcance de la certificacin concedida.

b) La fecha de la entrada en vigor de la certificacin y referencia a su vigencia.


[Bloque 165: #a1-40]

Artculo 128. Vigencia de la certificacin.

La certificacin se conceder por plazo indefinido, salvo cambios en las condiciones que motivaron su concesin, incumplimiento de dichas condiciones o renuncia expresa del solicitante.

Para el mantenimiento de la certificacin, el Organismo de Certificacin realizar, de oficio, las necesarias revisiones de su vigencia y actividades de vigilancia del uso del certificado, conforme a lo establecido en el artculo 129 siguiente.


[Bloque 166: #a1-41]

Artculo 129. Revisiones de vigencia.

Cada dos aos se realizar una revisin de la vigencia de cada certificado emitido. El objeto de dicha revisin es la comprobacin de que el entorno de uso del producto certificado no ha sufrido variaciones, tales como cambios tecnolgicos, aparicin de vulnerabilidades o cualquier otro aspecto que pueda invalidar las hiptesis, anlisis de riesgos y polticas de seguridad reflejadas en dicho entorno de uso.

La revisin de la vigencia de los certificados podr dar lugar a la anulacin del certificado, mediante resolucin expresa del Director del Organismo de Certificacin.


[Bloque 167: #s5-3]

Seccin 5. Seguimiento del uso de los certificados


[Bloque 168: #a1-42]

Artculo 130. Seguimiento continuo del uso del certificado.

El Organismo de Certificacin realizar un seguimiento continuo del uso de los certificados emitidos, mediante el anlisis y registro de toda informacin comercial o tcnica de la que tenga conocimiento y que haga referencia a la certificacin emitida.

El incumplimiento de las condiciones de uso del certificado, reguladas en el Captulo VII, podr dar lugar a la anulacin del certificado, mediante resolucin expresa del Director del Organismo de Certificacin.


[Bloque 169: #a1-43]

Artculo 131. Ampliacin del alcance de la certificacin.

Cuando se desee ampliar el alcance de la certificacin de un producto o sistema, el interesado solicitar formalmente dicha ampliacin. Para ello deber utilizar el formulario de solicitud correspondiente. Se aplicar el procedimiento de certificacin, indicado en el Captulo V, adaptado, segn proceda, en funcin del volumen y carcter de dicha ampliacin.


[Bloque 170: #a1-44]

Artculo 132. Notificacin de cambios.

El solicitante de la certificacin deber comunicar al Organismo de Certificacin los cambios que identifique, relativos al entorno de seguridad del producto certificado, as como cualquier otro cambio fundamental que se produjese en las condiciones iniciales en que se concedi la certificacin.


[Bloque 171: #a1-45]

Artculo 133. Publicidad de las certificaciones.

El Organismo de Certificacin podr hacer pblica la relacin de productos en proceso de evaluacin y la de productos certificados, incluyendo en esta relacin la declaracin de seguridad de los mismos, as como informacin derivada del informe de certificacin establecido en el artculo 125.


[Bloque 172: #s6-3]

Seccin 6. Formulacin de observaciones, plazos y recursos


[Bloque 173: #a1-46]

Artculo 134. Observaciones y retirada de la certificacin.

El incumplimiento, por un solicitante, de las obligaciones derivadas de la certificacin dar lugar, en funcin de la gravedad de la infraccin, a la formulacin de observaciones o a la retirada de la certificacin.


[Bloque 174: #a1-47]

Artculo 135. Actuaciones irregulares e incumplimientos.

Las actuaciones irregulares y los incumplimientos leves, entendindose por tales los que no desvirten las restricciones y obligaciones derivadas del uso de la condicin de producto certificado, sern objeto de observacin, que se notificar, de oficio, al solicitante de la certificacin.

El solicitante de la certificacin deber subsanar la causa de tales observaciones en un plazo de diez das.


[Bloque 175: #a1-48]

Artculo 136. Retirada de la certificacin.

1. La disconformidad sostenida, en relacin con las restricciones y obligaciones del uso de la condicin de producto certificado o con los requisitos para la certificacin, as como la falta de subsanacin de las observaciones recibidas, darn lugar a la retirada, total o parcial, de la certificacin a la que se refiera.

2. La resolucin de retirada de certificacin se dictar, de oficio, por el Organismo de Certificacin.

3. La retirada de la certificacin obligar al solicitante al cese inmediato del uso de la condicin de producto certificado, en todos los documentos o informacin en los que la haga manifiesta, y a la retirada del mercado de los productos as etiquetados.


[Bloque 176: #a1-49]

Artculo 137. Plazos y actos presuntos.

1. El plazo para resolver la solicitud de certificacin de productos, y notificar la correspondiente resolucin, ser de dos meses, contados a partir de la fecha de recepcin del Informe Tcnico de Evaluacin del laboratorio.

Este mismo plazo se aplicar a las solicitudes de ampliacin del alcance de una certificacin previa.

2. El plazo para resolver la solicitud de comienzo de evaluacin, y notificar la correspondiente resolucin, ser de un mes.

3. A los efectos previstos en el artculo 43 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo comn, las solicitudes de certificacin se entendern estimadas de no recaer resolucin expresa en los plazos establecidos en cada caso, con las salvedades y excepciones indicadas en dicho precepto.


[Bloque 177: #a1-50]

Artculo 138. Recursos.

La actuacin del Organismo de Certificacin se atendr a los principios generales de actuacin recogidos en el artculo 3 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

De acuerdo con lo previsto en los artculos 116 y 117 de la citada Ley, y en los artculos 10, 14 y 46 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdiccin Contencioso-Administrativa, frente a la actuacin del Organismo de Certificacin, en materia de certificacin, los interesados podrn interponer:

a) En el plazo de un mes, recurso potestativo de reposicin, ante el Director del dicho organismo, cuya resolucin pone fin a la va administrativa, o

b) Directamente, en el plazo de dos meses, recurso contencioso-administrativo, ante la Sala de dicha ndole, del Tribunal Superior de Justicia de Madrid.


[Bloque 178: #cv-2]

CAPTULO VI

Criterios y metodologas de evaluacin


[Bloque 179: #a1-51]

Artculo 139. Estado del arte.

El Organismo de Certificacin certificar la seguridad de los productos y sistemas de Tecnologas de la Informacin conforme al estado del arte ms avanzado en materia de evaluacin de la seguridad. Dicho estado del arte se ha de combinar con el debido reconocimiento de los certificados emitidos.

A tal fin, el Organismo de Certificacin exigir a los laboratorios acreditados la realizacin de su actividad conforme a criterios, mtodos y normas bien establecidos y reconocidos. Tales normas se podrn ver complementadas por interpretaciones o instrucciones tcnicas emitidas por el Organismo de Certificacin.


[Bloque 180: #a1-52]

Artculo 140. Normas de evaluacin.

1. El Organismo de Certificacin, a los efectos de su utilizacin y cumplimiento por parte de los laboratorios, elevar a carcter de norma cualquier documento de orden tcnico que sea de su inters, mediante la publicacin del mismo en su direccin electrnica (http://www.oc.ccn.cni.es) y su comunicacin a los laboratorios acreditados.

2. La publicacin de una nueva norma, o la actualizacin de una existente, y la determinacin de su entrada en vigor, se realizarn previa presentacin a los laboratorios acreditados de las nuevas normas y de sus diferencias tcnicas con respecto a las normas vigentes, a los efectos que pudieran derivarse sobre las acreditaciones en vigor.

3. Las normas relacionadas en el artculo 141 siguiente, se entienden de aplicacin en su ltima versin disponible al comienzo de cada solicitud de certificacin. No obstante lo anterior, se podr consultar la relacin de normas, criterios, metodologas y requisitos, as como su aplicabilidad, en la direccin electrnica del Organismo de Certificacin (http://www.oc.ccn.cni.es).


[Bloque 181: #a1-53]

Artculo 141. Criterios de evaluacin.

Los criterios de evaluacin sern los recogidos en las siguientes normas:

a) Common Criteria for Information Technology Security Evaluation (abreviado, CC).

b) ISO/IEC 15408, Evaluation Criteria for IT Security.

c) Information Technology Security Evaluation Criteria (abreviado, ITSEC). Office for Official Publications of the European Communities.


[Bloque 182: #a1-54]

Artculo 142. Metodologas de evaluacin.

Las metodologas de evaluacin sern las recogidas en las siguientes normas:

a) Common Methodology for Information Technology Security Evaluation (abreviado, CEM).

b) ISO/IEC 18045, Methodology for IT Security Evaluation.

c) Information Technology Security Evaluation Manual (abreviado, ITSEM). Office for Official Publications of the European Communities.


[Bloque 183: #a1-55]

Artculo 143. Requisitos de seguridad especficos.

Los requisitos de seguridad especficos sern los recogidos en la norma ISO/IEC 19790, Requisitos de Seguridad para Mdulos Criptogrficos.


[Bloque 184: #a1-56]

Artculo 144. Interpretaciones e instrucciones tcnicas.

Se podr consultar la relacin de interpretaciones e instrucciones tcnicas en vigor, de aplicacin en este Esquema, en la direccin electrnica del Organismo de Certificacin (http://www.oc.ccn.cni.es), agrupadas por la norma principal a la que afectan y sus versiones aplicables.


[Bloque 185: #cv-3]

CAPTULO VII

Uso de la condicin de laboratorio acreditado y de producto certificado


[Bloque 186: #a1-57]

Artculo 145. Referencia a la condicin de laboratorio acreditado.

La referencia a la condicin de laboratorio acreditado, o el uso del distintivo correspondiente, en los informes emitidos como resultado de las actividades de evaluacin amparadas por la acreditacin, es el medio por el cual los laboratorios acreditados declaran pblicamente el cumplimiento de todos los requisitos de acreditacin en la realizacin de dichas evaluaciones.

Cualquier uso que no est expresamente permitido en este Reglamento deber ser consultado al Organismo de Certificacin.


[Bloque 187: #a1-58]

Artculo 146. Informes derivados de la evaluacin.

1. La referencia a la condicin de laboratorio acreditado debe ser utilizada en todos los informes emitidos como resultado de las actividades de evaluacin, amparadas por la acreditacin, como garanta del cumplimiento de los requisitos de dicha acreditacin.

2. Cualquier informe o certificado que no incluya la referencia a la condicin de laboratorio acreditado, no garantiza el cumplimiento de los requisitos de acreditacin y, por tanto, no ser aceptado por el Organismo de Certificacin, como parte de una evaluacin acreditada, ni podr beneficiarse del reconocimiento de los certificados emitidos por el Organismo de Certificacin.

3. En el caso de informes que incluyan, tanto datos amparados por la acreditacin, como datos no amparados por la misma, se seguirn las siguientes reglas:

a) Se sealarn los datos no amparados por la acreditacin mediante la utilizacin de un asterisco o similar. Asimismo, se deber incluir en un lugar visible la siguiente leyenda: Los ensayos/inspecciones marcados no estn incluidos en el alcance de acreditacin.

b) Cuando un informe de evaluacin contenga interpretaciones, opiniones o cualquier otra informacin relativa a investigacin, que no sea parte de la metodologa de ensayo seguida en esa evaluacin, se deber incluir la siguiente advertencia: Las opiniones, interpretaciones, etc., que se indican a continuacin, estn fuera del alcance de la acreditacin del Organismo de Certificacin.


[Bloque 188: #a1-59]

Artculo 147. Otros documentos de laboratorio acreditado.

En documentos de tipo publicitario, folletos o anuncios relacionados con la actividad de evaluacin acreditada, o en material de papelera (papel de cartas, impresos tales como facturas o pedidos, sobres, etc.), los laboratorios podrn usar la referencia a la condicin de acreditado con las restricciones que se mencionan en el artculo 148.


[Bloque 189: #a1-60]

Artculo 148. Restricciones al uso de la condicin de laboratorio acreditado.

La referencia a la condicin de laboratorio acreditado no se debe utilizar en los siguientes supuestos:

a) En informes o certificados que no contengan ningn dato obtenido de actividades acreditadas.

b) En documentos en los que no se identifique la organizacin a la que ha sido concedida la acreditacin.

c) De forma que pueda sugerir que el Organismo de Certificacin aprueba, acepta o, de alguna manera, se responsabiliza de los resultados contenidos en un informe o certificado (por ejemplo, mediante el uso de sellos con la referencia al Organismo de Certificacin).

d) Cuando el laboratorio haya perdido su condicin de acreditado, ya sea de forma voluntaria o por retirada de la acreditacin.

e) En las tarjetas de visita del personal de los laboratorios acreditados.

f) En cualquier situacin que pueda dar lugar a una interpretacin incorrecta de la condicin del laboratorio acreditado, o que pueda inducir a considerar actividades no acreditadas como cubiertas por la acreditacin. Concretamente:

1. Cuando se use en impresos (ofertas, cartas, presentaciones comerciales, material publicitario, pginas Web, etc.), que hagan referencia a actividades no acreditadas, se deber incluir una mencin, con el mismo tamao de letra que el usado en el cuerpo del documento en cuestin, en la que se aclare este hecho (por ejemplo: Las actividades recogidas en el presente escrito no estn incluidas en el alcance de la acreditacin del Organismo de Certificacin).

2. Cuando se use en impresos (ofertas, cartas, presentaciones comerciales, material publicitario, etc.), que incluyan tanto actividades acreditadas como no acreditadas, su uso deber ser tal, que permita al lector distinguir aquellas actividades que estn acreditadas de las que no lo estn.

3. Cuando un laboratorio est compuesto por varios emplazamientos distintos, y no todos ellos hayan sido acreditados, solamente aquellos que s lo hayan sido podrn hacer uso de la referencia a la condicin de acreditado. Cuando se emitan documentos comunes a todo el laboratorio se deber incluir una clusula que indique esta condicin (por ejemplo: Se encuentra disponible la lista de emplazamientos acreditados y sus alcances).

4. Cuando una organizacin acreditada pertenezca a otra mayor, no deber existir confusin sobre cual de ellas est acreditada.

g) En cualquier otro supuesto que resulte abusivo, a juicio del Organismo de Certificacin.


[Bloque 190: #a1-61]

Artculo 149. Uso de la condicin de producto certificado.

El uso del distintivo especificado en el artculo 155, o la referencia a la condicin de producto certificado, es el medio por el cual los solicitantes de la certificacin declaran, pblicamente, el cumplimiento de todos los requisitos exigibles para dicha certificacin, la conformidad con determinados perfiles de proteccin, en su caso, y el cumplimiento de las disposiciones legales aplicables.

Cualquier uso del certificado que no est expresamente permitido en este Reglamento, deber ser consultado al Organismo de Certificacin.


[Bloque 191: #a1-62]

Artculo 150. Producto y documentacin.

La referencia a la condicin de producto certificado debe ser utilizada en toda la documentacin de administracin y uso de dicho producto, y que se haya remitido como evidencia de la evaluacin.

La referencia a la condicin de producto certificado se incluir tambin en el propio producto, siguiendo las reglas de marcado indicadas en el artculo 155.


[Bloque 192: #a1-63]

Artculo 151. Otros documentos de producto certificado.

En documentos de tipo publicitario, folletos o anuncios relacionados con el producto certificado, as como en los contratos pblicos y privados, licitaciones y documentacin preparatoria, el titular de la certificacin podr usar la referencia a la condicin de producto certificado con las restricciones que se mencionan en el artculo 152.


[Bloque 193: #a1-64]

Artculo 152. Restricciones al uso de la condicin de producto certificado.

La referencia a la condicin de producto certificado no debe utilizarse en los siguientes supuestos:

a) Sin una referencia completa e inequvoca del alcance del certificado. Como mnimo se citar:

1. Nombre y versin del producto evaluado.

2. La norma utilizada para la evaluacin y el nivel alcanzado en la misma (por ejemplo: ISO/IEC 15408 EAL2).

3. Referencia a la declaracin de seguridad del producto certificado, indicando el procedimiento para obtener una copia de la misma.

b) De forma que pueda sugerir que el certificado se aplica a todo un sistema o producto, cuando el producto evaluado es slo una parte del mismo.

c) De forma que se sugieran propiedades de seguridad del producto certificado no reflejadas en su declaracin de seguridad.

d) Cuando el certificado haya sido anulado por cualquier motivo.

e) En cualquier otro uso que resulte abusivo a juicio del Organismo de Certificacin.


[Bloque 194: #a1-65]

Artculo 153. Otras obligaciones de la condicin de producto certificado.

La referencia a la condicin de producto certificado obligar al solicitante de la certificacin a:

a) Mantener registro de todas las reclamaciones presentadas al solicitante, relativas a la seguridad del producto certificado, y a tener esta informacin disponible para el Organismo de Certificacin.

b) Tomar las acciones correctoras apropiadas con respecto a tales reclamaciones y a cualquier deficiencia encontrada en los productos, que afecten la conformidad con los requisitos para la certificacin.

c) Documentar las acciones tomadas.


[Bloque 195: #a1-66]

Artculo 154. Distintivo de laboratorio acreditado.

La condicin de laboratorio acreditado puede complementarse mediante el uso del distintivo descrito a continuacin (figura 2):

a) Color de fondo, diseo y detalles del escudo y tipo de letra, conforme a lo dispuesto en el Real Decreto 1465/1999, de 17 de septiembre, que establece los criterios de imagen institucional y regula la produccin documental y el material impreso de la Administracin General del Estado, y en la Orden de 27 de septiembre de 1999 por la que se aprueba el Manual de Imagen Institucional de la Administracin General del Estado y se dictan normas de desarrollo del Real Decreto 1465/1999 citado (consultar pgina web http://www.060.es).

b) Crculo exterior de 180 unidades de medida de dimetro. Tamao de letra nueve veces inferior al radio, esto es, de 20 unidades de medida.

c) Leyenda exterior, ESQUEMA DE EVALUACIN Y CERTIFICACIN DE LA SEGURIDAD TI, sobre un arco de 270 grados, 140 unidades de medida de radio, y ngulo inicial de 135 grados, sentido negativo del texto.

d) Leyenda interior, LABORATORIO ACREDITADO, sobre un arco de radio de 100 unidades de medida, iguales ngulos y recorrido que el exterior.

e) Escudo de Espaa equidistante en sus aristas a la leyenda interior.

f) Si se reduce o ampla el distintivo, debern respetarse las proporciones de este modelo.

g) La altura del distintivo no ser inferior a 15 mm.

2

Figura 2. Distintivo de laboratorio acreditado


[Bloque 196: #a1-67]

Artculo 155. Distintivo de producto certificado.

Los productos certificados debern llevar un distintivo conforme a lo siguiente (figura 3):

a) Color de fondo, diseo y detalles del escudo y tipo de letra, conforme a lo dispuesto en el Real Decreto 1465/1999, de 17 de septiembre, que establece los criterios de imagen institucional y regula la produccin documental y el material impreso de la Administracin General del Estado, y en la Orden de 27 de septiembre de 1999 por la que se aprueba el Manual de Imagen Institucional de la Administracin General del Estado y se dictan normas de desarrollo del Real Decreto 1465/1999 citado (consultar pgina web http://www.060.es).

b) Crculo exterior de 180 unidades de medida de dimetro. Tamao de letra nueve veces inferior al radio, esto es, de 20 unidades de medida.

c) Leyenda exterior, ESQUEMA DE EVALUACIN Y CERTIFICACIN DE LA SEGURIDAD TI, sobre un arco de 270 grados, 140 unidades de medida de radio, y ngulo inicial de 135 grados, sentido negativo del texto.

d) Leyenda interior, PRODUCTO CERTIFICADO, sobre un arco de radio de 100 unidades de medida, iguales ngulos y recorrido que el exterior.

e) Escudo de Espaa equidistante en sus aristas a la leyenda interior.

f) Si se reduce o ampla el distintivo, debern respetarse las proporciones de este modelo.

g) La altura del distintivo no ser inferior a 15 mm, excepto cuando esto no sea posible a causa del tipo de producto.

3

Figura 2. Distintivo de producto certificado con indicacin del alcance

h) El distintivo deber colocarse en el producto o en su placa informativa. Adems, deber colocarse en el embalaje, si existe, y en la documentacin que le acompae. En productos software, se mostrar el distintivo donde se haga referencia a la versin particular del producto.

i) El distintivo deber colocarse de forma visible, legible e indeleble.

j) Se incluir un elemento destinado a informar al usuario sobre el alcance de la certificacin (norma y nivel aplicados en la evaluacin).

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid