Evaluación ISO/IEC 19790

  • Expertos de primer nivel.
  • Ahorre tiempo y dinero.
  • 14 años experiencia acreditada.
  • Entrega en plazo.
  • Gran equipo especializado en criptografía.

Haga clic aquí para encontrar nuestra charla de presentación de la ISO/IEC 19790 en uno de los eventos de ciberseguridad más relevantes en el panorama nacional.
Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.

¿QUÉ ES UNA CERTIFICACIÓN ISO/IEC 19790?

Se trata de la evaluación de un módulo criptográfico de acuerdo al estándar ISO/IEC 19790:2012 que va a ser utilizado para la protección de información sensible en un sistema de comunicaciones o sistemas electrónicos. Para ello se definen cuatro niveles de certificación SL1, SL2, SL3 y SL4 para los que el estándar especifica los requisitos relativos a 11 áreas de seguridad.

Los niveles de seguridad son los siguientes:

Nivel de Seguridad 1 (SL1)

Es el nivel más básico de seguridad. Se especifican los requisitos básicos para un módulo criptográfico (al menos una función de seguridad aprobada). Permite el uso de autenticación implícita y explicita y no se requieren mecanismos específicos de seguridad física.

Nivel de Seguridad 2 (SL2)

Mejora los mecanismos de seguridad física añadiendo requisito de evidencia de tamper. Requiere autenticación basada en roles para controlar el acceso de los operadores a sus servicios asociados. Se corresponde con el nivel más alto para un módulo Software ya que a partir de un nivel 3, los requisitos de seguridad física son obligatorios.

Nivel de Seguridad 3 (SL3)

Define requisitos adicionales para mitigar el acceso no autorizado a los SSPs manejados por el módulo. Requisitos avanzados de seguridad física. Requiere autenticación basada en identidades para controlar el acceso de los operadores a sus servicios asociados. Requiere medidas de seguridad EFP/EFT, así como el uso de un sistema de gestión de configuración automático para el control de proceso de fabricación del TOE.

Nivel de Seguridad 4 (SL4)

Además de lo requerido por SL3, requiere mecanismos de detección y respuesta ante un acceso físico no autorizado. Requiere autenticación multi-factor para controlar el acceso de los operadores a sus servicios asociados. Requiere medidas de seguridad EFP de forma obligatoria.

DOCUMENTACIÓN Y HERRRAMIENTAS REQUERIDAS EN EL PROCESO DE EVALUACIÓN ISO/IEC 19790

Se requiere como parte de la documentación necesaria para llevar a cabo el proceso de evaluación de acuerdo a ISO/IEC 19790:

  • Security Policy (SP): Es el documento principal donde el fabricante debe proporcionar la descripción del módulo criptográfico, proporcionando toda la información requerida por el estándar para cumplir con los requisitos del mismo.
  • Functional Specification (FS): Se trata de una descripción informal del módulo criptográfico donde se debe asociar la funcionalidad criptográfica del módulo definida en la SP con las interfaces físicas y lógicas del mismo, indicando como poder llevar a cabo la ejecución de cada una de ellas
  • Finite State Model (FSM): Documento que define la modelo de estados finito que evidencia que el módulo critpográfico se implementa de acuerdo a los requisitos del estándar incluyendo todos los estados requeridos por la misma.
  • Vendor Testing (VT): El vendedor debe realizar y documentar los tests llevados a cabo sobre el TOE para verificar la correcta ejecución de las funcionalidades criptográficas implementadas en el módulo que se indican en la SP conforme a lo que indica la FS.
  • Vendor Evidence (VE): Este documento recoge cada uno de los requisitos documentales y de implementación a cumplir por el TOE y el fabricante durante el proceso de certificación en base a lo establecido por el estándar ISO/IEC 24759.
  • Configuration Item List (CIL): Debe recoger la lista de elementos documentales y del propio TOE que se encuentran bajo evaluación y que están gestionados por el sistema de gestión de configuración del fabricante.
  • Vendor Questionnaire (VQ): Como parte de la evaluación el fabricante deberá cumplientar el VQ para dar evidencia de los algoritmos implementados de forma que se pueda llevar a cabo la certificación de los mismos bajo una certificación MEMeC.
  • Herramienta para Pruebas de Conformidad (Test Harness): Se compone del conjunto de herramientas software/firmware que debe ser desarrollada íntegramente por el vendedor de forma que permita al laboratorio ejecutar los vectores de test invocando a la impletación criptográfioca del TOE como se requiere en una certificación MEMeC.

PROCESO DE CERTIFICACIÓN ISO/IEC 19790

Para certificar un producto criptográfico conforme a la MEMeC, el producto debe ser evaluado por un laboratorio autorizado por ENAC y CCN que actúe como tercera parte fiable y técnicamente capacitada.

El proceso de certificación consta de dos partes. La primera de ellas la propia certificación ISO/IEC 19790 donde se llevará a cabo la la evaluación con respecto a los requisitos de la misma y por otro lado una certificación MEMec CL1 necesaria para poder obtener el certificado de los mecanismos criptográficos implementados por el TOE de acuerdo a los requisitos establecidos por el Centro Criptológico Nacional (CCN).

ISO/IEC 19790

  • Evaluación del módulo criptográfico y la documentación asociada al mismo.

ISO/IEC 19790 - Certificación de Algoritmos (MEMeC CL1)

  • Certificación de Mecanismos Criptográficos implementados por el TOE de acuerdo al Vendor Questionnaire asociado.

El laboratorio revisará la documentación del fabricante y realizará pruebas para verificar que los mecanismos criptográficos de un producto se ajustan a los requisitos aplicables e implementa funciones criptográficas autorizadas.

Una vez el fabricante del producto criptográfico entrega al laboratorio la documentación requerida para realizar la evaluación, el laboratorio realizará las pruebas necesarias para verificar si el producto cumple con los requisitos de la ISO/IEC 19790 y MEMeC CL1.

Los resultados de la evaluación realizada por el laboratorio se plasman en un Informe Técnico de Evaluación (ETR, Evaluation Technical Report). El CCN validará este informe, y, en caso de que durante la evaluación no se hayan encontrado fallos de implementación o no conformidades, se certifica que el producto ha sido evaluado satisfactoriamente conforme a ISO/IEC 19790 y MEMeC CL1.

Ellos ya han confiado en nosotros. ¡Hablemos!

¿QUÉ OFRECEMOS?

En jtsec, somos especialistas en evaluaciones criptográficas y dominamos cada fase del proceso. Si buscas evitar costes innecesarios y asegurar una certificación ágil, contáctanos lo antes posible y deja que nuestros expertos te guíen desde el principio.

  1. EVALUACIÓN

    Como laboratorio acreditado, en jtsec realizamos la evaluación completa de tu producto criptográfico conforme a la norma ISO/IEC 19790. Nuestro equipo revisa meticulosamente la documentación, valida la funcionalidad de seguridad y ejecuta las pruebas necesarias para garantizar que tu producto obtenga la certificación de manera rápida y eficiente.

  2. CONFIANZA Y PROFESIONALIDAD

    Con años de experiencia en certificaciones de seguridad, nuestro equipo de profesionales altamente cualificados se encarga de gestionar todo el proceso, brindándote la confianza de que tus productos cumplen con los estándares más exigentes. Nos aseguramos de optimizar tiempo y recursos, minimizando gastos innecesarios y acelerando el camino hacia la certificación.

  3. CAPACITACIÓN TÉCNICA

    En jtsec, llevamos la excelencia técnica a cada uno de nuestros proyectos. Nuestros profesionales están comprometidos con un proceso de formación continua, manteniendo siempre las más altas cualificaciones para verificar y garantizar la seguridad de tus productos. Confía en nosotros para asegurar que tu tecnología esté en manos de expertos.

  4. TIME TO MARKET

    Sabemos que el tiempo es crucial en el mercado actual. En jtsec, no solo trabajamos para ser los mejores, sino también para ser los más rápidos. Si tienes plazos ajustados, puedes confiar en nosotros: ponemos todos nuestros recursos a tu disposición para garantizar que tu producto llegue al mercado en el menor tiempo posible, sin comprometer la calidad.