¿QUÉ ES UNA CERTIFICACIÓN ISO/IEC 19790?
Se trata de la evaluación de un módulo criptográfico de acuerdo al estándar ISO/IEC 19790:2012 que va a ser utilizado para la protección de información sensible en un sistema de comunicaciones o sistemas electrónicos. Para ello se definen cuatro niveles de certificación SL1, SL2, SL3 y SL4 para los que el estándar especifica los requisitos relativos a 11 áreas de seguridad.
Los niveles de seguridad son los siguientes:
Nivel de Seguridad 1 (SL1)
Es el nivel más básico de seguridad. Se especifican los requisitos básicos para un módulo criptográfico (al menos una función de seguridad aprobada). Permite el uso de autenticación implícita y explicita y no se requieren mecanismos específicos de seguridad física.
Nivel de Seguridad 2 (SL2)
Mejora los mecanismos de seguridad física añadiendo requisito de evidencia de tamper. Requiere autenticación basada en roles para controlar el acceso de los operadores a sus servicios asociados. Se corresponde con el nivel más alto para un módulo Software ya que a partir de un nivel 3, los requisitos de seguridad física son obligatorios.
Nivel de Seguridad 3 (SL3)
Define requisitos adicionales para mitigar el acceso no autorizado a los SSPs manejados por el módulo. Requisitos avanzados de seguridad física. Requiere autenticación basada en identidades para controlar el acceso de los operadores a sus servicios asociados. Requiere medidas de seguridad EFP/EFT, así como el uso de un sistema de gestión de configuración automático para el control de proceso de fabricación del TOE.
Nivel de Seguridad 4 (SL4)
Además de lo requerido por SL3, requiere mecanismos de detección y respuesta ante un acceso físico no autorizado. Requiere autenticación multi-factor para controlar el acceso de los operadores a sus servicios asociados. Requiere medidas de seguridad EFP de forma obligatoria.
DOCUMENTACIÓN Y HERRRAMIENTAS REQUERIDAS EN EL PROCESO DE EVALUACIÓN ISO/IEC 19790
Se requiere como parte de la documentación necesaria para llevar a cabo el proceso de evaluación de acuerdo a ISO/IEC 19790:
- Security Policy (SP): Es el documento principal donde el fabricante debe proporcionar la descripción del módulo criptográfico, proporcionando toda la información requerida por el estándar para cumplir con los requisitos del mismo.
- Functional Specification (FS): Se trata de una descripción informal del módulo criptográfico donde se debe asociar la funcionalidad criptográfica del módulo definida en la SP con las interfaces físicas y lógicas del mismo, indicando como poder llevar a cabo la ejecución de cada una de ellas
- Finite State Model (FSM): Documento que define la modelo de estados finito que evidencia que el módulo critpográfico se implementa de acuerdo a los requisitos del estándar incluyendo todos los estados requeridos por la misma.
- Vendor Testing (VT): El vendedor debe realizar y documentar los tests llevados a cabo sobre el TOE para verificar la correcta ejecución de las funcionalidades criptográficas implementadas en el módulo que se indican en la SP conforme a lo que indica la FS.
- Vendor Evidence (VE): Este documento recoge cada uno de los requisitos documentales y de implementación a cumplir por el TOE y el fabricante durante el proceso de certificación en base a lo establecido por el estándar ISO/IEC 24759.
- Configuration Item List (CIL): Debe recoger la lista de elementos documentales y del propio TOE que se encuentran bajo evaluación y que están gestionados por el sistema de gestión de configuración del fabricante.
- Vendor Questionnaire (VQ): Como parte de la evaluación el fabricante deberá cumplientar el VQ para dar evidencia de los algoritmos implementados de forma que se pueda llevar a cabo la certificación de los mismos bajo una certificación MEMeC.
- Herramienta para Pruebas de Conformidad (Test Harness): Se compone del conjunto de herramientas software/firmware que debe ser desarrollada íntegramente por el vendedor de forma que permita al laboratorio ejecutar los vectores de test invocando a la impletación criptográfioca del TOE como se requiere en una certificación MEMeC.
PROCESO DE CERTIFICACIÓN ISO/IEC 19790
Para certificar un producto criptográfico conforme a la MEMeC, el producto debe ser evaluado por un laboratorio autorizado por ENAC y CCN que actúe como tercera parte fiable y técnicamente capacitada.
El proceso de certificación consta de dos partes. La primera de ellas la propia certificación ISO/IEC 19790 donde se llevará a cabo la la evaluación con respecto a los requisitos de la misma y por otro lado una certificación MEMec CL1 necesaria para poder obtener el certificado de los mecanismos criptográficos implementados por el TOE de acuerdo a los requisitos establecidos por el Centro Criptológico Nacional (CCN).
ISO/IEC 19790
- Evaluación del módulo criptográfico y la documentación asociada al mismo.
ISO/IEC 19790 - Certificación de Algoritmos (MEMeC CL1)
- Certificación de Mecanismos Criptográficos implementados por el TOE de acuerdo al Vendor Questionnaire asociado.
El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que los mecanismos criptográficos de un producto se ajustan a los requisitos aplicables e implementa funciones criptográficas autorizadas.
Una vez el fabricante del producto criptográfico entrega al laboratorio la documentación requerida para realizar la evaluación, el laboratorio realizará las pruebas necesarias para verificar si el producto cumple con los requisitos de la ISO/IEC 19790 y MEMeC CL1.
Los resultados de la evaluación realizada por el laboratorio se plasman en un Informe Técnico de Evaluación (ETR, Evaluation Technical Report). El CCN validará este informe, y, en caso de que durante la evaluación no se hayan encontrado fallos de implementación o no conformidades, se certifica que el producto ha sido evaluado satisfactoriamente conforme a ISO/IEC 19790 y MEMeC CL1.
Ellos ya han confiado en nosotros. ¡Hablemos!
¿QUÉ OFRECEMOS?
En jtsec, somos evaluadores expertos en la norma ISO/IEC 19790 y conocemos cada detalle del proceso de certificación. Si buscas evitar costes innecesarios y asegurar que tu producto cumple con los estándares desde el primer momento, contáctanos lo antes posible y consulta por nuestro servicio especializado de consultoría ISO/IEC 19790.
-
GAP ANÁLISIS
¿Tienes dudas sobre si tu producto puede obtener la certificación ISO/IEC 19790 ? Nuestro GAP Análisis es la herramienta ideal para despejarlas. Nuestros expertos evaluarán tu producto a fondo, identificando cualquier deficiencia que pueda suponer el incumplimiento de la norma. Este análisis detallado te permitirá comprender con precisión el proceso de evaluación, saber lo que necesitas para cumplir con la norma y enfocar tus esfuerzos en las áreas críticas que requieren atención.
-
CONSULTORÍA
Si tu módulo criptográfico necesita ser validado conforme a la ISO/IEC 19790, en jtsec te ofrecemos un soporte integral durante todo el proceso. Sabemos que la documentación exigida por la norma puede ser compleja, por lo que te ayudamos a redactar los documentos necesarios, como la Security Policy, Functional Specification, Finite State Model, Vendor Testing, Vendor Evidence, y la Configuration Item List.
Además, puedes contratar servicios adicionales de consultoría para desarrollar el Vendor Questionnaire, esencial para la certificación de mecanismos criptográficos conforme a la evaluación MEMeC CL1. Con nuestro equipo a tu lado, podrás navegar con confianza el proceso de certificación.
-
FORMACIÓN
¿Tu equipo necesita mejorar sus conocimientos sobre la certificación ISO/IEC 19790 ? Ofrecemos formación personalizada, adaptada a las necesidades específicas de tu empresa. Hemos impartido cursos para laboratorios, desarrolladores y diferentes esquemas, asegurando que tu equipo esté plenamente capacitado para afrontar el proceso de certificación con éxito. Después de nuestro entrenamiento, estarás totalmente preparado para superar el proceso de evaluación con garantías.